Samoth 32 Geschrieben 9. April Melden Teilen Geschrieben 9. April (bearbeitet) Hallo zusammen, evtl. gehört das Thema auch nach "Sicherheit". Sorry, dann bitte verschieben. Ich kann mir die Antworten bzw. deren Richtung schon vorstellen, aber ich frage trotzdem mal: Derzeit kann ich von außen auf meine Firmen-VDI zugreifen indem ich auf meinem privaten PC oder Macbook per VPN-Client eine Verbindung in die Firma herstelle und dann per MSTSC weiter auf die VDI springe. Das ist für mich sehr komfortabel, weil ich natürlich kein Firmen-Gerät mit herumschleppen muss und weil ich zu Hause schön über ein und denselben Rechner arbeiten kann. Zudem brauche ich keine zusätzliche Hardware (KVM-Switch, Docking-Station, what so ever,...). Ich will es noch mal herausstellen: Innerhalb der VDI kann ich dann meinen Tätigkeiten nachgehen. Auf dem jeweiligen Endgerät mit dem die VPN-Verbindung hergestellt wird, also außerhalb der VDI, benötige ich keine firmenrelevanten Zugriffe. So, nun wird darüber nachgedacht den Zugriff zu beschränken und diesen nur noch über Firmengeräte zuzulassen. Die Gründe dafür sind eigentlich ziemlich klar, brauchen wir nicht groß besprechen und ich gruppiere sie mal unter "Sicherheit" ein. Mir gehts jetzt nur mal darum, eure Ansicht zu dem Thema einzuholen - wie seht ihr das? Mir ist völlig klar, dass das Abschaffen des Zugriffs über eigene Geräte ein reines Luxusproblem ist und dass ich beim Arbeitgeber nicht auf dem Ponyhof bin, der alle Wünsche erfüllt. Aber unsere IT-Jungs sind sehr zugänglich und man kann mit ihnen über viele Themen sprechen. Ich frage mich nun auch, was man machen könnte, damit ich (wir!) weiterhin den Komfort über eigene Geräte genießen können...? Danke vorab und viele Grüße! Samoth bearbeitet 9. April von Samoth Zitieren Link zu diesem Kommentar
Squire 212 Geschrieben 9. April Melden Teilen Geschrieben 9. April ich bin einer der "bösen" und sitz auf der anderen Seite Nein ich möchte keinerlei Zugriffe von irgendwelchen privaten Rechnern haben, die nicht in der Verwaltung drin sind. Bei nichtverwalteten Privatgeräten kennst Du den Status nicht. Ist ein Virenscanner drauf und aktuell, sind die Updates drauf, ist die Kiste sauber? Mit nem VPN hast ja schon nen Fuß in der Tür ... Wie gesagt ... ich steh auf der Seite Deiner IT Jungs ... Privatgeräte is nich! 1 Zitieren Link zu diesem Kommentar
Damian 1.401 Geschrieben 9. April Melden Teilen Geschrieben 9. April Hi vor 57 Minuten schrieb Samoth: evtl. gehört das Thema auch nach "Sicherheit". Sorry, dann bitte verschieben. Ja, dort gehört es hin. Verschoben. VG Damian 1 Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 9. April Melden Teilen Geschrieben 9. April Wenn man mit den Client-Produkten via Citrix Netscaler ADC oder z.B. Vmware UAG zugreift, halte ich das Risiko für vertretbar. USB, Zwischenablage und Drucken kann man jeweils sperren und die Endpoints hängen eh im Internet, Bei VPN würde ich das auch anders sehen. 1 Zitieren Link zu diesem Kommentar
Gulp 226 Geschrieben 9. April Melden Teilen Geschrieben 9. April (bearbeitet) Jup, sehe ich genauso wie Squire und zahni .... VPN nur mit gemanagten Geräten. Grüsse Gulp bearbeitet 9. April von Gulp 1 Zitieren Link zu diesem Kommentar
mwiederkehr 351 Geschrieben 9. April Melden Teilen Geschrieben 9. April Ich denke, es kommt darauf an, wie das Netzwerk aussieht. Wenn man per VPN nur in ein Zwischennetz kommt, von dem aus nur RDP auf die VDI offen ist, wäre das VPN ein Ersatz für Netscaler/RDS-Gateway. Ich habe Kunden, die sich nach aussen möglichst nicht zeigen und zur Authentifizierung bewusst andere Zugangsdaten als die Windows-Anmeldung haben wollen. Da ist VPN (allenfalls mit erweitertem Client für "Endpoint Security" und MFA) und von dort Zugriff auf VDI/TS eine Möglichkeit. Wenn man sich per VPN aber direkt ins LAN einwählt (so, wie das zumindest früher üblich war), dann nur mit verwalteten Geräten. 1 Zitieren Link zu diesem Kommentar
MurdocX 904 Geschrieben 9. April Melden Teilen Geschrieben 9. April Hallo, auf das Thema kann man auch etwas allgemeiner, mit einer höheren Flughöhe blicken. Die Betrachtung der Sicherheit ist immer nur eine Momentaufnahme. Nach Änderungen an der Infrastruktur, muss dies nochmal erfolgen. Realistisch gesprochen wird das vermutlich nicht so oft getan, wie man es müsste. Resultierend ist es durchaus sinnvoll eher defensiv, also restriktiver, seine Zugriffsmöglichkeiten auszulegen. Manche mögen sagen: "Die Sicherheit fängt da an, wo die Bequemlichkeit des Admins aufhört". Wobei man sich, wie ich finde, auch gut an MFA etc. gewöhnen kann. Wir haben für uns entschieden (Risikoabschätzung mit der GL), dass das nur verwaltete Geräte in unser Netz dürfen. Hier ist das Handy für die MFA, FIDO-Sticks etc. eingeschlossen. VG, Jan 1 Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 10. April Melden Teilen Geschrieben 10. April Meine Anmerkung oben schließt natürlich MFA ein. Wir nutzen RSA SecurID. Hier gibt es sowohl Hardware-Token als auch den RSA Authenticator per App. Via App könnte man auch die Push-Freigabe nutzen. Wenn man sich mit der MS-Cloud verheiratet hat, geht vermutlich auch der MS-Authenticator. Dann gibt es aber keine Hardware-Token. 1 Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 10. April Melden Teilen Geschrieben 10. April Moin, der springende Punkt ist, dass "VPN" häufig mit "sicher" gleichgesetzt wird, diese Gleichsetzung aber falsch ist. "Sicher" ist nur der Kommunikationskanal selbst, denn der ist verschlüsselt. Das ist aber heutzutage schon eher uninteressant, weil verschlüsselte Verbindungen (anders als vor 25 Jahren, als es mit dem Thema VPN losging) heute üblich sind. Relevant ist aber ein anderer Aspekt, und der führt dazu, dass viele VPN-Nutzungen eher das Gegenteil von "sicher" sind. VPN legt einen Zugang in das Netzwerk, logisch betrachtet identisch mit einem Netzwerkkabel. Gewähre ich beliebigen Geräten Zugang zum Netzwerk, dann ist zwar vielleicht der Zugang "privat", aber das Netz selbst nicht mehr. Ich erzeuge damit also ein hohes Risiko, denn ich lasse Geräte zu, über die ich nichts weiß und über die ich weder technisch noch rechtlich Kontrolle und Hoheit habe. Daher ist es ein No-Go, per VPN beliebige Geräte einzulassen. Schon deshalb, weil man damit den Schlüssel für den Zugang an ein nicht kontrollierbares Gerät abgibt, von wo aus er dann ebenso beliebig weitergegeben werden kann. Es gibt Sicherheitsberater, die die Existenz von VPN-Zugängen per se als hohes Sicherheitsrisiko einstufen. Gruß, Nils 1 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.138 Geschrieben 10. April Melden Teilen Geschrieben 10. April Moin, VPN-Zugänge *sind* ein hohes Risiko, und da ist es nur am Rande wichtig, in welches Netz sie führen, daher dürfen am entfernten Ende eines VPN-Tunnels selbstverständlich nur verwaltete Endgeräte sein. Gateway-basierte Zugänge wie Netscaler oder UAG kann man aus Sicherheitssicht durchaus weit weniger kritisch sehen. Die Sache hat aber noch ein paar andere Aspekte: Lizenzierung: Wer sein Office (nur ein Beispiel) immer noch über Retail oder VL bezieht, lizenziert das physikalische Endgerät, vor dem der User sitzt. Wenn jeder Mitarbeiter zwei PCs, drei Tablets, vier Smart-TVs und einen Smart-Fridge hat, wieviele Office-Lizenzen müsste man da vorhalten? Downtime in Bezug auf Arbeitszeit: Fällt ein Firmengerät aus und der MA kann nicht arbeiten, ist es das Risiko der Firma, und sie kann sowohl vorbeugend tätig werden (bessere Hardware, kürzere Lebenszyklen) als auch selbst bestimmen, wie aufwendig die Wiederherstellung der Arbeitsfähigkeit werden darf. Bei einem Endgerät, auf das die Firma keinen Einfluss hat, ist es schwierig. Ressourcenverbrauch: Weil der Mitarbeiter es geil findet, die CRM-Anwendung auf seinem Gaming Rig mit zwei 5K-Bildschirmen zu bedienen, hat seine VDI-Maschine viel mehr zu tun als im Sizing vorgesehen. Sind diese Mehrkosten einfach durch die Firma zu tragen, weil "ist so"? Standardisierung im Client-Park hat oft ihre Gründe. Ich habe mehrere Versuche miterlebt, BYOD bewusst und geregelt einzuführen, und musste feststellen, dass das Konzept vorn und hinten nicht funktioniert, sobald man eine Sekunde länger darüber nachdenkt. 3 Zitieren Link zu diesem Kommentar
Samoth 32 Geschrieben 10. April Autor Melden Teilen Geschrieben 10. April Hi zusammen, ich schick mal noch ein Sammel-Danke in die Runde! Ich wusste ja schon wohin mich die Frage führt, aber tatsächlich - keine Ironie - fand ich das aufschlussreich. Heute wurde beim Mittagessen auch schon mehr oder minder verkündet, dass BYOD wohl abgelöst wird, was letztlich auch klar war. In diesem Sinn wünsch ich euch was und bis zur nächsten Diskussion Grüße Samoth 2 Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 10. April Melden Teilen Geschrieben 10. April Moin, vielen Dank für die Rückmeldung. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.