Bei der Analyse der täglichen Geschäftsprozesse stellt man rasch fest, dass Kommunikation mit Partnern und Kunden als ein wichtiger, wenn nicht gar als der wichtigste Geschäftsbestandteil gesehen werden muss. Hier erfreut sich die elektronische Kommunikation über IP-Netze einer steigenden Wertschätzung. In diesem Zusammenhang kommt dann sofort das Thema IT-Sicherheit zur Sprache.
Dabei hatte dieser Begriff früher noch eine gänzlich andere Bedeutung. Vor zehn Jahre haben die Mitarbeiter hauptsächlich firmenintern miteinander elektronisch kommuniziert. Sicherheitsregeln konzentrierten sich auf das Vermeiden von Datenverlusten, das Einhalten von Vertraulichkeitsregeln und die ständige Verfügbarkeit der Informationen.
Heute werden globale Märkte und Partner immer wichtiger - und das für Unternehmen jeder Größe. Geschäftsprozesse gewinnen an Dynamik, weltweite Partnerschaften und strategische Allianzen kommen zu Stande, auch kleine und mittelständische Unternehmen konzentrieren sich mittlerweile auf internationale Märkte. So hat sich auch der Fokus der IT-Sicherheit von der internen auf die externe Kommunikation verlagert. Heute benötigt man Sicherheitswerkzeuge für die effiziente, weltweite Vernetzung mit Lieferanten, Kunden und Partnern.
Komponentenvielfalt verwirrt den Kunden
Die Technologie für den Aufbau einer dynamischen und sicheren Vernetzung ist bereits verfügbar. Firewalls, Router, virtuelle private Netze und andere Anwendungen gehören heute zur Standardausstattung. Eine komplette Netzwerklösung beinhaltet mehrere verschiedene Komponenten, die alle ein spezielles Wissen verlangen - dies stellt für den Anwender oft ein Problem dar. Die hohe Anzahl von Einzelelementen, die verwaltet werden müssen, machen die ganze Lösung sehr komplex.
Vielen Unternehmen fehlt es an Kompetenz, ein derartiges Netzwerk aufzubauen und später zu verwalten. Sie schöpfen die angebotenen Möglichkeiten bei weitem nicht aus. Hier nun kommen Service-Provider ins Spiel. Mit ihrer Erfahrung können sie die neu entstanden Geschäftsfelder einfacher abdecken. Und für die Kunden ist es in den meisten Fällen günstiger, für die gewünschte Dienstleistung zu bezahlen, als eigenes Know-how aufzubauen.
Das Internet und die schnellen Netzverbindungen haben dem IT-Dienstleistungsbereich neue Geschäftsmöglichkeiten eröffnet. Die Entscheidung, ob ein Kunde sein Netzwerk selbst pflegt oder die Dienstleistung des Service-Providers in Anspruch nimmt, basiert auf folgenden Faktoren:
- Anfangskosten: die für den Einkauf der Produkte und den Aufbau des Netzwerks notwendigen Investitionen
- Startzeit: die für den Aufbau des Netzwerks erforderliche Zeit
- Unterhalt: Kosten für die Wartung und die täglichen Routinearbeiten
- Flexibilität: Möglichkeiten, das Netzwerk an die veränderten Bedürfnisse anzupassen.
Nachdem sich nun der Fokus der IT-Sicherheit von innen nach außen verlagert hat, suchen Unternehmen nach Lösungen, die ihnen unabhängig von Ort und Zeit die Vernetzung der eigenen Mitarbeiter ermöglichen und Partnern einen kontrollierten Zugriff auf relevante Informationen gewährleisten. Die nur grob geschätzten Anfangs- und Unterhaltskosten sowie die vorherrschende Unsicherheit bezüglich des Gesamtaufwands für die Lösung hindern viele Unternehmen daran, ihre Vernetzungspläne durchzuführen. Diese Kunden suchen qualifizierte und kompetente Partner, die eine VPN-Lösung als Dienstleistung anbieten können.
VPN schlägt Remote Access
Die VPN-Technologie ist eine der Kernkomponenten für sichere Netzwerklösungen im Internet. Sie eröffnet Service-Providern verschiedene Geschäftsmöglichkeiten. Um als Dienstleister erfolgreich zu sein, müssen alle VPN-Komponenten zuverlässig arbeiten und die Erwartungen der Kunden erfüllen - eine Herausforderung für den Service-Provider.
Trotzdem lohnt es sich für ihn, auf diese Technologie zu setzen, denn sie bietet einige Vorteile gegenüber herkömmlichen Fernzugriffsverfahren:
- Zeit- und platzunabhängige Arbeitsumgebung zu günstigen Kos-ten
- Mit einem VPN können Remote-Mitarbeiter von überall auf die Dienste des Unternehmens zugreifen, Standleitungen sind nicht notwendig
- Unternehmensanwendungen sind weltweit verfügbar; so können Mitarbeiter über ein VPN drucken, Dokumente bearbeiten, Intranet-Angebote nutzen, via Voice over IP telefonieren oder Videokonferenzen durchführen
Außerdem bergen VPNs ein hohes Potenzial für neue Geschäftsmodelle, Kooperationen mit Partnern und für die Auslagerung von Dienstleistungen. Die VPN-Technologie erlaubt einen kontrollierten Netzwerkzugriff und bietet Partnern einen sicheren Kanal, um auf wichtige Informationen innerhalb des Unternehmensnetzes zuzugreifen. Ein VPN kann auch zwischen ausgelagerten Ressourcen und dem eigentlichen Unternehmensnetzwerk aufgebaut werden.
VPN: ein Fall für den Service-Provider
Mit der neuen VPN-Technologie ist es unerheblich, wo sich die Server und Daten befinden. Geschäftskritische Informationen können auf einem Rechner im Unternehmens oder auf Servern in den Gebäuden eines Service-Providers gespeichert sein. Internetzugang und Berechtigung vorausgesetzt, können Mitarbeiter von überall her auf die Unternehmensdaten zugreifen.
Ein derartiges Szenario sieht auf den ersten Blich noch relativ übersichtlich aus, da die meisten Komponenten Standardprodukte sind - ohne irgendwelche kundenspezifischen Merkmale. Doch mit mehreren verschiedenen Komponenten und Funktionalitäten wird eine derartige Umgebung relativ rasch komplex und ist schwierig zu managen.
Da arbeiten einerseits die Anwender an ihren Workstations und Laptops. Zwar ist deren Basishardware gut vergleichbar, das ändert sich aber, sobald verschiedene Peripheriegeräte angeschlossen werden. Hinzu kommen unterschiedliche Betriebssysteme wie Windows oder Linux, Stand-alone-Software wie Office, Webbrowser und VPN-Clients.
Ein ähnliches Bild ergibt sich auf der Serverseite: Die Hardware ist noch relativ homogen, bei den Betriebssystemen kommen zu Win-dows und Linux noch diverse Unix-Derivate. Und die Softwaresammlung ist noch vielfältiger als am Client: Applikations-, File-, Mail-, Web- und Datenbank-Server.
Als Netzwerkzugriffsgeräte agieren Router und Sicherheits-Gateways mit Firewall- und/oder VPN-Funktionalität. Auch bei Letzteren kommt die gesamte Betriebssys-tempalette zum Vorschein, zusätzlich zu Anwendungen wie Viren-Scannern. Für den Gang ins Internet benötigt der Kunde einen dezidierten Server mit der dazugehörigen Ethernet-Infrastruktur (Netzwerkkarten) oder xDSL-Modems beziehungsweise deren drahtlose Alternativen, also Internetzugang via WLAN (Wireless LAN) beziehungsweise HSCSD/ GPRS (High Speed Circuit Switched Data/General Packet Radio Service). Nicht zu vergessen bleibt ferner der Vertrag mit dem Internet-Service-Provider.
Um das eigene Netzwerk in den Griff zu bekommen, braucht der Kunde schließlich leistungsfähige System-Management-Software, da kann oft noch ein zusätzlicher Server vonnöten sein - mit all den bekannten Problemen, etwa welche Hardware und welches Betriebs-system vorzuziehen ist.
Hard- und Softwarehersteller versuchen, dieses komplexe Bild durch integrierte Produkte und Händler durch vorkonfigurierte Lösungen für Workstations und Laptops zu vereinfachen. Eine komplett vorkonfigurierte Internetzugangslösung (Plug and Play), die Unternehmen sofort einsetzen könnten, gibt es aber noch nicht.
Selbst nach Erwerb der besten Produkte und vorkonfigurierten Geräte ist deren Einsatz und Management eine komplexe Aufgabe, die Ressourcen und spezielle Kompetenzen in den Bereichen Betriebssysteme, Netzwerk-Management, Firewall- und VPN-Wartung erfordert. Ein Service-Provider ist in der Lage, die notwendige Kompetenz und die erforderlichen Ressourcen zu bündeln und kostengünstig anzubieten. Der Kunde kann sich von nun an auf sein Kerngeschäft konzentrieren und zahlt nur für die bestellte Dienstleistung.
Folgende Kosten fallen dabei an:
- für den Aufbau des Netzwerks
- anwenderabhängige Gebühren
- Kosten pro Zugriff
- zeitabhängige Gebühren
- Datentransfer-Kosten
Damit verbunden sind die Dienstleistungen des Service-Providers, die sich von Fall zu Fall stark unterscheiden. Doch unabhängig vom Geschäftsmodell, der Anforderungskatalog für ein virtuelles privates Netz bleibt der Gleiche - unabhängig vom Geschäftsmodell des Kunden.
Ein VPN bietet verschiedene neue Geschäftsmöglichkeiten für den ISP - vor allem dann, wenn der Kunde bereits seinen Internetzugang von ihm bezieht. Dann kann der Service-Provider leicht zusätzliche Dienstleistungen anbieten, etwa eine sichere Verbindung. Mit einem VPN offerieren Provider ihren Kunden ein echtes virtuelles Netzwerk, das von der bereits bestehenden Infrastruktur unabhängig ist. Sogar ISPs, die über kein eigenes Netzwerk verfügen, können mithilfe eines VPNs ihren Kunden Applikationsdienste, Server-Hosting oder Firewall-Management anbieten.
Bei einem VPN kommt es vor allem auf die Qualität und Leistung der vom Service-Provider angebotenen Dienste an - sie und nicht etwa die Produkte sind häufig die schwächsten Glieder in der Kette. Erfolgreiche Dienstleistung erfordert eben, dass jede Komponente entsprechend den spezifischen Anforderungen des Kunden in der Gesamtlösung passt.
Um die Netzwerklösung effektiv betreiben zu können, benötigt der Service-Provider Werkzeuge zum Verwalten der Softwarepakete, deren Konfiguration und der Anwenderdaten. Hinzu kommen Überwachungs-Tools sowie Reporting- und Accounting-Software. Besondere Bedeutung kommt dabei dem Sicherheitsaspekt zu. Denn ein virtuelles privates Netz ist oft sehr komplex, und da kann schon leicht etwas übersehen werden.
Stammt nun die Gesamtlösung inklusive der Verwaltungswerkzeuge von einem einzigen Anbieter, geht der Kunde davon aus, dass damit die Interoperabilität gewährleistet ist. Dem ist aber nicht so: Viele große Unternehmen haben bereits Sicherheitsprodukte im Einsatz, und die wollen sie nicht ersetzen, sondern weiterhin nutzen. Einige der Kunden haben etwa in VPN-Gateways oder in Verzeichnisdienste investiert. Letztere regeln beispielsweise die Zugriffsrechte der Anwender auf Ressourcen und Applikationen. Wenn der Kunde dies so beibehalten möchte, muss die neue VPN-Lösung dazu kompatibel sein.
Vertraut nun der Service-Provider ausschließlich auf die Komponenten eines einzelnen Anbieters, macht er sich von ihm abhängig und geht ein großes Risiko ein. Außerdem ist es äußerst unwahrscheinlich, dass alle Komponenten eines Herstellers, also Firewall, VPN-Gateway und -Client sowie Verwaltungs- und Authentifizierungswerkzeuge, gerade die Besten auf dem Markt sind und alle notwendige Funktionalität zur Verfügung stellen. Mit einem einzigen Anbieter ist man daher gezwungen, Kompromisse einzugehen, was die Qualität der Produkte betrifft.
Greift sich stattdessen der Service-Provider die in dem jeweiligen Segment besten Produkte unterschiedlicher Anbieter heraus, minimiert er seine Abhängigkeit und alle damit verbundenen Risiken. Er kann seinem Kunden beispielsweise drei verschiedene VPN-Clients zur Auswahl stellen, von denen sich dieser dann den am besten Geeigneten aussuchen kann. Hierbei muss natürlich die Interoperabilität des VPN mit der Schlüssel- und Anwenderverwaltung gewährleistet sein. Eine Umgebung zu managen, in der viele Anbieter ihre Produkte platziert haben, könnte jedoch kompliziert sein und die Entwicklung spezieller Managementwerkzeuge erforderlich machen.
Einbindung der Clients
Virtuelle private Netzwerke kommen oft bei großen Kunden mit vielen Anwendern zum Einsatz. Daher ist es äußerst wichtig, bei einer VPN-Lösung speziell der VPN-Client leicht einzubinden ist.
Eine effiziente VPN-Lösung unterstützt verschiedene Methoden zur Einbindung von VPN-Clients. Sie bietet auch die Möglichkeit, einen VPN-Client - ohne spezielle Kenntnisse aus dem Netzwerkbereich und der VPN-Technologie - mithilfe der gängigen System-Management-Lösungen wie Microsofts SMS, IBMs Tivoli, HPs Openview oder Netinstall zu installieren.
Immer verfügbar
Wenn Unternehmen ihren Mitarbeitern und Partnern weltweit geschäftskritische Anwendungen zur Verfügung stellen wollen, muss das dahinter liegende System ständig verfügbar sein. Eine derartige Hochverfügbarkeitsgarantie ein-zuhalten ist für kleinere und mittlere Unternehmen oft zu teuer. Hier kommen Service-Provider ins Spiel. Hochverfügbarkeit zu garantieren ist ein klarer Wettbewerbsvorteil und sollte bei allen ISPs, die VPN-Systeme anbieten, Pflicht sein. Außerdem müssen sie die Zahl von potenziellen Single-Points-of-Failure im System auf ein Minimum reduzieren und nur Produkte einsetzen, die über einen inhärenten Recovery-Mechanismus verfügen.
Bei einem Pilotprojekt beginnt man normalerweise mit einer begrenzten Anzahl von Anwendern und erweitert anschließend das Angebot auf größere Nutzerzahlen. Deshalb muss die Technologie auch für den Einsatz von mehreren Tausend Anwendern skalierbar sein. Das gilt für jede einzelne Komponente des Systems. Dies bedeutet, dass neue VPN-Gateways jederzeit hinzukommen und die bestehenden Gateways entlasten können. Auch die Management-Tools müssen mit mehreren VPN-Gateways sowie Tausenden von Anwendern zurechtkommen.
Es nützt jedoch nichts, wenn alle Geräte hohe Verfügbarkeit und Durchsatz für Tausende von Anwendern garantieren, die Internetverbindung jedoch von einem Kabel und Router abhängig ist - dann hat der Kunde viel Geld für nichts investiert. Nur wenn die Internetanbindung mit den Datentransferraten innerhalb des Unternehmensnetzes Schritt halten kann, ist eine VPN-Lösung erfolgreich implementiert.
Anwenderauthentisierung als Kernkompetenz des ISP
Anwenderauthentisierung ist als eines der Kernelemente in der Sicherheitsphilosophie zu sehen, und Service-Provider müssen sie als Teil der VPN-Lösung anbieten. Kunden haben jedoch unterschiedliche Bedürfnisse an Sicherheit und meistens auch unterschiedliche Authentisierungsverfahren im Einsatz. Dies bedeutet, dass der Service-Provider nicht nur sein eigenes System, sondern auch andere Methoden der Anwendererkennung als Teil der VPN-Lösung unterstützen muss.
Die Registrierung und die Verteilung der Nutzerkennungen ist eine echte Herausforderung. Da Service-Provider ihre Dienste verschiedenen Unternehmen anbieten, kann sich für sie der Aufbau einer zentralen Registrierungsstelle als problematisch darstellen.
Ein Weg, dieses Problem zu lösen, ist eine webbasierende Registrierungsmethode, bei welcher der Anwender selbst das notwendige Schlüsselpaar generiert und die Registrierungsdaten an eine unabhängige Certification Authority (CA) übermittelt. Manche Kunden wollen aber ihr "Token" persönlich bei einer Zertifizierungsstelle hinterlegen, sie muss also für sie physikalisch erreichbar sein.
Wenn der Service-Provider bereits E-Mail- und Web-Hosting übernimmt, kann er PKI-basierende Methoden (Private Key Infrastructure) nicht nur im VPN-Bereich nutzen, sondern auch in anderen Anwendungen, die digitale Signatur und Datenverschlüsselung benötigen. Beim Gebrauch von Methoden sollte er die Entscheidung treffen, ob er die Authentifizierung seiner Kunden selbst übernimmt oder auf die Dienste einer externen CA zurückgreift.
Der Aufbau eines kompletten eigenen Authentifizierungsdienstes ist zwar eine komplexe Aufgabe, jedoch könnte dessen Auslagerung zur Abhängigkeit von der externen CA führen. Gleichzeitig würde sich der Service-Provider damit der Möglichkeit berauben, eine PKI Kundenwünschen entsprechend aufzusetzen. Welche Option der ISP nutzt, hängt von seiner Strategie ab und von den Diensten, welche die bestehenden CAs anbieten.
Zusammenfassend lässt sich feststellen, dass es eine einzige richtige Antwort darauf gibt, welche Anwenderauthentisierungsmethode ein Service-Provider anbieten sollte. Wichtig ist auf jeden Fall, dass ein Kunde, der noch keine Authentisierung im Einsatz hat, auf jeden Fall eine PKI-Lösung erhält. Es ist wichtig, dass die ausgewählte VPN-Variante verschiedene Identifizierungsverfahren enthält: Smartcards, USB-Tokens, Einmal-Passwörter und andere. Auch die bereits vom Kunden eingesetzte Methode sollte in der neuen VPN-Lösung ihren Niederschlag finden.
Value-Added-Services
Eine Grundvoraussetzung für ein erfolgreiches VPN-Projekt ist die uneingeschränkte Akzeptanz des Systems bei den Betroffenen. Denn aus Sicht der Endanwender bedeutet eine neue Sicherheitslösung oft zusätzliche Aufgaben zur normalen Tagesroutine. Damit ein VPN-System akzeptiert wird, muss es zuverlässig, transparent und auf einfache Weise sein Werk verrichten; auf keinen Fall darf es die Arbeit der Anwender erschweren.
Verschiedene SSO-Lösungen (Single-Sign-On) - kombiniert mit einem VPN-System - bieten nun einen Weg, den Authentisierungsprozess zu vereinfachen. Hat sich der Anwender dort einmal sicher authentisiert, erhält er Zugriff auf jeden Service, den er nutzen darf - ohne Eingabe weiterer Nutzerkennungen oder Passwörter. Speziell für ASPs (Application-Service-Provider), die eine begrenzte Anzahl an VPN-geschützten Applikationen anbieten, ist das SSO-Verfahren besonders gut geeignet.
Wenn Endanwender jedes Mal eine PIN (persönliche Identifikationsnummer) eingeben müssen und dann noch zusätzlich eine Benutzerkennung und ein Passwort, sinkt die Akzeptanz rasch. ASPs sollten daher die VPN-Lösung wählen, welche die Anwenderauthentisierung für die verschiedenen Applikationen mit integriert. Dann wäre nur noch ein einziger Authentisierungsprozess für die Nutzer notwendig.
In der Praxis muss daher eine VPN-Lösung oder deren Zusatz-Features in der Lage sein, Single-Sign-On auch im ASP-Verfahren anzubieten. Ein zentrales Werkzeug sollte die gesamte Anwenderverwaltung übernehmen: sowohl für das virtuelle private Netz, die Authentifizierung als auch für sonstige Anwendungen. Damit wird jeder User nur einmal zentral erfasst. Nutzung und Pflege von redundanten Datenbeständen führt nämlich oft zu Unstimmigkeiten und erfordert einen eigentlich unnötigen Konfigurations- und Synchronisationsaufwand.
*Teemu Kupiainen ist Produktmanager bei der finnischen Secgo-Gruppe.
www.secgo.com
ComputerPartner-Meinung:
Der Autor belegt nochmals klar und deutlich die Vorteile eines virtuellen privaten Netzes gegenüber einer klassischen Fernzugriffslösung - eigentlich nichts Neues. Aber Kupiainen zeigt auch die damit zusammenhängenden neuen Geschäftsmöglichkeiten für Dienstleister - und das gilt beileibe nicht nur für die arrivierten Service-Provider, sondern durchaus auch für Newcomer aus der Netzwerkbranche. (rw)