intellidance
Goto Top

Suche onPremise Lösung für Remote-Arbeit

Servus zusammen,
Ich suche nach einer Software die im Grunde eine Verbindung von Windows Geräten zur Firmensoftware ermöglicht.

Mit folgendem Randbedingungen:

- kein normales VPN (Tunnel auf und Vollzugriff)
- onPremise
- einzelne Dienste / Anwendungen können bzw. müssen freigegeben werden und bauen dann gezielt eine Verbindung über ein Gateway ins Firmen-Netz auf.
- am besten vorhandener Templates für verbreitete Dienste (z.b. SMB, SAP, Exchange (ohne Outlook anywhere))
- nahezu transparent für den Anwender (im Beispiel oben, wenn unterwegs wird die Verbindung zum Netzlaufwerk über das Gateway aufgebaut und kann wie gewohnt genutzt werden)
- Skalierbar für ~2000 User/Computer

Ich bin bei meiner Suche bei ZeroTrust / Ztna gelandet.
Das Problem ist das die Anbieter quasie alle in ihren öffentlich verfügbaren Demos / Präsentationen auf den Zugriff auf firmeninterne Webdienste eingehen und nicht in wie weit hier beliebige Anwendungen betrieben werden können.

Bevor ich nun bei allen großen Firmen das Marketing auf mich aufmerksam machen, die Frage ob einer hier Erfahrung mit dem ein oder anderen Produkt hat oder sonst eine Idee.

Content-ID: 7011327534

Url: https://administrator.de/contentid/7011327534

Ausgedruckt am: 21.11.2024 um 22:11 Uhr

ukulele-7
ukulele-7 04.05.2023 um 10:51:10 Uhr
Goto Top
Zero Trust ist ein Konzept, keine einheitliche Technology. Jede Anwendung wird dabei direkt abgesichert "als wenn sie frei im Internet verfügbar wäre oder ist". Es gibt Anbieter (vornehmlich Cloudanbieter aus Übersee) die dabei Möglichkeiten für gängige Software anbieten aber am Ende muss dann z.B. das eigene ERP auch einzeln betrachtet werden und dann ggf. unter Einbezug des Herstellers entsprechend abgesichert werden. Bei Webservices ist das natürlich recht einheitlich und einfach daher wird vermutlich viel damit geworben. Es ist eher unwahrscheinlich das das alles so out of the box als Template für beliebige installierte Anwendungen funktioniert, da wirds dann speziell.

Abgesehen davon muss das ganze natürlich aktuell gehalten werden und jemand muss auf Schwachstellen reagieren und ggf. die ganze Umgebung darauf einem Audit unterziehen. Ich denke da an so Dinge wie Log4j wo plötzlich viele Anwendungen verwundbar sind weil eine neue Lücke bekannt wird. Mit VPN hast du das eher nicht weil das einfach seit Jahren ausgereift ist und dein ERP Hersteller da zwar Bockmist machen kann aber der Impact erstmal nicht der selbe ist.
Intellidance
Intellidance 04.05.2023 um 11:30:14 Uhr
Goto Top
Servus ukulele-7,
vielen Dank für deine Antwort.

Mir ist bewusst das Zero Trust ein Konzept bzw. eine Architektur und Denkweise ist. Trotzdem gibt es es zur Umsetzung eines solchen Konzepts ja Hilfe durch Software.

Der Wunsch nach Templates sollte optional / wünschenswert sein und war bewusst auf eben sehr verbreitete Szenarien bezogen.
Das jede andere Software die von *unterwegs* Zugang auf Firmen-Ressourcen benötigt einzeln betrachtet werden muss ist klar, bzw. ist in diesem Fall ja sogar gewollt.

Mir geht es hier ausschließlich um den "Zugangsweg". Die Software an sich wird unternehmensweit gepflegt und auditiert sowie kontinuierlich gegen offene Schwachstellen geprüft.

Den Zusammenhang zwischen VPN<>Zero Trust und den Auswirkungen bei Software mit Schwachstellen habe ich in deinem Text noch nicht genau verstanden.
Die Idee ist jedem Client nur gerade so viel Zugriff auf Ressourcen zu geben wie er wirklich benötigt.
Gibt es ein Problem mit einer Einzelnen Anwendung weiß ich genau wen das Problem betrifft.
Da die betroffene Software ausschließlich mit definierten Endpunkten sprechen kann sind die Auswirkungen im Zweifel erheblich geringer.
departure69
departure69 04.05.2023 um 11:40:50 Uhr
Goto Top
@Intellidance:

Hallo.

Die Idee ist jedem Client nur gerade so viel Zugriff auf Ressourcen zu geben wie er wirklich benötigt.

Sollte das nicht auch im internen LAN so sein? Share-Rechte, NTFS-Rechte, Gruppenzugehörigkeiten, Anmeldedatenbank (SAM), Active-Directory, Benutzerverwaltung innerhalb von Fachsoftware mit Anmeldung, Rollen, Rechten undsoweiter undsofort?

Und gibt's Du jemandem ein sicheres VPN in das LAN, dann steht er in genau diesem LAN und ist dort genauso - zumindest nicht weniger - Safe wie vor Ort im Firmenbüro.

Geht es um einzelne, ausgesuchte Anwendungen, würde ich das mit Hilfe eines Terminal-/RD-Servers lösen, gleichgültig ob nur mittels RDP (RDP-Protokoll) oder noch Citrix obendrauf (ICA-Protokoll), mit beiden Protokollen können auch einzelne Anwendungen für sich nach außen gesichert veröffentlicht werden, ohne daß man einen ganzen Desktop veröffentlicht.

Alle Anwendungen, die Du hierbei im Sinne hast, in Webinterfaces zu packen (so verstehe ich Deine Frage, ganz vereinfacht ausgedrückt), ist m. E. ein Umweg, der für viel Zeit und vermutlich teuer Geld erst umständlich erarbeitet werden muß.

Ich würde die Methoden nutzen, die es schon gibt. face-smile

Viele Grüße

von

departure69
ukulele-7
ukulele-7 04.05.2023 aktualisiert um 11:59:38 Uhr
Goto Top
Zitat von @Intellidance:

Mir geht es hier ausschließlich um den "Zugangsweg". Die Software an sich wird unternehmensweit gepflegt und auditiert sowie kontinuierlich gegen offene Schwachstellen geprüft.

Den Zusammenhang zwischen VPN<>Zero Trust und den Auswirkungen bei Software mit Schwachstellen habe ich in deinem Text noch nicht genau verstanden.
Nun der Zugangsweg hängt von der Anwendung ab, ist aber im wesentlichen eine Webseite oder ein Port der frei im Internet lauscht und mit dem sich der Browser oder die lokal installierte Anwendung des Externen verbinden kann. Absicherung erfolgt auf dem jeweiligen Webserver oder auf einer vorgeschalteten Web Application Firewall (WAF) bzw. durch den Dienst der Anwendung. Ggf. wird die Authentifizierung noch über irgendeinen anderen Dienst abgewickelt.

Bei VPN sicherst du erstmal nur die Netzwerk Verbindung in dein Netz oder eine DMZ ab, erst wenn das Endgerät deines Benutzers im VPN ist kommt er überhaupt an die Endpunkte deiner Dienste ran. Eine Sicherheitslücke in deiner Anwendung oder ihrem Webserver ist also nur für solche erreichbar und angreifbar die bereits im VPN sind und das VPN als solches ist sehr wahrscheinlich nicht von der selben Lücke betroffen. Ist kein VPN vorgeschaltet so ist im Umkehrschloss jede Sicherheitslücke sofort relevant weil der Dienst direkt von Außen erreichbar ist.

Die Idee ist jedem Client nur gerade so viel Zugriff auf Ressourcen zu geben wie er wirklich benötigt.
Principle of least privilege - immer ein gutes Prinzip.
Gibt es ein Problem mit einer Einzelnen Anwendung weiß ich genau wen das Problem betrifft.
...
Da die betroffene Software ausschließlich mit definierten Endpunkten sprechen kann sind die Auswirkungen im Zweifel erheblich geringer.
Das kann man natürlich auch im VPN per Firewall weiter einschränken. Für mich schließen sich Zero Trust und VPN nicht aus, die können auch neben einander existieren oder kombiniert werden. Auch Dinge wie Country Blocking haben meinen Exchange schon erfolgreich vor Schaden bewahrt auch wenn es keine Garantie dafür gibt. Wenn VPN weg fallen soll dann bleibt dir der Weg jeden Dienst jeder Anwendung zu sichern und Null Toleranz gegenüber Sicherheitslücken / Bedrohungen,

Was eher zum Widerspruch werden kann sind on premise und zero trust weil i.d.R. das Knowhow bei einem Cloud Anbieter für genau diese Software besser ist und er natürlich auf Angriffe viel besser reagieren kann weil er viel mehr Wissen und mehr Verbindungen vereint als dein Admin der vor deinem Server sitzt. Im besten Fall kann der durch Big Data Bedrohungen automatisch erkennen weil (natürlich nur im optimalen Fall), das kannst du erst wenn wirklich deine Dienste angegriffen werden und nicht die eines anderen. Paradoxer weise wird dieser Anbieter vermutlich auch öfter angegriffen und kann dir durch sein eigenes Verhalten auch Schaden zufügen aber ich denke mal in einer optimalen Welt ist die Sicherheit durch einen solchen Anbieter höher.

PS: Und natürlich gilt least privilege und zero trust auch im LAN, nicht nur im WAN oder im VPN.
em-pie
em-pie 04.05.2023 um 11:59:04 Uhr
Goto Top
Moin,

mal als Tipp/ Denkansatz:
wir nutzen Citrix' Netscaler in Kombination mit Citrix VDA.
Die Jungs und Mädels melden sich an einem Portal (per 2FA) an und erhalten dann, je nach Zugehörigkeit der AD-Gruppen ihre Published Apps oder gar vollwertigen Desktops.

Der zweite Faktor ist bei uns eine Handy App. Man könnte auch über SMS-Tokens oder irgendwelche HardwareTokens oder installierte Zertifikate nachdenken....


Vermutlich kann man ähnliche Konstrukte auch für die reine MS RDS-Welt bereitstellen.
SeaStorm
SeaStorm 04.05.2023 um 13:10:46 Uhr
Goto Top
Hi

die übliche und wohl auch einfachste Möglichkeit ist RemoteApps per Citrix oder RDP.
Dabei erstellt man OnPrem einen Remotedesktop-Server der die Anwendung bereitstellt und der Anwender kann dann auf seinem Rechner lokal eine Verbindung aufmachen. Dabei wird nur die Anwendung selbst per RDP gestreamed und rein Optisch merkt der User da erst mal nichts davon das die eigentlich auf dem Server läuft.

ZTNA: Ich setze ZTNA per Forti ein.
Hier hat man einmal die Firewall und den EMS Server sowie den ZTNA Client auf dem Computer.
Dann gibt man im EMS ein Regelwerk ein "die User\Clients mit dem ZTNA Tag "XY" dürfen auf die Anwendung XY zugreifen" und eine ZTNA Destination, die eine Interne Domain+ Port auf eine PublicIP\Domain+Port umbiegt.
Öffnet die Anwendung jetzt eine Verbindung zu "xy.domain.de" per z.B Port 8765, weil das im Intranet eben die Verbindung ist, dann erkennt das der ZTNA Client und schickt den Traffic einfach an [PublicIP-Der-Forti] mit Port 98765. Dahinter verbirgt sich ein HTTPS Dienst mit TCP-Forwarding an den internen Zielserver der Anwendung.
Abgesichert ist das dann per Clientzertifikat. Der ZTNA Tag "XY" ist nichts anderes als das persönliche Zertifikat für genau diese Verbindung. Ohne Zertifikat keine Verbindung.

Man braucht die Forti inkl. Lizenzen sowie EMS ZTNA Lizenz und Client und die entsprechende Expertise.

Schön ist allerdings dass das auch mit Apps klappt. Ohne VPN kann ein iPhone dann auch auf interne Ressourcen zugreifen.

Der ZTNA Client ist der FortiClient der auch die VPN macht. Kann man aber auch deaktivieren und ausblenden, wenn man das nicht will.
Intellidance
Intellidance 04.05.2023 um 14:42:18 Uhr
Goto Top
@seastorem,
das klingt im Grunde ja nach dem was ich Suche ;)

Die anderen Dinge wie RDP, Citrix usw. sind mir alle bekannt. Ich möchte aber auf Seiten des Anwenders und der Benutzererfahrung keine Unterscheidung zwischen "Remote arbeiten" und "im Unternehmensgebäude" - Jedenfalls nicht das der Anwender selbst entscheiden muss "zu Hause nehme ich Weg A um mein Ziel zu erreichen weil ich zu Hause bin".
Was zu Hause durchaus passieren kann - ist das z.B. ein 2. oder 3. Faktor abgefragt wird.

@departure69
Im Unternehmensgebäude wird aber z.B. der Zugriff auf einzelne Netzwerk-ports per 802.1x gesichert und zusätzlich dazu kommt die Gebäudesicherheit und Überwachung. Und dann natürlich die Berechtigung auf einzelne Dienste und Ressourcen.
Davon abgesehen geht es nicht rein um die Sicherheit sondern z.B. muss ich beim VPN die Dienste die ich nicht über das VPN schicken möchte einzeln raus halten, das geht je nach VPN-Lösung auch mal besser und mal schlechter.
Wenn ich beim VPN-Server/Firewall explizit all das Konfiguriere was ich durch lassen möchte muss ich mich zum einen auch mit jeder einzelnen Anwendung beschäftigen und diese freigeben und/oder blocken.
Da ist es für mich Sinniger explizit das zu definieren das in die Firma soll und der Rest geht ins Internet (z.B. auch Videotelefonie, Konferenzen usw.)
SeaStorm
SeaStorm 04.05.2023 um 16:13:07 Uhr
Goto Top
Gibt ja aber auch Always-On VPNs. Hat ja eigentlich auch jeder Anbieter dabei. Geht auch nativ von MS. Braucht aber IMHO eine enterprise Lizenz
Celiko
Celiko 04.05.2023 aktualisiert um 20:21:21 Uhr
Goto Top
Moin,

Wir haben einen Always-On-VPN (siehe Richard Hicks) mit split routing aufgebaut.
Jede Verbindung zu unseren Netzen läuft über dem VPN.
Der Rest über die normale Leitung des Clients.

Wir nutzen einen device und User Tunnel (alles erklärt im forum von Richard Hicks, Pioneer bzgl Microsoft VPN).
Anmeldung läuft über Zertifikat.

Device tunnel ist immer an = Gerät ist immer mit Domäne verbunden und neue Benutzer können sich anmelden und gpos ziehen usw.
User Tunnel startet sobald der Benutzer sich erfolgreich authentifiziert hat. Anschließend kann über dem User Tunnel auf alle enterprise applications zugegriffen werden.

Wir hatten vor Migration in die cloud die VPN und Radius Server on prem.

Lief und läuft super und seemless.
Täglich knapp 500 User bei uns.

Enterprise vorausgesetzt.

Nebenbei: auf Windows 11 haben sie viel am vpn geändert weshalb es da noch Probleme gibt mit intune. Soll wohl demnächst ein Patch geben. Bei windows 10 haben wir keine Probleme.

Vg
Intellidance
Intellidance 05.05.2023 um 12:47:53 Uhr
Goto Top
thx @Celiko, Richard Hicks schaue ich mir auch mal an.