Suchen

Security Management trifft Identity Management – Teil 3 VPN-Verbindungen und Quarantäne sichern IT-Systeme vor unbefugtem Zugriff

| Autor / Redakteur: Johann Baumeister / Peter Schmitz

Das Security Management wird immer mehr auch zu einer Frage des Zugriffschutzes. Sicherheit für die IT-Systeme bedeutet auch immer mehr, die Kontrolle des Zugangs zu den Systemen und Netzen. Klassischerweise sichern Unternehmen ihre Kommunikationskanäle mittels VPN-Tunnels ab. Mit dem neuen Windows Server 2008 bietet sich jetzt dank DirectAccess eine weitere Möglichkeit zur sicheren Kommunikation, die auch noch den Aministrationsaufwand reduziert.

Windows Server 2008 schafft mit der neuen Funktion DirectAccess einen schnellen und sicheren Kommunikationskanal.
Windows Server 2008 schafft mit der neuen Funktion DirectAccess einen schnellen und sicheren Kommunikationskanal.
( Archiv: Vogel Business Media )

Die Aufrechterhaltung der IT-Sicherheit kommt ohne ein zuverlässiges Identity Management kaum mehr aus. Die ehemals getrennte Verwaltung dieser beiden Sicherheitsbereiche wird sich daher in Richtung eines interagierenden Managements verschieben, das man nur noch aus den Gründen der Arbeitsteilung (Seperation of Duties) trennt.

Die Verschmelzung der IT-Sicherheit und des Identity Management zeigt sich bereits im Kern der Authentifizierung und Autorisierung. Bei der Authentifizierung geht es bekanntlich darum, den Zugang-suchenden Benutzer eindeutig zu erkennen („Wer bist Du?“). In der Autorisierung wiederum soll der nun identifizierte Benutzer mit seinen Rechten versorgt werden („Was darfst Du?“).

Bildergalerie

Wenn man diese Rechte eines Benutzers alleine darauf bezieht, was er in Hinblick auf die Dateiverzeichnisse machen darf, so mag diese alleine durch die Rechteverknüpfung mit der Verzeichnisstruktur umzusetzen sein. Fasst man die Rechte, also das „Was darfst Du“ allerdings weiter, so zeigen sich sehr schnell die Interaktionen mit den Firewalls, den DLP-Tools oder etwa auch den Funktionen der Intrusion Detection. Die Werkzeuge zur Data Leakage Protection (DLP) zeigen die Verknüpfung des Datenschutzes mit dem Zugriffsschutz federführend auf. Sie bringen die Rechte an den Daten in Einklang mit den Benutzern.

DirectAccess vereinfacht den Zugang von Außen

Eine Verknüpfung der beiden Welten findet sich auch in den Techniken zur Zugriffssteuerung auf die internen Rechnernetze und deren Ressource. Um beispielsweise den Mitarbeitern des eigenen Unternehmens oder auch Partnern einen Zugriff auf die Daten, Emails oder Kommunikationsportale des Unternehmen zu geben, werden meist VPN-Tunnels oder ähnliche gesicherte Internet-Zugänge eingerichtet. Im Kontext der Microsoft-Infrastrukturen erfolgt der Aufbau eines VPN-Tunnels beispielsweise durch das Intelligent Access Gateway oder den ISA-Server. Diese werden zurzeit überarbeitet und sollen im kommenden Winter als erneuerte Produkte TMG und UAG verfügbar sein.

Im kommenden Windows Server 2008 R2 wird Microsoft diese Zugriffe von Außen auf das Unternehmensnetz vereinfachen. Durch eine neue Funktion, die als DirectAccess bezeichnet wird, lässt sich bei den neuen Betriebssystemen (Windows 7 und Windows Server 2008 R2) hier bereits durch die Systeme sehr schnell und einfach eine abgesicherte Verbindung einrichten. Der initiale Verbindungsaufbau erfolgt dabei über eine abgesicherte HTTPS-Strecke, die spätere Kommunikation dann über einen gesicherten IPSec-Tunnel.

Die Authentisierung des Benutzers passiert beispielweise über Smartcards. DirectAccess ist somit eine Funktionalität, die dem Verbindungsaufbau dient. Der Schutz der Daten im Kanal ist über die bestehenden oder andere Sicherheitseinrichtung zu bewerkstelligen. Zwar kann man – je nach Implementierung – per IPSec-Richtlinien den Zugriff über DirectAccess auf bestimmte Server beschränken, jedoch sollte DirectAccess stets zusammen mit einer Firewall-Lösung eingesetzt werden. Dies sollte durch die Windows-Firewall oder ähnliche Sicherheitsbausteine erfolgen.

Seite 2: Access Policies und Quarantäne

(ID:2040209)