VPN im Cloud-Zeitalter

Die richtige Kombination aus maximaler Flexibilität und höchster Sicherheit!

Durch das Thema „Cloud“ sind IT-Security-Netzwerke in den letzten Jahren immer flexibler und digitaler geworden. Gleichzeitig kehren Unternehmen den klassischen, vertrauten Lösungen häufig den Rücken zu. Eins ist jedoch sicher: Cloud-Lösungen in Unternehmen müssen genauso lückenlos abgesichert sein wie eine On-Premise-Infrastruktur. Wie dies gelingt, lesen Sie im Folgenden.

Wo früher ein einfacher VPN-Server noch das Maß aller Dinge in Sachen professioneller IT-Sicherheit darstellte, steht mittlerweile alles unter dem Zeichen „Cloud“. Statt Serverraum in der Firmenzentrale greift man häufig auf ein entferntes Rechenzentrum zu und in der einschlägigen Berichterstattung spricht man häufiger von „Zero Trust“, „Single Sign On“ oder „SD-WAN“ als dem altgedienten „VPN-Tunnel“. Doch wieso eigentlich? Weil sich virtuelle private Netzwerke und Cloudanbindung von vornherein ausschließen? Mitnichten! Entscheidet man sich für eine moderne Lösung, ergänzen sich zeitgemäße VPN-Strukturen und digitale Cloud-Technik ganz wunderbar. Mehr noch: Richtig eingesetzt kombinieren sich ihre jeweiligen Stärken sogar zu einem mächtigen IT-Security-Instrument.

Kompatibel und sicher

Die meisten Unternehmen schätzen an der Cloud vor allem die räumliche Trennung zum eigenen Unternehmen, wodurch sie auch nicht eigenhändig gewartet und verwaltet werden muss. Dennoch versteht man unter „Cloud“ im Grunde nichts anderes als ein Rechenzentrum, das durch die gewachsenen Ansprüche an Sicherheit und Zugriffskontrollen mindestens genauso gut absichert sein muss wie eine lokale Netzwerklösung. Dafür wurden in den letzten Jahren neue Cybersicherheitskonzepte, allen voran SASE (Secure Access Service Edge), ins Leben gerufen, die Computernetzwerke und Sicherheitslösungen wie Zero Trust in einem Cloud-Servicemodell verbinden. Klassische, starre VPN-Ansätze haben in diesem dynamischen Verbund aus modernsten IT-Security-Lösungen augenscheinlich keinen Platz. Doch was, wenn die VPN-Lösung genauso dynamisch wie die Cloud-Techniken wäre und gleichzeitig noch ein erheblich höheres Sicherheitsniveau mitbringen würde? Damit dieses Vorhaben von Erfolg gekrönt ist, müssen vor allem zwei Punkte erfüllt sein: Hochsichere Datenkommunikation über einen IPsec-Tunnel und vollständige Kompatibilität mit allen gängigen Cloud-Technologien.

Next level Security

Das entsprechende Sicherheitslevel kommt bei einer cloud-integrierten VPN-Lösung durch das Gateway in Verbindung mit einem Management-System zustande. Dies kann z.B. der NCP Virtual Secure Enterprise VPN Server (vSES) in Kombination mit dem NCP Secure Enterprise Management (SEM) sein. Eine solche Kombination bringt zwei große Vorteile: Zum einen werden darüber geleitete Verbindungen nicht SSL-, sondern IPsec-basiert übertragen. Dadurch sind Datenpakete hochsicher verschlüsselt, während bremsende Handshakes entfallen und User die volle Geschwindigkeit für den Datentransfer nutzen können. Zum anderen befindet sich das Gateway nicht direkt in der Cloud, sondern bildet hinter der Firewall eine abgesicherte Umgebung direkt auf dem Server. In puncto Server empfiehlt es sich außerdem, sich für ein deutsches Rechenzentrum zu entscheiden. So erhalten Sie die maximale Transparenz über Ihre Datenflüsse und bewahren Ihre digitale Souveränität ohne Backdoors.

VPN für die Cloud!

Wie eingangs erwähnt reicht es nicht, wenn das VPN hochsicher ist. Für die nötige Praxistauglichkeit muss sich die Remote-Access-Lösung auch nahtlos mit allen wichtigen Cloud-Services verwenden lassen. Dies klappt nur, wenn das Produkt für diesen Zweck ausgelegt ist. Dies ist unter anderem bei den Enterprise-VPN-Lösungen von NCP gegeben, die z.B. mühelos als Teil einer SASE- oder SD-WAN-Infrastruktur eingesetzt werden können. Auch hier stehen Gateway und VPN-Management im Zentrum, die als reine Software-Komponenten auf praktisch jeder Server-Hardware lauffähig sind. Dadurch ist diese Art von VPN bereits von Natur aus „cloudfähig“ und kann mit entsprechenden Cloudanwendungen interagieren.

Single sing-On (SSO)

Bei einem Single-Sign-On-System müssen sich Anwender nur einmal einloggen und haben anschließend abgesicherten Zugriff
auf all ihre benötigten Anwendungen. Eine moderne VPN-Lösung kann hierbei die Authentifizierung übernehmen.

Gateway und Management bilden damit gewissermaßen das Eingangstor für den Cloud-Remote-Access. Der Admin kann frei definieren, wie die Zugangsanfragen authentisiert werden. Abseits von reinen Einzelabfragen mit Multi-Faktor-Authentifizierung, bietet sich im Cloud-Kosmos vor allem die Verwendung von komplexeren Systemen wie SAML (Security Assertion Markup Language) an. Hier wird der Nutzer am SSO-Portal (Single Sign On) in der Cloud einmal authentisiert. Diese Authentisierung gilt dann sowohl für interne Dienste als auch externe Cloudanwendungen. So genießen Administratoren und Nutzer weiterhin alle Vorteile ihrer SAML-Schnittstelle, sind jedoch gleichzeitig über einen hochsicheren IPsec-Tunnel geschützt, der verschlüsselte Datenübertragung zur Firmenzentrale in voller Geschwindigkeit zulässt. Dieser Tunnel bietet außerdem einen wirtschaftlichen Vorteil für das Unternehmen. Mit einem passenden Lizenzmodell wird die IPsec-Absicherung nur kostenpflichtig, wenn der Tunnel auch tatsächlich aufgebaut wird. Dadurch erhalten Sie auch in dieser Hinsicht maximale Remote-Flexibilität.

Zero Trust Security von NCP

Ein umfassendes Zero-Trust-Konzept sollte diverse Komponenten beinhalten,
die für die Sicherheit und den Bedienkomfort der Gesamtlösung essenziell sind.

Technologien wie SAML/SSO werden auch oft auch als Bestandteil einer übergeordneten Zero-Trust-Strategie eingesetzt. Dabei haben Nutzer nur Zugriff auf die Anwendungen, die sie für ihre unmittelbare Arbeit benötigen (Least-privilege-Prinzip). In der Praxis erreicht man dies über granular definierte Firewall-Regeln erreicht, die alle Zugriffe am VPN-Gateway kontrollieren. Hierbei profitieren Administratoren von einer Management-Komponente wie dem NCP Secure Enterprise Management (SEM), durch die alle Zugriffsrechte von Nutzergruppen und einzelnen Anwendern zentral konfigurierbar sind. Auch wenn Sie die Zero-Trust-Komponenten nicht im Zusammenspiel mit einer SAML/SSO-Access-Verwaltung betreiben, bietet eine gute VPN-Lösung übrigens von Haus aus eine mächtige User-Authentisierung mittels Multifaktor oder Benutzerzertifikatsüberprüfung. Zusätzlich profitieren Sie durch den Funktionsumfang der VPN-Software von weiteren Features wie zentralen Updates, Endpoint Policy Checks oder Traffic-Management-Funktionen, die den Zero-Trust-Gedanken nicht nur erfüllen, sondern sogar logisch weiterentwickeln.

Von „Basic“ zu „Advanced“

Die genannten Features sollten nicht außer Acht gelassen werden, denn erst durch sie wird aus einer grundlegenden Sicherheitssoftware eine allumfassende Cloud-Security-Lösung. Funktionen wie der NCP VPN-Bypass oder Split Tunneling helfen dabei, innerhalb eines SAML-Systems Datenströme zu managen, indem datenhungrige, aber nicht sicherheitsrelevante Applikationen wie z.B. Videostreams am VPN-Tunnel vorbei ins Internet gesendet werden. Auf diese Weise wird der Server entlastet und es bleibt mehr Rechenleistung für die sichere Übertragung von relevantem Traffic übrig. Für die Sicherheit des gesamten Netzes sind neben Multifaktor-Authentifizierungen auch Endpoint Policy Checks unverzichtbar. Hier werden die Endgeräte der User vor jedem Login-Versuch auf vordefinierte Security-Parameter hin überprüft. Erfüllt beispielsweise ein Laptop die Vorgaben nicht, weil Virenscanner oder Betriebssystem veraltet sind, wird die Verbindung erst nach Abschluss der notwendigen Updates aufgebaut. Dieser Kreis schließt sich, wenn der Administrator durch die VPN-Management-Komponenten mit wenigen Klicks Policies, Firewall-Änderungen und Software-Updates an einzelne Nutzergruppen oder die gesamte Organisation verteilt. Dadurch bleiben auch große Anwenderzahlen und WAN-Systeme, die mit der Cloud verbunden sind, immer auf dem neuesten Sicherheitsstand!