DE / EN
Titelbild Expertenbericht Privileged Remote Access

Sicherer Zugriff von Extern ohne VPN

Datum

19.10.2022

Dieser Beitrag wurde verfasst von:

Cyril Gailer

Sicherer Zugriff von Extern ohne VPN

Der privilegierte Zugriff von extern stellt viele Firmen vor Herausforderungen. Externe Mitarbeitende müssen verwaltet und der Zugriff bereitgestellt werden. Dabei kann die Übersicht schnell verloren gehen und die Nachvollziehbarkeit ist nicht mehr gewährleistet.

Um die Fernwartung zu ermöglichen, werden heute meist VPN Zugänge an externe Dienstleister vergeben, um sich direkt ins Firmennetzwerk einzuwählen. Neben dem administrativen Aufwand birgt ein VPN Zugriff auch Gefahren. So verweist das Nationale Zentrum für Cybersicherheit der Schweiz (NCSC) darauf, dass ein Fernzugang via VPN ein häufiges Einfallstor für Malware ist (NCSC 2021). Zudem las man in den vergangenen Monaten vermehrt von Supply Chain Attacks, bei welchen Schadsoftware beispielsweise durch ungesicherte Geräte der Dienstleister eingeschleust wurden. Externe Mitarbeitende benötigen für ihre Tätigkeit häufig privilegierte Accounts. Viele Firmen möchten die externen Zugriffe auch kontrollieren können. Auf externe Mitarbeitende und Dienstleister zu verzichten, ist für die meisten Firmen keine Option. Damit der Zugriff jedoch abgesichert ist und bei Bedarf überprüft werden kann, bietet sich die Lösung Privileged Remote Access (PRA) von BeyondTrust an. 

Funktionsweise von Privileged Remote Access

Privileged Remote Access bietet einen sicheren Zugriff von ausserhalb des Netzwerks auf schützenswerte Geräte, wobei die Lösung auf einer gehärteten Appliance läuft. Damit eine Verbindung hergestellt werden kann, muss lediglich der Port 443 als Outbound Verbindung definiert werden. Die Firewall kann somit gegen aussen komplett abgeschottet werden. Durch den Genehmigungsworkflow können Zugänge on-demand freigeschalten werden und müssen nicht immer aktiv sein. Zudem können, bei Bedarf, die Sessions aufgezeichnet werden. Mit der Vault Funktion ist es möglich, den Benutzern einen Account bereitzustellen, ohne das Passwort zu geben. Der Account ist damit besser vor einem möglichen Missbrauch geschützt, da das Passwort nach der Verwendung automatisch durch das System geändert werden kann. 

 

Grafik zum Netzwerk für Privilleged Remote Access - Expertenbericht

Kundensupport durch die IPG

Auch die IPG setzt auf PRA, um den Zugang auf Kundenumgehungen zu erleichtern und die Sicherheit zu erhöhen. Neben der massiven Erhöhung der Sicherheit entfallen dadurch auch langwierige Onboarding-Prozesse, die daraus resultierenden Wartezeiten für eine Bereitstellung des Zugriffes und die damit einhergehenden Kosten auf Kundenseite.

Konkret installiert der Kunde einen Agenten auf einem Server innerhalb seines Netzwerkes. Dieser stellt eine Outbound Verbindung zu der gehärteten PRA-Appliance her. Der IPG Operator verbindet sich ebenfalls auf die Appliance, wobei sein Login mit einem zweiten Faktor geschützt ist. Der Zugriff auf die Kundenumgebung erfolgt anschliessend über diese Appliance. Da die Verbindung vom installierten Agenten initiiert wird, muss der Operator keine VPN Verbindung herstellen und es müssen keine Ports in Richtung internem Netzwerk geöffnet werden. Die Appliance stellt dabei sicher, dass nur zugelassene Personen Zugriff erhalten. Weiter werden aller Zugriffe protokolliert und bei Bedarf werden die Sessions der Operatoren aufgezeichnet. Die Zugriffe werden regelmässig durch den IPG internen Rezertifizierungsprozess überprüft. Durch die Aufzeichnung der Sessions sowie durch den Rezertifizierungsprozess ist die Nachvollziehbarkeit jederzeit gewährleistet. Das On- und Offboarding wird über das IAM System von IPG durchgeführt, was zu einer weiteren Effizienzsteigerung führt. Zudem werden nicht benötigte Zugriffe automatisch abgebaut. 

 

Grafik zur Architektur für Privilleged Remote Access - Expertenbericht

Sprechen Sie uns an!

Als Business Partner bietet die IPG-Gruppe IAM-Leistungen aus einer Hand und stellt jederzeit eine Sicht aufs Ganze sicher. Wir begleiten Sie bei Ihrem Identity & Access Management Projekt von der ersten Planung, über die Implementierung bis zum Betrieb.

Autor

Cyril Gailer
Technical ConsultantIPG Information Process Group AGKontakt