Best Practices für sicheren Fernzugriff

Der Ausbruch des COVID-19-Virus, auch bekannt als Coronavirus, hat in einer Vielzahl von Branchen auf der ganzen Welt zu erheblichen Unterbrechungen der Lieferkette geführt. Die Luft- und Raumfahrtunternehmen Airbus und Boeing sowie die Autohersteller Tesla und GM haben beide Produktionsstätten geschlossen, während Apple ankündigte, dass es seine Quartalsumsatzzahlen aufgrund des Coronavirus verpassen könnte.

COVID-19 hat auch dazu geführt, dass große globale Arbeitgeber, darunter die Technologieunternehmen Amazon, Google, Microsoft, Facebook und Twitter, von ihren Mitarbeitern und externen Auftragnehmern verlangen, von zu Hause aus zu arbeiten.

TESTVERSION ANFORDERN Mehr erfahren

Secure Remote Access

Heute arbeiten 43 % aller US-Mitarbeiter mindestens in Teilzeit außerhalb des Unternehmens, so der Gallup-Bericht "State of the American Workplace". Untersuchungen zeigen auch, dass Mitarbeiter glauben, dass die Arbeit aus der Ferne kein Produktivitätshindernis darstellt, während die Mehrheit der Amerikaner der Meinung ist, dass Remote-Mitarbeiter genauso produktiv sind wie diejenigen, die in einem Büro vor Ort arbeiten.

Da Unternehmen aufgrund der Bedrohung durch das Coronavirus massenhaft Remote-Arbeit einführen, ist die Online-Sicherheit zu einem kritischen Thema geworden, da Unternehmen ihre Mitarbeiter, Dritte und Auftragnehmer, digitale Vermögenswerte und Kundendaten nicht nur vor dem biologischen Virus, sondern auch vor Cyberkriminellen schützen müssen.

Geschäftskontinuität, Disaster Recovery und das Coronavirus

Als Reaktion auf Krisen wie das Coronavirus sollten Unternehmen über IT-Disaster-Recovery-Pläne verfügen, die gleichzeitig mit Business-Continuity-Plänen entwickelt wurden. Dazu gehören Geschäftsprioritäten und Wiederherstellungszeitziele für IT-Ressourcen sowie eine Analyse der geschäftlichen Auswirkungen. Es sollten auch Strategien zur Technologiewiederherstellung entwickelt werden, um Hardware, Anwendung und Daten rechtzeitig wiederherzustellen, um den Anforderungen der Geschäftswiederherstellung im Falle eines Ausfalls gerecht zu werden.

Sicherer Fernzugriff spielt auch eine entscheidende Rolle, wenn es um Disaster Recovery und Business Continuity geht, da Unternehmen flexibel genug sein müssen, um Remote-Arbeit für einen Großteil ihrer Mitarbeiter zu ermöglichen und gleichzeitig trotz externer Unterbrechungen eine normale Mitarbeiterproduktivität zu erreichen.

Das Coronavirus, ein disruptives biologisches Ereignis, hat Unternehmen gezwungen, ihre Mitarbeiter und IT-Ressourcen zu verlagern, damit sie von zu Hause aus oder an sicheren Orten arbeiten können.

Banken und Finanzinstitute haben Bildschirme in den Wohnungen von Wertpapierhändlern installiert, um neue Coronavirus-Infektionen durch die Isolierung von Mitarbeitern zu verlangsamen und zu stoppen. Und während Investmentbanker, Ingenieure, IT-Mitarbeiter, die Personalabteilung und die Geschäftsleitung von zu Hause aus arbeiten können, sind Arbeitnehmer wie Händler oder Verkäufer, die regulatorische Anforderungen erfüllen müssen, mit technologischen Einschränkungen konfrontiert, die gelöst werden müssen.

Die Business-Continuity-Planung von Goldman Sachs, JPMorgan Chase, Morgan Stanley und Barclays forderte die Isolierung und den Schutz von Mitarbeitern in asiatischen Ländern im Epizentrum des Coronavirus-Ausbruchs.

"Wir üben", sagte ein leitender Angestellter einer großen US-Bank. "Sie wollen nicht aufwachen und feststellen, dass die USA eine halbe Million Fälle haben und jemand Ihnen sagt, Sie sollen alle nach Hause schicken."

Um zu verhindern, dass Bankangestellte wegen des Coronavirus weltweit unter Quarantäne gestellt werden, versuchen Finanzinstitute nun, ihre Mitarbeiter auf Hauptniederlassungen und Disaster-Recovery-Standorte zu verteilen, die über die gleichen technischen Möglichkeiten verfügen wie ihre Hauptstandorte, so die Financial Times.

So implementieren Sie einen sicheren Fernzugriff

Viele Organisationen gestatten ihren Mitarbeitern, Auftragnehmern, Geschäftspartnern und Lieferanten die Nutzung von unternehmenseigenen Fernzugriffstechnologien, um Arbeiten aus der Ferne mithilfe unternehmenseigener BYOD-Client-Geräte (Bring Your Own Device) auszuführen, die vor Datenschutzverletzungen und Diebstahl geschützt werden müssen. Zu den Sicherheitsbedenken zählen das Fehlen physischer Sicherheitskontrollen, die Verwendung ungesicherter Netzwerke, die Verbindung infizierter Geräte mit dem internen Netzwerk und die Verfügbarkeit interner Ressourcen für externe Hosts.

Darüber hinaus können Sicherheitsrichtlinien und Vereinbarungen mit Dritten zur Gerätesicherheit nicht immer durchgesetzt werden, wodurch möglicherweise ungesicherte, mit Malware infizierte und kompromittierte Geräte mit sensiblen Unternehmensressourcen verbunden bleiben.

Um Organisationen, die Fernzugriffstechnologien nutzen, zu schützen und BYOD- und durch Dritte kontrollierte Zugriffsrisiken auf Netzwerkressourcen zu mindern, empfiehlt das National Institute of Standards and Technology (NIST) daher, dass Organisationen die folgenden Kontrollen implementieren:

Planen Sie Sicherheitsrichtlinien und -kontrollen im Zusammenhang mit Remote-Arbeit unter der Annahme, dass externe Umgebungen feindliche Bedrohungen enthalten.

  • Organisationen müssen davon ausgehen, dass Client-Geräte, die an externen Standorten von Mitarbeitern und Dritten verwendet werden, anfällig für Verlust oder Diebstahl sind und von böswilligen Akteuren zum Zugriff auf Daten oder zum Zugriff auf das Netzwerk des Unternehmens verwendet werden könnten.
  • Um den Verlust oder Diebstahl von Kundengeräten zu verhindern, müssen der Gerätespeicher und die gespeicherten sensiblen Daten verschlüsselt werden und sensible Daten nicht vollständig auf dem Kundengerät gespeichert werden. Um Bedrohungen durch die Wiederverwendung von Geräten zu mindern, verwenden Sie eine starke und mehrstufige Authentifizierung.

Entwickeln Sie eine Sicherheitsrichtlinie für Remote-Arbeit, die die Anforderungen an Telearbeit, Remotezugriff und BYOD definiert.

  • Sicherheitsrichtlinien für Remote-Arbeit sollten Remote-Zugriffstypen, Geräte sowie Typ- und Zugriffsrichtlinien für Remote-Mitarbeiter definieren.
  • Die Richtlinien sollten auch abdecken, wie RAS-Server verwaltet und wie ihre Richtlinien aktualisiert werden.
  • Organisationen sollten risikobasierte Entscheidungen darüber treffen, welche Ebenen des Fernzugriffs von welchen Arten von Client-Geräten aus zugelassen werden sollen.

Stellen Sie sicher, dass RAS-Server effektiv gesichert und so konfiguriert sind, dass Sicherheitsrichtlinien für Remotearbeit erzwungen werden.

  • Die Sicherheit von Fernzugriffsservern ist besonders wichtig, da sie externen Hosts die Möglichkeit bieten, auf interne Ressourcen zuzugreifen, sowie eine sichere, isolierte Telearbeitsumgebung für vom Unternehmen bereitgestellte, von Dritten kontrollierte und BYOD-Client-Geräte bereitstellen.
  • Ein kompromittierter Server ermöglicht nicht nur den unbefugten Zugriff auf Unternehmensressourcen und den Telearbeits-Client Gerät, sondern kann auch dazu genutzt werden, die Kommunikation abzuhören und zu manipulieren sowie als Ausgangspunkt für Angriffe auf andere Hosts innerhalb der Organisation zu dienen.

Schützen Sie organisationsgesteuerte Remote-Work-Client-Geräte vor häufigen Bedrohungen und sorgen Sie regelmäßig für deren Sicherheit.

  • Das Remote-Arbeits-Client-Gerät sollte alle lokalen Sicherheitskontrollen umfassen, die in der sicheren Konfigurationsbasislinie einer Organisation für ihr Nicht-Telearbeits-Client-Gerät verwendet werden.

Wenn die Verwendung externer Geräte (z. B. BYOD, von Dritten kontrolliert) innerhalb der Einrichtungen der Organisation zulässig ist, sollten Sie unbedingt die Einrichtung eines separaten, externen, dedizierten Netzwerks für diese Verwendung mit Fernzugriffsrichtlinien in Betracht ziehen.

  • Die direkte Verbindung von BYOD und von Drittanbietern kontrollierten Client-Geräten mit dem unternehmensinternen Netzwerk erhöht das Risiko, da diese Geräte nicht über die gleichen Sicherheitsvorkehrungen verfügen wie die unternehmenseigenen Geräte.

NIST empfiehlt außerdem die Platzierung von Fernzugriffsservern am Netzwerkrand und definiert vier Arten von Fernzugriffsmethoden:

  • Tunneling-Server bieten Administratoren die Kontrolle über die internen Ressourcen für den Zugriff von Remote-Mitarbeitern am Netzwerkperimeter.
  • Portalserver, die die Anwendungs-Client-Software auf den Servern selbst ausführen. Platzieren Sie sie am Netzwerkrand, da der Remote-Zugriffsbenutzer die Anwendung nur auf dem Portalserver ausführt, nicht auf Servern innerhalb des Netzwerks.
  • Für den Remotedesktopzugriff sind keine RAS-Server beteiligt, sodass es kein Problem mit der Platzierung des RAS-Servers gibt.
  • Direkte Anwendungszugriffsserver führen die Anwendungsserversoftware auf den Servern selbst aus. Die Platzierung am Netzwerkrand hat einen ähnlichen Effekt, da der Remote-Zugriffsbenutzer die Anwendung nur auf dem direkten Anwendungszugriffsserver ausführt, nicht auf Servern innerhalb des Netzwerks.

Die sichere Fernzugriffslösung von Check Point

Check Point ermöglicht es Unternehmen, die NIST-Sicherheitsstandards für den Fernzugriff und mehr zu erfüllen und gleichzeitig den Zugriff auf interne Ressourcen mit geringsten Berechtigungen mit intelligenten Vertrauensentscheidungen in Echtzeit auf der Grundlage definierter Richtlinien und Kontextdaten einfach zu verwalten. Die Zero-Trust-Architektur von Check Point beschränkt außerdem den Benutzerzugriff auf autorisierte Ressourcen, sodass die richtigen Personen zur richtigen Zeit Zugriff auf die richtigen Ressourcen haben, ohne dass ein VPN erforderlich ist.

Mit einer granularen Zugriffskontrolle über und innerhalb jeder Ressource, basierend auf der dynamischen und kontextbezogenen Bewertung von Benutzerattributen und Gerätestatus, bietet die Zero-Trust- Lösung ein umfangreiches Regelwerk, das für alle Benutzer, Server und Unternehmensdatenspeicher, einschließlich Benutzer, durchgesetzt werden kann Befehle und Datenbankabfragen.

Die Sicherheit von Remote-Zugriffsservern wie Gateway- und Portalservern ist ebenfalls wichtig, da sie externen Hosts den Zugriff auf interne Ressourcen ermöglichen und eine sichere, isolierte Remote-Arbeitsumgebung für vom Unternehmen bereitgestellte, von Dritten kontrollierte und BYOD-Geräte bereitstellen Kunde Gerät.

Check Point bietet mehrere sichere Fernzugriffsoptionen für Remote-Mitarbeiter, darunter VPN-Ersatz, Zugriff durch Dritte, Entwicklerzugriff und Privileged Access Management (PAM) sowie Anwendung. Datenbank- und Remote-Desktop-Zugriff, der die NIST-Sicherheitskontrollen erfüllt oder übertrifft.

VPN-Ersatz:

Unternehmen verfügen nicht mehr über unternehmenseigene Rechenzentren, die ein geschlossenes Netzwerk von Systemen versorgen, sondern haben in der Regel einige Anwendungen vor Ort und einige in der Cloud, wobei die Mitarbeiter von verschiedenen Geräten und Standorten aus auf diese Anwendungen zugreifen – vom Wohnzimmer über die Flughafenlounge und den Konferenzraum im Hotel bis hin zum örtlichen Café.

Dies bringt Sicherheitsherausforderungen mit sich, die noch vor einem Jahrzehnt kein Problem darstellten. Unternehmen können sich nicht länger auf Sicherheitsmodelle verlassen, die sich darauf konzentrieren, die Guten hereinzulassen und die Bösen draußen zu halten.

Die Zero-Trust-Access-Lösung ist auf die Komplexität der modernen digitalen Umgebung ausgelegt. Der privilegierte Zugriff auf die Webanwendung privater Unternehmen wird erst gewährt, wenn der Benutzer und das Gerät vollständig auf der Anwendungsebene authentifiziert und autorisiert sind, wodurch implizites Vertrauen im Netzwerk entfällt.

Zugriff Dritter:

Freiberufler und Auftragnehmer sind ein fester Bestandteil der heutigen Belegschaft. Deren Zugang zu sensiblen Daten in großem Umfang zu verwalten, ist eine nahezu unmögliche Aufgabe, die Unternehmen einem potenziellen Sicherheitsrisiko aussetzt. Perimeter-basierte Lösungen bieten keinen Einblick in die Benutzeraktivitäten. Nur 34 % der Unternehmen kennen die Anzahl der individuellen Anmeldungen, die Drittanbietern zugerechnet werden können.

Mit Check Point ermöglichen rollenbasierte Kontrollen Administratoren, den Zugriff auf (und innerhalb) interner Anwendungen einfach bereitzustellen und zu entziehen sowie den Zugriff zeitlich und umfangreich einzuschränken. Darüber hinaus erhalten Administratoren vollständige Aktivitätsprotokolle, die einen Überblick über alle Aktivitäten von Drittanbietern bieten. Sicherheitsteams müssen keine wertvolle Zeit mehr damit verschwenden, komplexe Workflows einzurichten und zu verwalten.

Zugriff für Entwickler:

Das heutige rasante Tempo der Entwicklung und Bereitstellung erhöht den Bedarf an Zugänglichkeit, was das Risiko einfacher menschlicher Fehler erhöht, wodurch wertvolle Daten in Ihrer Datenbank beschädigt, gelöscht oder verworfen werden können. Doch traditionelle, perimeterbasierte Sicherheitsmethoden schränken die Agilität der Entwicklung oft ein. Infolgedessen erhalten Entwickler häufig Administratorrechte, die Angreifer ausnutzen können, um sich seitlich in Ihrem Netzwerk zu bewegen.

Check Point macht es überflüssig, Entwicklern derartige Board-Zugriffsrechte zu geben. Check Point integriert sich nativ mit Datenbankprotokollen und bietet Entwicklern eine schnelle und sichere Verbindung zu jeder Datenbank über ihr Terminal. Alle zugrundeliegenden Sicherheitsmaßnahmen sind nachweisbar. Gleichzeitig ermöglichen Check Points rollenbasierte Zugriffskontrollen es den Administratoren, den Zugriff auf (und innerhalb von) jeder Datenbank einfach zu gewähren und zu entziehen und die Rolle eines Entwicklers auf „nur Ansicht“ zu beschränken, wodurch seine Fähigkeit, die Datenbank zu schreiben, zu löschen oder zu ändern, vollständig blockiert wird.

Privileged Access Management (PAM):

Die Sicherung des privilegierten Zugriffs auf Server konzentriert sich traditionell auf die Schlüsselverwaltung. Die Verwaltung, Verfolgung und Rotation von Schlüsseln in großem Umfang ist jedoch eine nahezu unmögliche Aufgabe. Der Diebstahl von Zugangsdaten ist nach wie vor einer der effizientesten und effektivsten Angriffsvektoren. Drei von vier Unternehmen sind aufgrund von SSH-Missmanagement für Angriffe auf Root-Ebene anfällig.

Die Zero-Trust-Architektur von Check Point sichert den privilegierten Zugriff auf Server über eine integrierte PAM-Lösung, die dafür sorgt, dass die Benutzer keine statischen Anmeldedaten mehr benötigen. Stattdessen authentifizieren sich Benutzer bei einer Datenbank entweder mit einem Kurzzeit-Token oder einem öffentlich-privaten Schlüsselpaar, die beide von Check Point ausgegeben und verwaltet werden. Die Schlüssel werden in regelmäßigen Abständen geändert und können jederzeit manuell widerrufen werden, wodurch der Zugriff sofort gesperrt wird.

Weitere Vorteile:

  • Agentenlose Architektur für die Bereitstellung in weniger als drei Minuten mit optionalen Sicherheitszertifikaten.
  • Detaillierte Zugriffskontrollen für und innerhalb jeder Ressource basierend auf der dynamischen und kontextbezogenen Bewertung von Benutzerattributen und Gerätestatus.
  • Richtlinien können für alle Benutzer, Server und Unternehmensdatenspeicher erzwungen werden, einschließlich Benutzerbefehlen und Datenbankabfragen.
  • Kontrolle über den Zugriff Dritter auf und innerhalb von Anwendungen, Servern, Datenbanken oder Umgebungen mit Überwachungs-, Protokollierungs- und Warnfunktionen.
  • SSO für SSH-Schlüssel wird an einem zentralen und sicheren Ort verwaltet, wodurch die manuelle Verwaltung statischer Anmeldeinformationen entfällt und das Risiko von verlorenen oder kompromittierten Schlüsseln verringert wird.
  • Verwaltung und Überwachung des Datenbankzugriffs mit granularer Kontrolle über Berechtigungen.
  • Audit-Trails der Benutzeraktivitäten, einschließlich Serverzugriff, ausgeführter Befehle und abgefragter Daten sowie vollständig aufgezeichneter Sitzungen.

Loslegen

Remote Secure Access VPN

Sichere Remote-Mitarbeiter

SASE-Sicherheit

Mobile Access

Verwandte Themen

Was ist eine Firewall?

SD-WAN

Was ist Network Security?

Was ist Zero Trust?

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Durch die weitere Nutzung dieser Website erklären Sie sich mit der Verwendung von Cookies einverstanden. Für weitere Informationen lesen Sie bitte unseren Hinweis zu Cookies.
OK