Software-Produkte
Cloud services
- Systancia Workroom
  - Systancia Workroom Session
    Das Portal für den sicheren Fernzugriff auf alle Ihre Anwendungen in jeder Situation (Telearbeit, Mobilität, Bereitschaftsdienst, Facility Management, Services).
    
    Entdecken Sie den Service
  - Systancia Workroom Desk
    Das Portal für den sicheren Fernzugriff auf Ihre virtuellen Desktops und alle Ihre Anwendungen in jeder Situation (Telearbeit, Mobilität, Bereitschaftsdienst, Facility Management, Services).
    
    Entdecken Sie den Service
- Systancia Cleanroom
  - Systancia Cleanroom Session
    Überwachung des Zugriffs auf IS-Ressourcen durch autorisierte Benutzer und Administratoren.
    
    Entdecken Sie den Service
  - Systancia Cleanroom Desk
    Das sterile und wegwerfbare virtuelle Verwaltungsbüro zur Überwachung des Zugriffs auf IS-Ressourcen durch autorisierte Benutzer und Administratoren.
    
    Entdecken Sie den Service
Lösungen und Anwendungsfälle
- „SaaSifizierung“ von Anwendungen
  
  Die Anwendungsvirtualisierung ermöglicht es Unternehmen, all ihre Geschäftsanwendungen im SaaS-Modus bereitzustellen. Kontakt Für Software-Hersteller ist die Virtualisierung von Anwendungen ein Mittel der „SaaSifizierung“ von Geschäftsanwendungen, die sie ihren Kunden anbieten. Dank dieser virtualisierten Remote-Anzeige sind ihre Anwendungen im SaaS-Modus verfügbar. Der Kunde bezahlt dann ein Abonnement, das ihn von technischen Einschränkungen bei der Nutzung der Peripherie-Geräte befreit. Monatliche Festbeträge ermöglichen eine vernünftige Planung der IT-Ausgaben für den Kunden sowie eine bessere Sichtbarkeit der Zahlungen für den Hersteller. Intern bietet die...
  Bedienungsanleitung lesen
- Ablösung einer bestehenden Lösung
  
  Wenn es darum geht, die Sicherheit der IT-Systeme zu gewährleisten, die Customer Experience zu optimieren oder das Applikations-Management zu vereinfachen, Unternehmen und Organisationen müssen ihre veralteten IT-Lösungen immer mal wieder modernisieren und ersetzen. Der Grund ist oft, dass die alten Lösungen nicht mehr mit den Herausforderungen der digitalen Einbindung Schritt halten können. Kontakt Austausch einer Virtualisierungslösung Die Nutzung von App- und Desktop-Virtualisierungslösungen ist in Unternehmen und Organisationen weit verbreitet. Die Vorteile dieser Lösungen, sowohl finanzieller als auch technischer Natur, müssen...
  Bedienungsanleitung lesen
- Organisatorische Agilität und Verbesserung des Prozesses der Mitarbeiter-Veränderungen
  
  Die Veränderungen der Mitarbeitenden, das können Austritte, interne Versetzungen oder wechselnde Dienstleister oder auch M&A-Prozesse sein, erfordern es, dass die IT-Leitung über eine echte Agilität verfügt mit der Absicht, diese Veränderungen fließender zu machen und das Sicherheitslevel des IT-Systems anzuheben. Kontakt Den Prozess der Mitarbeiter-Veränderungen verbessern Die Automatisierung der Verwaltung von Benutzerkonten ermöglicht es, die Administration der Benutzer und deren Berechtigungen effizienter und fließender zu machen. Durch das automatische Anlegen digitaler Identitäten der Personen aus existierenden Verzeichnissen und das einfache...
  Bedienungsanleitung lesen
- Arbeitsplatz oder Applikation virtualisieren
  
  Die Virtualisierungslösung für Anwendungen und Arbeitsumgebungen mit fortgeschrittenen Funktionen, die an alle Organisation angepasst ist und es ermöglicht, das meiste aus den hyperkonvergenten Infrastrukturen herauszuholen. Kontakt Die Virtual Desktop Infrastructure der Wahl für Hyperkonvergenz Die Virtualisierung von Anwendungen ist einer der Grundpfeiler von IT-Systemen: Es handelt sich hierbei für viele Nutzer um die Benutzerschnittstelle, über die sie auf ihre Geschäftsanwendungen zugreifen. Die Kunden, die über eine hyperkonvergente Infrastruktur verfügen, haben die Wahl zwischen Spitzen-VDI-Lösungen, sogenannten „Best of Breed“, oder allgemeinen...
  Bedienungsanleitung lesen
- Datenschutz und Prävention von Datenverlust
  
  Die Vervielfachung der Daten innerhalb der Unternehmen und Organisationen sowie der sensible Charakter spezieller Daten macht den Schutz dieser Daten unumgänglich. Denn sie müssen gegen jegliches Risiko von Datenverlust geschützt werden, der potenziell verheerend sein kann, wie wir täglich aus der Presse erfahren. Kontakt Post-Audit-Trauma oder Datenverlust Ein Audit, das die Risiken bei der Sicherheit eines IT-Systems oder einen nachweislichen Datenverlust aufdeckt, wirkt wie ein Elektroschock auf die Verantwortlichen der IT-Sicherheit. Um das digitale Risiko zu verwalten, der Ausbreitung von...
  Bedienungsanleitung lesen
- Die Cloud als Hebel nutzen
  
  Für Unternehmen treibt die Cloud Flexibilität und digitale Transformation voran, sowohl für die Mitarbeitenden als auch für die IT-Abteilung. Kontakt Crédits photo : https://writix.co.uk Massive Migration der Betriebsumgebung IT-Abteilungen müssen sich heutzutage der schnellen und asynchronen Weiterentwicklung der verschiedenen Technologien im Bereich Server-Betriebssysteme, Applikationen und Workstations annehmen. Die Server-Betriebssysteme entwickeln sich zum Beispiel mit einer anderen Geschwindigkeit weiter als die Betriebssysteme der Workstations und wiederum mit einer anderen Geschwindigkeit als die der Geschäftsanwendungen (die sich wiederum untereinander mit verschiedenen Geschwindigkeiten...
  Bedienungsanleitung lesen
- Einhaltung gesetzlicher Bestimmungen, DSGVO und IT-System-Sicherheitsempfehlungen
  
  Die Einhaltung der vielen gesetzlichen Bestimmungen wird manchmal als Einschränkung empfunden, dennoch ist sie notwendig, um eine effiziente Sicherheit des IT-Systems zu garantieren. Kontakt Anpassung an die gesetzlichen Vorschriften Die geltenden Vorschriften in Bezug auf Sicherheit von IT-Systemen sehen es vor, dass jede Organisation innerhalb einer Branche die ihr anvertrauten Daten oder ihr gesamtes IT-System schützen können muss. Durch die Implementierung solcher Lösungen können präzise und effiziente Antworten auf die Heterogenität der Regeln bezüglich der Verwaltung von IT-Systemen, Zugriffen, Identitäten...
  Bedienungsanleitung lesen
- Fremd-Zugriff (Anbieter, Ökosystem)
  
  Um sicherzustellen, dass Nutzer und IT-Leitung auch mitziehen, muss jegliche IT-Lösung eine optimale Zugriffs- und Nutzererfahrung bieten und zugleich die Sicherheit des IT-Systems aufrechterhalten, ohne dass dies von den Nutzern als Einschränkung empfunden wird. Kontakt Zugriff der Anbieter & des Ökosystems sichern Jedes Unternehmen muss sich mit seinen verschiedenen Stakeholdern austauschen können, egal, ob es sich dabei um interne oder externe Mitarbeitende handelt. Die Bereitstellung von privaten Extranet-Zugriffen auf die Anwendungen ermöglicht es, sowohl die Austausche zu sichern als sie...
  Bedienungsanleitung lesen
- Vereinfachung von Mobilität, Arbeit aus dem Home-Office oder IT-Fernwartung
  
  Um sich an die neuen Arten der Nutzung in Bezug auf Mobilität, Arbeit im Home-Office oder IT-Fernwartung anzupassen, müssen Unternehmen und Organisationen den Mitarbeitenden erlauben, von außen auf das IT-System zuzugreifen. Dies sollte für den Benutzer durch eine transparente Erfahrung in Bezug auf Ergonomie und Performance sicherstellen und die Sicherheit des Zugriffs von einem nicht kontrollierten PC oder Netzwerk garantieren. Kontakt Remote-Arbeit erleichtern Jeder Nutzer muss auf seine Arbeitsumgebung Zugriff haben, ob er nun im Büro, unterwegs, im Home-Office, im...
  Bedienungsanleitung lesen
- Verwaltung des digitalen Risikos / Interne und externe Audit
  
  Die Sicherheit von Informationssystemen ist hauptsächlich vom schwächsten Glied in der Kette bestimmt, das gleichzeitig das wichtigste ist: dem Menschen. Kontakt Nachverfolgbarkeit und Auditierbarkeit Die Kontrolle einer Umgebung mit Privilegien ist heute unverzichtbar geworden, um die durchgeführten Aktionen zu verfolgen und schnellstmöglich jede ungeschickte oder bösartige Aktion zu stoppen. Das Ziel ist es, im Falle eines Eindringens verstehen zu können, was passiert ist. Die Nachverfolgbarkeit ist in der Beziehung zwischen IT-Dienstleistern und deren Kunden von großem Interesse. Als Kunde möchte...
  Bedienungsanleitung lesen
Customer Success
Partner
Veranstaltungen
- Events
- Webinar
- Replays
Presse
Blog

Das Konzept des Cleanroom für eine sichere Administration

Eine Bastion ist ein militärisches Bauwerk, das aus einer Festungsanlage hervorragt. Wir können daraus schließen, dass im Bereich Informatik der Begriff „Bastion” ein Host ist, der einem externen (nicht vertrauenswürdigen) Netzwerk ausgesetzt ist. Im Normalfall zielt ein Bastion Host darauf ab, ein Netzwerk oder einen Teil des Netzwerkes vor externen Bedrohungen zu schützen; er stellt folglich das am meisten ausgesetzte Element dar, welches von der höchsten Anzahl an externen Angriffen bedroht wird. Wenn eine Bastion „fällt”, ist die ganze Organisation betroffen.

Die privilegierten Zugänge zum Informationssystem einer Organisation waren schon immer ein kritischer Punkt. Dennoch haben sich die Gewohnheiten geändert mit der Weiterentwicklung der Beschränkungen und Herausforderungen (Gruppierung von Verwaltungen, Zentralisierung etc.). Heutzutage wird eine Administrations-Aufgabe nicht immer in einem internen oder dedizierten Netzwerk durchgeführt, sondern potenziell von außen oder sogar von einem externen Dienstleister, dessen Umgebung (technisch und operativ) nicht unbedingt vom Auftraggeber beherrscht wird.

Nach dieser Präsentation von Antworten, die eine klassische PAM-Lösung (Privileged Access Management) auf die Sicherheits-Herausforderungen der privilegierten Zugänge bietet, präsentiert der vorliegende Artikel innovative Antworten, die Systancia mit der Lösung Systancia Cleanroom (ehemals IPdiva Cleanroom) bietet, die Administrator-Zugänge mit einer isolierten und kontrollierten Arbeitsumgebung zur Einmalverwendung sichert.

PAM-Lösung oder sogenannter Bastion Host

Es ist unausweichlich für jede Organisation, die Aktionen der Power User, die sich in einem externen oder internen Netzwerk befinden, zu verfolgen ([01]). Die Antwort auf die Problematik der Beherrschung und der Kontrolle solcher Aktionen ist der Einsatz eines Produkts des Typen PAM.

Eine PAM-Lösung kann als ein Bastion Host in der IT angesehen werden, der es ermöglicht, die Power User zu verfolgen und zu überwachen (mit oder ohne Video-Aufzeichnung) sowie eventuell in Echtzeit die Daten und das Verhalten zu analysieren, um verdächtige oder anormale Aktionen aufzudecken. Ein PAM-Produkt kann auch Funktionen eines Tresors oder die Verwaltung sekundärer Logins oder Kennungen bieten (in Verbindung mit den administrierten Ressourcen). Eine PAM-Lösung kann darüber hinaus bei der Aufdeckung von Cyber-Attacken vom ersten Versuch bis zur nachträglichen Analyse helfen.

Zusammenfassend kann man sagen, dass eine PAM-Lösung technisch interessant ist für die Verwaltung und Überwachung der privilegierten (internen und/oder externen) Konten. Die französische Datenschutzbehörde ANSSI erinnert in [02] daran, dass es wichtig ist, bei der Wahl, dem Einsatz und dem Betrieb einer solchen Lösung wachsam zu sein.

Wie kann jedoch der Fall eines IT-Dienstleisters oder der Remote-Administration von einem nicht beherrschten PC behandelt werden? Es ist in der Tat illusorisch zu glauben, dass ein dedizierter PC für jedes administrierte Netzwerk verwendet wird. Als Beispiel erwähnt der Artikel [01] die Ausbreitung eines Virus zwischen zwei verschiedenen Netzwerken, die von dem gleichen Dienstleister administriert werden.

Das Konzept des Cleanroom

Als Spezialist der Virtualisierung, der Sicherheit der Informationssysteme und des digitalen Vertrauens hat Systancia die Technologien VDI (Virtual Desktop Infrastructure), VPN (Virtual Private Network), PAM (Privileged Access Management) SSO (Single Sign-On) kombiniert, um eine innovative und globale Sicherheits-Lösung anzubieten, die über einen klassischen Bastion Host hinausgeht: Systancia Cleanroom.

Die Lösung Systancia Cleanroom ist für die Sicherheit der Administrator-PCs zugeschnitten; insbesondere trennt sie die Administrations-Umgebung von der gewöhnlichen Arbeitsumgebung. Das Angebot Systancia Cleanroom ermöglicht eine sichere Administration eines Informationssystems und bietet die folgenden Funktionalitäten:

Bereitstellung eines virtuellen PCs, der komplett abgedichtet ist (das heißt ohne Anbindung an den PC, auf dem er ausgeführt wird) vollständig durch die administrierte Organisation kontrolliert wird, und (vor allem) zur Einmalverwendung dient;
Überwachung der von einem Administrator an den Ressourcen durchgeführten Aktionen mit Video-Aufzeichnung für eine nachträgliche Analyse, aber auch zur Analyse in Echtzeit des Verhaltens (mit Alarmen und Vorsichtsmaßnahmen);
Verstärkung der Verbindungen auf die Ressourcen (Abdeckung der Passwörter und Anmeldedaten) und der Passwort-Strategie (Verwaltung der geheimen Elemente);
Antwort auf die Erwartungen für sichere Mobilität eines Administrators mit einer Anmeldung, die Vertraulichkeit und Integrität des Datenflusses gewährleistet.

Die Lösung Systancia Cleanroom ist disruptiv, denn ihr Ansatz einer Arbeitsumgebung zur Einmalverwendung bricht mit dem Einsatz einem sogenannten Bastion Host als PAM-Lösung. Der virtuelle wird PC bei jeder Anmeldung auf Basis eines von der Organisation definierten Master generiert. So ist es möglich, auf verschiedene Master mit den geeigneten Mitteln zur Administration von Datenbanken, Business-Applikationen, Servern etc. zu definieren. Wenn der Power User seine Arbeit beendet, wird der PC gelöscht, auf dem die Arbeit durchgeführt wurde, und bei der nächsten Anmeldung wird eine neue Umgebung (auf der Basis des Master) zur Verfügung gestellt – ohne Spuren der vorherigen Arbeiten.

Durch die Kombination der Bausteine Virtualisierung (VDI), Cybersicherheit (VPN und PAM) sowie digitales Vertrauen (SSO) bietet Systancia Cleanroom eine technische Antwort auf die Trennung von Benutzer und Administrator (die zu administrierende Organisation stellt den oder die Administrations-PCs über personalisierbare Master bereit), aber auch auf missbräuchliche Öffnung externer Zugänge auf ein Informationssystem (ein einziger angebotener Zugang ermöglicht es, den Power User zu identifizieren und anzumelden und seinen Datenfluss zu schützen). Schließlich ermöglicht das Bauteil SSO, das in Systancia Cleanroom implementiert ist, die Gefahren im Zusammenhang mit dem Turnover der Power User sowie die Gefahren des „Post-It”-Effekts zu vermeiden. Tatsächlich hat ein Power User, der Systancia Cleanroom verwendet, keine Kenntnis der Passwörter für Zugang zu den administrierten Ressourcen, sondern nur der notwendigen Kopplung für Identifizierung und Anmeldung an Systancia Cleanroom.

In [03] kündigt Sunzi an: „Die Kunst […] besteht darin, den Feind von Ihrem Lager fernzuhalten und von allen Posten, die Ihnen in einiger Konsequenz erscheinen.” Systancia Cleanroom verschreibt sich auf natürliche Weise dieser Logik und bietet die einzige Lösung, die den wachsenden Sicherheitsanforderungen der Administrator-PCs entspricht.

Entdecken Sie Systancia Cleanroom

Referenzen

[01] Wie kann man den Administrator-PC sichern?

[02] Empfehlungen zur sicheren Administration von Informationssystemen, ANSSI, Version 2.0 vom 24.04.2018

[03] Die Kunst des Krieges, Sunzi.

Blog

Das Konzept des Cleanroom für eine sichere Administration

PAM-Lösung oder sogenannter Bastion Host

Das Konzept des Cleanroom

Systancia-Blog

Home-Office: Wie kann man auf sichere Weise von zu Hause aus auf das IT-System des Unternehmens zugreifen?

I LOVE DSGVO ♥

Wie kann man das Desktop des IT-Administrators sichern?