Digital Workspace

Arbeitsplätze sicher virtualisieren

| Autor / Redakteur: Andreas Knols* / Florian Karlstetter

Digital Workspace oder wie man Arbeitsplätze sicher virtualisiert - am Beispiel der Pure Enterprise Cloud von QSC.
Digital Workspace oder wie man Arbeitsplätze sicher virtualisiert - am Beispiel der Pure Enterprise Cloud von QSC. (Bild: © tashatuvango - Fotolia.com)

Mit günstigen Desktop-as-a-Service-Angeboten (DaaS) locken die Provider auch den Mittelstand in die Cloud. Zwei zentrale Stolpersteine sind dabei Komplexität und Rechtslage. Cloud-Experte Andreas Knols von QSC bringt Licht ins Dunkel.

Ein florierender Providermarkt mit verlockenden Angeboten macht es für Unternehmen heute mehr als attraktiv, Arbeitsplätze, auch genannt „Workspaces“, in die Public Cloud auszulagern. Zu überschaubaren Tarifen erhalten die Kunden ein breites, standardisiertes Serviceangebot mit vielen Tools und Funktionen, guten Latenzzeiten und einer verlässlichen Infrastruktur. Zwei Aspekte mildern jedoch die Attraktivität der Angebote: Komplexität und Rechtslage. Was bedeutet das?

Desktop-Computing-Dienste der großen Anbieter gibt es im Self Service. Was gut klingt, überfordert aber viele klassische IT-Abteilungen. Wer die Vielfalt aller Funktionen und Tools selbständig sicher orchestrieren möchte, sollte bei standardisierten Angeboten viel Erfahrung mitbringen. Gerade Mittelständler benötigen in aller Regel Support, wenn sie ihre Workspaces in die Public Cloud verlagern wollen.

Zweiter Punkt: Datenschutz. Wer seine Desktops virtualisiert, verlagert zwangsläufig auch personenbezogene Informationen, die dem Bundesdatenschutzgesetz (BDSG) unterliegen. Und: Wer seine Daten über einen Cloud-Dienstleister auslagert, bleibt weiterhin selbst für die Einhaltung des BDSG verantwortlich. Juristische Probleme drohen insbesondere dann, wenn ein US-Cloud-Anbieter im Spiel ist: Diese sind dem Patriot Act unterworfen und müssen bei Aufforderung Daten an US-Behörden herausgeben – ohne ihre Kunden darüber informieren zu müssen. Das US-Gesetz macht auch keinen Halt vor Informationen, die in einem deutschen Rechenzentrum liegen. Selbst der EU-US Privacy Shield ändert daran nichts.

Schutzmaßnahmen für den Zugriff auf den Cloud-Arbeitsplatz

Was also tun? Grundlegende Sicherheitsmaßnahmen beim Desktop aus der Public Cloud berücksichtigen – losgelöst von Anbieter und Technologie. Ob der Arbeitsplatz als Terminal Service oder als Hosted-VDI-Umgebung bereitgestellt wird, spielt für die folgenden Maßnahmen keine Rolle.

(1) Sichere Datenübertragung mit neuester SSL/TLS-Variante

Wer einen Cloud-Arbeitsplatz nutzt, überträgt kontinuierlich Informationen über das Internet. Um den Datenstrom zu sichern und vor unbefugtem Zugriff zu schützen, empfiehlt sich eine Ende-zu-Ende-Verschlüsselung über SSL/TLS (Secure Sockets Layer bzw. Transport Layer Security), die auf dem TCP/IP-Standard basiert. Korrekt konfiguriert und angepasst an aktuelle Anforderungen lässt sich so verhindern, dass Dritte mitlesen und etwa die Zugangsdaten eines Mitarbeiters in ihre Finger bekommen.

Ergänzendes zum Thema
 
Pure Enterprise Cloud

(2) Zugriffsschutz durch Zwei-Faktor-Authentifizierung mit Client-Zertifikaten

Eine Zwei-Faktor-Authentifizierung wird beim Desktop aus der Public Cloud zur Pflicht: Der Mitarbeiter meldet sich also nicht nur über seine Zugangsdaten an, sondern verwendet zusätzlich bei jedem Log-in einen temporären Code, den er beispielsweise über sein Mobiltelefon erhalten oder auch mit einem Hardware-Token generieren kann. Darüber hinaus bietet sich ein digitales, softwareseitiges Client-Zertifikat als zweiter Faktor an, über das Mitarbeiter und Endgerät sich ebenfalls autorisieren – egal ob mit Unternehmens-Hardware oder im Bring-Your-Own-Device-Szenario.

Beim Client-Zertifikat sorgt der Austausch asymmetrischer Paare von Private und Public Key für eine vertrauliche und integre Authentifizierung. Basis ist zunächst eine HTTPS-Verschlüsselung. Der Webserver, an dem die Anmeldung des Clients erfolgt, muss dazu über den TCP-Port 443 erreichbar sein und SSL/TLS unterstützen. Für diesen Zweck ist der Server mit einem Zertifikat ausgestattet, das eine übergeordnete Zertifizierungsstelle (Certificate Authority, CA) ausstellt. Die CA bestätigt, dass der öffentliche Schlüssel zum Server als Inhaber gehört. Der Webserver ist andererseits so konfiguriert, dass er ein Client-Zertifikat verlangt. Auch die Zertifikate auf den Endgeräten werden von einer CA signiert.

Diese Maßnahmen machen eine erfolgreiche Client-Authentifizierung zwischen Endgerät und Server zur notwendigen Voraussetzung, damit ein Nutzer überhaupt auf seinen Cloud-Desktop zugreifen kann. Effektiv ist der Schutz aber nur, wenn die Zertifikate auf Endgeräten und Servern regelmäßig erneuert werden.

Sofern Client-Zertifikate zum Einsatz kommen, bietet es sich an, diese auch für die SSL/TLS-Verschlüsselung zu nutzen. Nehmen Client und Server miteinander Kontakt auf, vereinbaren sie auf dieser Grundlage ein Verschlüsselungsverfahren, das während der gesamten Sitzung zur Anwendung kommt. Für die abgesicherte Verbindung ist dann wiederum sowohl auf dem Server des Desktop-Computing-Anbieters als auch auf dem Client des Mitarbeiters ein digitales Zertifikat erforderlich.

(3) Sicherheitsrichtlinien auf Basis eines Zonenmodells

Zudem empfiehlt es sich, die Zugriffsrechte der Mitarbeiter in Abhängigkeit von Endgerät und Netzwerkzugang über Sicherheitsrichtlinien zu steuern. Dafür bietet sich einen Zonenmodell an, wie es auch bei Netzwerkarchitekturen zum Einsatz kommt. Wie die Rechte in den jeweiligen Stufen beispielweise ausgestaltet sein können:

  • Geringste Sicherheitsstufe: Der Desktop Computing Service befindet sich im reinen Anzeigemodus. Dateien lassen sich nicht downloaden oder drucken. Interne Applikationen wie beispielsweise SAP sind gesperrt. Diese Sicherheitsstufe bietet sich an, wenn der Mitarbeiter online über ein unbekanntes Gerät ohne Client-Zertifikat auf seinen Cloud-Arbeitsplatz gelangen möchte.
  • Mittlere Sicherheitsstufe: Hier greift der Mitarbeiter online über ein bekanntes Endgerät mit Client-Zertifikat auf den Desktop-Computing-Service zu. Die meisten Funktionen seines Arbeitsplatzes sind freigeschaltet. Einige Freigaben aber, etwa der Laufwerkszugriff, fehlen.
  • Höchste Sicherheitsstufe: Der Mitarbeiter befindet sich im Unternehmen, greift mit einem Client-zertifizierten Endgerät über das interne Firmennetz auf seinen virtualisierten Desktop zu: Alle Funktionen sind freigeschaltet und alle Applikationen und Daten voll zugänglich.

Inwieweit sich Zonen und Rechte einstellen lassen, hängt von DaaS-Anbieter und Technologie ab. Setzt der Desktop Computing Service etwa auf Citrix XenDesktop, lassen sich alle Einstellungen über Netscaler vornehmen. Nachgeschaltet steht hier ein Webportal für die Einrichtung von Filtermechanismen zur Verfügung. Weitere Möglichkeiten bieten der Terminal Server selbst sowie bordeigene Mittel von Windows. Hier sind jedoch Experten gefordert. Eine falsche Einstellung kann bereits dazu führen, dass der Dienst nicht mehr funktioniert oder die Sicherheit kompromittiert ist.

Daher sollten interessierte Unternehmen grundsätzlich darüber nachdenken, auf Anbieter zu setzen, die auch entsprechenden Support bieten. Gerade ein Provider, der vor Ort ist, kann punkten: Mit eigener Infrastruktur bieten sie die DaaS-Dienste aus der Public Cloud an und klären die erforderlichen Sicherheitsanforderungen direkt mit ihren Kunden auf Basis individueller Service-Level-Agreements (SLAs). Weiterer Pluspunkt: Bei deutschen Anbietern gilt das deutsche Datenschutzgesetz. So bekommen Mittelständler Komplexität und Rechtslage komfortabel in den Griff. Und das vor der eigenen Haustür.

Andreas Knols ist Leiter Product Management Cloud bei der QSC AG.
Andreas Knols ist Leiter Product Management Cloud bei der QSC AG. (Bild: QSC)

Der Autor

Andreas Knols ist Leiter Product Management Cloud bei der QSC AG. Zuvor hat Andreas Knols unter anderem als Enterprise Architect für Desktop-Virtualisierung zahlreiche Großprojekte zur Desktop- und Anwendungs-Virtualisierung im Banken-, Luftfahrt- und Handelssektor erfolgreich begleitet.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44624790 / Virtualisierung)