Zurück

Klésia sichert die Administrator-PCs durch kurzlebige virtuelle Desktops

Artikel veröffentlicht am CIO-online 09. November 2018

Yann Renaud, der Leiter der Abteilung Architektur, Sicherheit und übergreifende Projekte bei Klésia hatte nicht vor, auf Systancia zurückzugreifen, bis zu einer Präsentation von deren Lösung.

Um die Sicherung der Power User-Konten zu verbessern, hat Klésia sich für ein Deployment von IPdiva Cleanroom von Systancia entschieden. Dieses Vorgehen mit Arbeitsumgebungen zur Einmalverwendung bricht mit dem ursprünglichen Konzept klassischer Bastionen.

Die Gruppe Klésia wurde 2012 gegründet und ist momentan dabei, ihr Informationssystem zu überarbeiten. Eine große Anzahl an Projekten wurde parallel durchgeführt, zumal die DSGVO-Konformität allein schon eine große Herausforderung dargestellt hat, die es gemeinsam mit der Optimierung der Sicherheit zu bewältigen galt. Im Oktober 2017 wurde ein Sicherheitskonzept für das IT-System erstellt. Unter den prioritären Themen wurde die Verwaltung der privilegierten Benutzer als ganz besonders wichtig herausgestellt. Es handelt sich insbesondere darum, die Aktionen der berühmten “Power User” verfolgen zu können. Aber als Folge aus einem Audit im Frühling 2018 hat sich herausgestellt, dass die Administrator-Konten auch besser geschützt werden müssen, um jeglichen Missbrauch von Rechten zu vermeiden.

Im Februar 2018 wurde eine Ausschreibung durchgeführt bei klassischen Anbietern auf dem Markt der Bastionen. Die endgültige Auswahl sollte Ende Frühling vorgenommen werden. Inzwischen wurde neben dem Sicherheits-Audit ein anderes Projekt zugunsten einer Technologie von Systancia zur Desktop-Virtualisierung erfolgreich durchgeführt, um so ein Problem applikativer Leistungsfähigkeit zu lösen. Infolgedessen wurden die Technologien des Herstellers im größeren Umfeld der IT-Leitung vorgestellt. “Zu Beginn haben wir im Rahmen unserer Vorab-Untersuchung Systancia überhaupt nicht als Anbieter identifiziert, der auf unsere Bedürfnisse antworten könnte.” erinnert sich Yann Renaud, Leiter der Abteilung Architektur, Sicherheit und übergreifende Projekte bei Klésia.

 

Ein kurzlebiger virtueller Desktop

Die Short-List der Auswahl umfasste 3 Hersteller. Yann Renaud erklärt: “Die Lösung von Systancia bietet alle klassischen Funktionen der Bastionen, die im Allgemeinen mehr oder weniger die gleichen sind.  Aber der Unterschied lag genau auf dem Aspekt Cleanroom.” Systancia ist in der Tat ein Hersteller, der zunächst im Bereich der Virtualisierung aktiv war, nicht in der Sicherheit. Die Herangehensweise ist daher anders als bei den klassischen Herstellern. Es geht dabei darum, mit “sterilen Werkzeugen” zu arbeiten, so wie es auch in der Chirurgie praktiziert wird.

Die Lösung IPdiva Cleanroom bietet in der Tat kurzlebige virtuelle Desktops, die auf Basis von einem als Referenz dienenden Image erzeugt werden, jedoch nur, wenn der Administrator sie benötigt.  Sobald der Administrator fertig ist, wird sein virtueller Desktop sofort zerstört. Jede Art an Administrations-Aufgaben oder Administrator-Profilen (Administrator-Netzwerk, Software etc.) enthält daher eine Referenz-Image-Datei. Selbstverständlich werden die Aktionen wie bei einer klassischen Bastion aufgezeichnet, um wieder eingespielt werden zu können, wenn ein Vorfall entdeckt wird. Die Passwörter (zum Beispiel für den Zugriff auf die Datenbank) und die Schlüssel für die Verschlüsselung werden in Tresoren mit einer SSO-Verbindung verwaltet, wenn ein virtueller Desktop generiert wird. Die echten Passwörter werden übrigens automatisch zurückgesetzt und verwaltet. Ein Angreifer muss so nicht nur in einen stark gesicherten PC eindringen können, sondern er kann das auch nur in einem sehr kurzen Zeitraum tun, und er muss bei jeder feindlichen Aktion und zu einem nicht-vorhersehbaren Moment von vorne beginnen, und alle durchgeführten Aktionen werden aufgezeichnet. Auch wenn keine Sicherheitsvorrichtung jemals perfekt sein wird, kann Yann Renaud nur feststellen: “Die Angriffsfläche ist deutlich reduziert.”

 

Ein stichhaltiges Lizenzangebot

Die Lösung von Systancia wird auch für externe Dienstleister verwendet, die so Wartungsarbeiten aus der Ferne durchführen können, indem sie sich mit ihrem Profil über ein Web-Portal auf eigenen virtuellen Desktops anmelden. Klésia greift allgemein häufig auf externe Systemadministration zurück. Allerdings sind standardmäßig die Arbeitsmittel der Dienstleister nicht unter der Kontrolle von Klésia: jeder muss definieren, wie viele Personen er zu welchem Moment benötigt, um seine vertraglichen Verpflichtungen zu erfüllen. “Wir beherrschen die Anzahl der Administratoren nicht, die an unserem IT-System Arbeiten vornehmen.” stellt Yann Renaud fest.

Nun bietet Systancia die Lösung nicht mit namentlich benannten Benutzern, sondern mit gleichzeitig angemeldeten Benutzern. Für Yann Renaud, “könnte das nur eine Kleinigkeit sein, aber in unserem Zusammenhang ist es das überhaupt nicht!” Die Kosten des Deployments konnten so in sehr begrenztem Rahmen gehalten werden. Die Lösung, die im späten Frühling ausgewählt wurde, wurde direkt im Anschluss eingeführt. “Im Moment sind wir seit September in der Pilotphase.” erklärt Yann Renaud, der sich über die Reaktivität des Hersteller-Teams freut.

 

Einige Schwierigkeiten in Zusammenhang mit verbesserungswürdiger Reife

Klésia ist der erste Kunde der Ipdiva Cleanroom-Package-Lösung. Diese setzt sich aus der Integration verschiedener bestehender Teile zusammen. Yann Renaud muss anerkennen, dass sie “noch einige Startschwierigkeiten überwinden müssen, umso mehr, als Systancia es nicht gewohnt war, mit so einer komplexen Struktur wie der unsrigen zu arbeiten. Aber ich bin zufrieden, wenn wir ihnen helfen können, Fortschritte zu machen.” Die Lösung wurde auf einer eigenen Infrastruktur installiert, um jegliche Probleme zu vermeiden. Eine Schwierigkeit war, die genaue Rolle jedes Moduls gut zu verstehen, da die Namen nicht unbedingt sehr explizit sind, um die richtigen Kanäle in den Firewalls zu öffnen.

Da die Beziehung zwischen dem Hersteller und Klésia exzellent war, wurde direkt im Anschluss ein anderes Projekt begonnen. Ein schwerer und komplex zu migrierender Teil des Altsystems ist das Nutzer-Verzeichnis, welches zur Zeit unter Lotus Notes läuft. Diese Migration wird mit einer Lösung von Systancia bis zum Jahresende durchgeführt. “Wir nehmen nicht nur einfach die Migration vor, sondern wir nutzen es, um einige zusätzliche Arbeiten durchzuführen, daher diese Frist.” bemerkt Yann Renaud. Die Migration zieht die Implementierung einer automatisierten Verarbeitung bei Einstellung, Ausscheiden und Versetzungen der Angestellten nach sich (Verwaltung des Lebenszyklus der Mitarbeiter) mit dem Auslösen von Vorgängen in HR Access durch den Personalleiter und in Service Now.

 

Über Klésia

Klésia ist eine paritätisch besetzte Sozialversicherungs-Gruppe mit zwei Berufsfeldern: einerseits die Versicherung und Vorsorge von Personen, andererseits die Rentenzusatzversicherung (AGIRC-ARRCO). Im Gegensatz zu der Mehrheit der französischen Krankenversicherungen vertreibt Klésia seine Dienstleistungen hauptsächlich in Form von kollektiven Verträgen: der Versicherungsvertrag wird so für eine einzige Einheit abgeschlossen (zum Beispiel ein Unternehmen für seine Angestellten).

Diese Gruppe wurde 2012 gegründet durch den Zusammenschluss der Gruppen Mornay (sehr präsent in den Bereichen Hotelgewerbe, Gastronomie, Pharmazie…) und D&O (einflussreich im Transportsektor) sowie verschiedener Krankenversicherungen, die nach und nach zu der Gruppe hinzugekommen sind. Klésia umfasst daher mehrere Branchen, einige enthalten den Namen der Gruppe (Klésia Retraite Agirc, Klésia Retraite Arrco, Klésia Mut’…), andere nicht (IPRIAC, CARCEPT…).

 

Ein im Wesentlichen zentralisiertes IT-System

Die zentralen Dienste hängen von der AMK ab (Association de Moyens Klésia – Mittelverwaltung von Klésia). Die IT ist zentralisiert: wenn eine Struktur zu der Gruppe hinzukommt, wird ein Zusammenführen von deren IT-System mit dem von Klésia eingeleitet, was mit der Migration innerhalb der Infrastruktur beginnt. Insgesamt zählt die DSI-GP (“DSI-Grands Programmes”) 180 bis 260 Mitarbeiter, Festangestellte und Externe. Der klassische PC wurde bereits weitgehend in die Cloud migriert mit Annahme von Office 365.

Die 25 Standorte von Klésia verbinden sich mit dem Informationssystem über ein Extranet. Kunden und Partner kommen natürlich über das Internet. In beiden Fällen wird die Verbindung über ein Paar “Netcenter” sichergestellt, welche sich im Großraum Paris befinden, wo die Sicherheit und einige Basis-Dienste verwaltet werden. Diese sind über eigene Glasfaser mit dem Paar Datacenter für die Applikationen und die Daten in der Nähe von Montpellier verbunden. Jedes Paar ist im Aktiv/Aktiv-Modus mit einem garantierten physischen Sicherheitsabstand zwischen den beiden Server-Räumen.

 

Ein IT-System in der Umgestaltung

Die Datacenter verwenden eine SDx-Architektur mit VMware-Technologien, die Speicherung erfolgt in mit Vplex virtualisierten Dell/EMC-Serverschränken. Seit zwei Jahren greift Klésia für einige Projekte auf die Hyperkonvergenz Nutanix zurück. Netcenter und Datacenter werden von IBM verwaltet, aber die Infrastruktur gehört Klésia. PCs und Netzwerk werden von Consort NT verwaltet.

Seit 2012 wurde das IT-System zuerst durch die Fusion der bereits bestehenden aufgebaut. Deswegen bleibt noch das Mainframe, aber durch die laufende Entwicklung wird das IT-System auf einem verteilten UNIX-System basieren. Indem sie sich auf die Integration von Sopra-Steria stützt, migriert die Klésia-Gruppe zur Zeit ihr IT-System mit Business-Applikationen nach Active Infinite von Cegedim, welches gerade auf die beruflichen Besonderheiten von Klésia wie Kollektiv-Verträge angepasst wird.

 

Artikel verfasst von Bertrand Lemaire, Chefredakteur CIO

Quelle: cio-online (auf Französisch)