6
Zugriffskonzept externe DL auf kritische Infrastruktur, wie sind eure Erfahrungen?
Hallo Miteinander,
Ich arbeite in einem mittelständigen Unternehmen welches seiner Dienstleistung wegen zur "kritischen Infrastruktur" angehört. Ich habe das Bedürfnis einen weiteren Beitrag zur Erhöhung der Sicherheit leisten zu wollen, finde aber nirgendwo eine potente Auskunft, darum habe ich mich hier angemeldet und hoffe auf Schwarmwissen.
Konkret geht es um eine Art sicheres Zugriffskonzept von externen Dienstleitungsfirmen auf unsere on-premise Umgebung.
Stand derzeit haben wir folgende Ansprüche:
Wir lösen das derzeit so, dass wir für Externe in der AD jeweils verschiedene OUs angelegt haben, in denen befinden sich die Mitarbeiteraccounts. Sie wählen sich via VPN ein (2fa enabled), wissen um den Server auf den sie müssen Bescheid und verbinden sich via RDP. Auf den jeweiligen Servern haben sie lokale Adminberechtigungen, sie sind keine Domain-Admins oder haben auf anderen Systemen irgendwelche Rechte.
Von der jeweiligen Firma haben wir Dokumente die vor aktivierung eines solchen Accounts unterzeichnet werden müssen.
In diesen Dokumenten wird der Name des Mitarbeiters und die Pflicht ans Unternehmen uns dessen Weggang anzukündigen festgehalten. Ebenso gibt es ein paar Punkte darin die man Verschwiegenheitserklärung nennen könnte.
Wie es aber oft so ist, "vergessen" gewisse Firmen uns z.B. Mitarbeiterfluktuation zu melden, es gibt also potentiell ungenutzte Accounts die verwaist sind oder es noch werden. Dies möchten wir unbedingt vermeiden.
Nun, wie machen das andere, auch grössere Firmen mit der Zugriffskultur?
Gibt es da Konzepte und/oder Prozesse die betriebs-rechtlich und technisch sicher sind?
Was für Werkzeuge gibt es die man für solches anschaffen/einrichten könnte?
Postet doch mal wie ihr es beu euch macht, ich möchte mit diesem Thread gerne eine Diskussion darum anregen und bin gespannt wie man es noch (besser) machen könnte.
Gruss
Lobsi79
Ich arbeite in einem mittelständigen Unternehmen welches seiner Dienstleistung wegen zur "kritischen Infrastruktur" angehört. Ich habe das Bedürfnis einen weiteren Beitrag zur Erhöhung der Sicherheit leisten zu wollen, finde aber nirgendwo eine potente Auskunft, darum habe ich mich hier angemeldet und hoffe auf Schwarmwissen.
Konkret geht es um eine Art sicheres Zugriffskonzept von externen Dienstleitungsfirmen auf unsere on-premise Umgebung.
Stand derzeit haben wir folgende Ansprüche:
- Externer Betrieb und Mitarbeiter welcher zugreifen muss, müssen namentlich bekannt sein.
- Zugriff auch 24h/7 für Pikettdienste - Manuelle Freigabe des Zugriffs nicht erwünscht
- Self-Service Passwort rücksetzung bei abgelaufenem User / Passwortgültigkeit
- Zugriff streng regulatorisch grnaulierbar (nur Zugriff auf Zielsysteme, kein Jumphost wenn möglich)
- Zugriff via VPN erwünscht
- Loggen von Start/Stop der Sessions muss gewährleistet sein
Wir lösen das derzeit so, dass wir für Externe in der AD jeweils verschiedene OUs angelegt haben, in denen befinden sich die Mitarbeiteraccounts. Sie wählen sich via VPN ein (2fa enabled), wissen um den Server auf den sie müssen Bescheid und verbinden sich via RDP. Auf den jeweiligen Servern haben sie lokale Adminberechtigungen, sie sind keine Domain-Admins oder haben auf anderen Systemen irgendwelche Rechte.
Von der jeweiligen Firma haben wir Dokumente die vor aktivierung eines solchen Accounts unterzeichnet werden müssen.
In diesen Dokumenten wird der Name des Mitarbeiters und die Pflicht ans Unternehmen uns dessen Weggang anzukündigen festgehalten. Ebenso gibt es ein paar Punkte darin die man Verschwiegenheitserklärung nennen könnte.
Wie es aber oft so ist, "vergessen" gewisse Firmen uns z.B. Mitarbeiterfluktuation zu melden, es gibt also potentiell ungenutzte Accounts die verwaist sind oder es noch werden. Dies möchten wir unbedingt vermeiden.
Nun, wie machen das andere, auch grössere Firmen mit der Zugriffskultur?
Gibt es da Konzepte und/oder Prozesse die betriebs-rechtlich und technisch sicher sind?
Was für Werkzeuge gibt es die man für solches anschaffen/einrichten könnte?
Postet doch mal wie ihr es beu euch macht, ich möchte mit diesem Thread gerne eine Diskussion darum anregen und bin gespannt wie man es noch (besser) machen könnte.
Gruss
Lobsi79
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4249854975
Url: https://administrator.de/contentid/4249854975
Printed on: April 27, 2024 at 16:04 o'clock
6 Comments
Latest comment
Moin,
hört sich soweit gut an, wie du es aktuell in place hast.
Du könntest noch einen Guacomole Server als Frontend einsetzen und von dort aus alle Zugriffe auf die Zielsysteme einrichten.
Somit ist kein direkter Zugriff aus dem externen Netz auf deine internen Ressourcen möglich.
Bei den Gastaccounts würde ich per default ein Ablaufdatum von 90 Tagen etablieren. Alle 90 Tage müssen alle Dienstleister bestätigen, dass sie die Accounts noch benötigen.
Dafür muss natürlich ein Prozess als Rahmenwerk her, dürfte aber „recht einfach“ sein.
hört sich soweit gut an, wie du es aktuell in place hast.
Du könntest noch einen Guacomole Server als Frontend einsetzen und von dort aus alle Zugriffe auf die Zielsysteme einrichten.
Somit ist kein direkter Zugriff aus dem externen Netz auf deine internen Ressourcen möglich.
Bei den Gastaccounts würde ich per default ein Ablaufdatum von 90 Tagen etablieren. Alle 90 Tage müssen alle Dienstleister bestätigen, dass sie die Accounts noch benötigen.
Dafür muss natürlich ein Prozess als Rahmenwerk her, dürfte aber „recht einfach“ sein.
Moin,
Gruß,
Dani
Wir lösen das derzeit so, dass wir für Externe in der AD jeweils verschiedene OUs angelegt haben, in denen befinden sich die Mitarbeiteraccounts.
weshalb verschiedene OUs für externe Mitarbeiter?Sie wählen sich via VPN ein (2fa enabled),
Wir setzen dabei auf Smartcard + PIN. Hierbei wird auch definiert, zu welchen Tagen und Zeiten ein Zugriff (nicht) möglich ist. VPN Site-to-Site oder ein RDS Hosts ist dafür nicht vorgesehen. Sondern die Personen bekommen von uns dedizierte Notebooks. Was für Werkzeuge gibt es die man für solches anschaffen/einrichten könnte?
Mit Hilfe eines Firewall Agents auf dem Gerät werden an Hand von IP-Adresse und Benutzername entsprechend Zugriff auf die jeweilige Jump-Hosts für Linux und Windows freigeschaltet. Es gibt jeweils logisch getrennte Jump Hosts für Mitarbeiter und Externe. Ausschließlich über die Verbindung über den Jump-Host können Server per RDP und SSH administriert werden. Zudem werden alle Interaktionen standardmäßig aufgezeichnet.Auf den jeweiligen Servern haben sie lokale Adminberechtigungen, sie sind keine Domain-Admins oder haben auf anderen Systemen irgendwelche Rechte.
Die Benutzerkonten sind nach den Minimalprinzip berechtigt. Je nachdem was die externe Person auf dem Server tun soll. Mal sind Benutzerrechte ausreichend, mal gibt es lokale Adminrechte. Das variiert sehr stark. Nun, wie machen das andere, auch grössere Firmen mit der Zugriffskultur?
Im Grund muss ein PAM implementiert werden. So dass problemlos Berechtigungen je Benutzer auf Server/Standort/Unternehmen problemlos gebrochen werden kann. Zudem wird damit auch gleichzeitig dokumentiert, wer wann wo wie lange darauf war. Von der jeweiligen Firma haben wir Dokumente die vor aktivierung eines solchen Accounts unterzeichnet werden müssen.
Versäumt ein Dienstleister zu melden, dass die Person X nicht mehr angestellt ist, ist es ein Verstoß gegen den Vertrag. Dort sind auch die möglichen Konsequenzen und Strafen definiert. Passiert bei uns in der Regel nur einmal. Gibt es da Konzepte und/oder Prozesse die betriebs-rechtlich und technisch sicher sind?
Bei uns gibt es dafür definierte Prozesse die zusammen mit Personal, IT und Rechtsabteilung entworfen worden sind.Gruß,
Dani
Hallo Cloudrakete,
Zuerst einmal besten Dank für deine Antwort.
"Gut" ist es bestimmt auf die eine oder andere Weise.
Die Frage ist, gibt es sowas nicht einfacher?
Klar kann man z.B. ein Ablaufdatum setzen, bloss läuft es dann "immer" morgens um 03:30 ab wenn man den Zugang grad notfallmässig benötigt und kein Admin erreichbar ist... Das müsste man auffangen können.
Ebenso ist es gut und lustig dass Drittfirmen unterzeichnen dass sie uns im Falle einer Mitarbeiterfluktuation o.ä. informieren, meistens machen sies aber doch nicht und es fällt erst auf anfrage ein, "ah ja stimmt ja, Hr. Müller arbeitet nicht mehr für uns..."
Das System hat so viele schwächen, es muss doch eine einfache Lösung dafür geben, ich schätze nicht dass wir die einzigen mit diesen Bedürfnissen sind.
Den Tipp mit Guacamole verfolgen wir jetzt schon, wenn auch ggf. nicht für diese Kategorie an Accounts.
Danke und Gruss
Lobsi79
Zuerst einmal besten Dank für deine Antwort.
"Gut" ist es bestimmt auf die eine oder andere Weise.
Die Frage ist, gibt es sowas nicht einfacher?
Klar kann man z.B. ein Ablaufdatum setzen, bloss läuft es dann "immer" morgens um 03:30 ab wenn man den Zugang grad notfallmässig benötigt und kein Admin erreichbar ist... Das müsste man auffangen können.
Ebenso ist es gut und lustig dass Drittfirmen unterzeichnen dass sie uns im Falle einer Mitarbeiterfluktuation o.ä. informieren, meistens machen sies aber doch nicht und es fällt erst auf anfrage ein, "ah ja stimmt ja, Hr. Müller arbeitet nicht mehr für uns..."
Das System hat so viele schwächen, es muss doch eine einfache Lösung dafür geben, ich schätze nicht dass wir die einzigen mit diesen Bedürfnissen sind.
Den Tipp mit Guacamole verfolgen wir jetzt schon, wenn auch ggf. nicht für diese Kategorie an Accounts.
Danke und Gruss
Lobsi79
Kannst Du dich auf eine Mindestnorm oder Standard festlegen oder musst du das ggf in Kürze sogar verpflichtend?
Für Kritis tut sich gerade sehr viel und alle gucken auf den Mai 2023.
Wir arbeiten mit großem Aufwand auch an dem Thema und stehen mittlerweile sehr gut da. BSI und KBA sind voller Lob für uns.
Für Kritis tut sich gerade sehr viel und alle gucken auf den Mai 2023.
Wir arbeiten mit großem Aufwand auch an dem Thema und stehen mittlerweile sehr gut da. BSI und KBA sind voller Lob für uns.
Wir haben bei uns in der Firma zusammen mit einem Kunden aus dem Bereich der Kritis auf Basis von Debian einen Jump Host entwickelt. Jeder externe Dienstleister erhält vom Kunde entsprechend einen Zugang via Citrix, AWS, oder VPN und kann sich anschliessend via Webbrowser auf dem Jumphost anmelden. Dieser Zugang ist entsprechend bereits mit 2FA geschützt.
Auf dem Webinterface kann er entsprechend seinen User, Admin, oder Domain Admin freischalten. Muss dabei aber eine Begründung, Dauer sowie das entsprechende Ziel angeben. Im Hintergrund ist ein normales AD in welchem der entsprechende User dann Aktiviert wird. Über dasselbe Interface gibt es ebenfalls die möglichkeit, das Passwort zurückzusetzen. Dabei wird eine Mail mit einem Link an den User gesendet, wie bei vielen Seiten. Ist der User freigeschaltet wird eine RDP Session auf denselben Jumphost geöffnet, von dem aus dann weiter verbunden werden kann. Dabei sieht jeder User nur die Sessions die er auch sehen darf. Vor dem weiterverbinden muss der User je nach System nochmals einen Kommentar eingeben bevor die Session geöffnet werden kann.
Das ganze wird mit Zeit und Bemerkungen entsprechend im Audittrail gespeichert. Etwas kompliziert, funktioniert aber gut.
Auf dem Webinterface kann er entsprechend seinen User, Admin, oder Domain Admin freischalten. Muss dabei aber eine Begründung, Dauer sowie das entsprechende Ziel angeben. Im Hintergrund ist ein normales AD in welchem der entsprechende User dann Aktiviert wird. Über dasselbe Interface gibt es ebenfalls die möglichkeit, das Passwort zurückzusetzen. Dabei wird eine Mail mit einem Link an den User gesendet, wie bei vielen Seiten. Ist der User freigeschaltet wird eine RDP Session auf denselben Jumphost geöffnet, von dem aus dann weiter verbunden werden kann. Dabei sieht jeder User nur die Sessions die er auch sehen darf. Vor dem weiterverbinden muss der User je nach System nochmals einen Kommentar eingeben bevor die Session geöffnet werden kann.
Das ganze wird mit Zeit und Bemerkungen entsprechend im Audittrail gespeichert. Etwas kompliziert, funktioniert aber gut.
Hier kommt Wallix https://www.wallix.com/de/ zum Einsatz um das zentral zu managen.