Desktops aus der Cloud sind in vielen Unternehmen bereits Realität, doch beim Management der Endpoints in verteilten IT-Strukturen bleiben viele Betriebe noch hinter den aktuellen Möglichkeiten zurück, und das ist gefährlich. Was ist nötig, um die Endgeräte der User wirkungsvoll gegen unautorisierten Zugriff zu schützen und wie lassen sie sich sicher über die Cloud verwalten?

Das Problem liegt auf der Hand: Wer Endgeräte über das Internet managen möchte, muss zunächst einmal einen Weg zu den Geräten finden und dann die komplette Kontrolle darüber erhalten. Hierfür ist es notwendig, das Betriebssystem und den Zustand der Endpoints zu ermitteln und zu kommunizieren. Weil Unternehmen aber nicht wissen, wie sie dies mit vertretbarem Aufwand bewerkstelligen sollen, können sie das volle Potenzial des Cloud-Computings nicht ausschöpfen. Hier die wichtigsten Gefahrenquellen, die einem cloudbasierten Endpoint-Management im Weg stehen, und wie sie sich beseitigen lassen:

Gefahrenquelle 1: Fat Clients mit Windows

Arbeitsplatz-PCs und Laptops mit einem lokalen Windows zu schützen, ist von jeher eine komplexe Aufgabe. Die allgegenwärtige To-do-Liste reicht vom zeitkritischen Patchen des Betriebssystems bei auftretenden Sicherheitslücken bis zur Aktualisierung von Firewalls, Virenscannern und Virensignaturdatenbanken. Soll der Zugriff auf die Anwendungsdaten sicherer werden, ist zudem eine Zwei-Faktor-Authentifizierung anzuraten – zum Beispiel mittels Smartcard-Reader –, die dann aber ebenfalls zu managen ist. Alternative Betriebssysteme mit stark begrenztem Umfang und hoher Sicherheit können hier eine grundlegende Vereinfachung bewirken.

Gefahrenquelle 2: der Browser

Der Webbrowser bildet das größte Einfallstor für Schadsoftware und Hackerangriffe. Wird der virtuelle Desktop darüber gestartet, muss die IT sicherstellen, dass der Browser nicht manipuliert ist. Andernfalls könnte der Anwender unbemerkt mit einer Phishing-Seite verbunden oder sensible Daten abgehört werden. Kann auf einen lokalen Browser verzichtet werden, sollte er am besten gar nicht erst auf dem jeweiligen Endgerät verfügbar oder zumindest sicher deaktiviert sein. Denn was nicht vorhanden ist, kann schließlich nicht angegriffen werden. Führt kein Weg an einem lokalen Browser vorbei, sollte er zentral verwaltet werden, um ihn einfacher auf dem aktuellen Stand zu halten. Außerdem ist zu empfehlen, Add-ons möglichst zu deaktivieren, den Browser mit minimaler Funktionalität im Kioskmodus zu betreiben und die Binärdateien bei jedem Start zu verifizieren.

Gefahrenquelle 3: Ransomware

Cryptolocker, mit deren Hilfe Kriminelle Computerdateien verschlüsseln, um damit Lösegeld zu erpressen, wirken auch im virtuellen Desktop. Doch im Gegensatz zum Fat Client mit lokalen Anwendungen lässt sich der Schaden hier relativ schnell und einfach durch Einspielen eines aktuellen, noch unverschlüsselten Backups beheben. Sind dagegen das Client-OS und die lokalen Applikationen betroffen, ist der Zugriff auf die virtuelle Infrastruktur blockiert. Umso bedeutender ist ein zentrales Management, mit dem sich die jeweils aktuellen Sicherheits-Patches ausrollen und die Systemzustände prüfen lassen. Ein Read-only-System erhöht die Sicherheit zusätzlich. Bei Schwierigkeiten genügt ein Neustart, und das Endgerät läuft wieder sauber und stabil.

Angriffsfläche minimieren

Das wirkungsvollste Mittel, um die Angriffsfläche auf den Endpoints zu minimieren, besteht in einem nicht-manipulierbaren Betriebssystem mit definiertem Umfang und möglichst wenigen lokalen Apps. Linux-basierte Thin-Client-Betriebssysteme erfüllen diese Anforderungen besonders gut. Mit kleinstmöglichem Footprint, automatischem Update-Mechanismus und Code-Überprüfung stellen sie sicher, dass sie einschließlich Browser auf dem jeweils aktuellen Sicherheitsstand und nicht korrumpiert sind. Ein schreibgeschütztes Filesystem (Read-only) schützt vor unautorisierten Schreibvorgängen und beschränkt die Rechte des Nutzers, damit so wenige Daten wie möglich permanent auf dem System gespeichert sind. Um Windows-PCs, Laptops und Thin Clients verschiedener Hersteller in wenigen Schritten in optimierte VDI-Endpoints zu verwandeln, gibt es geeignete Converter-Lösungen.

Endpoints cloudbasiert managen

Die nächste Herausforderung besteht darin, alle Endpoints vom ersten Augenblick an effizient und sicher managen zu können, sobald sie mit dem Netzwerk verbunden sind. Die Grundlage hierfür bildet ein verschlüsselter Datenaustausch zwischen Endpoint und Managementserver über authentifizierte Verbindungen. Auf ein teures Virtual Private Network (VPN) oder eine Standleitung mit dediziertem Tunnel können Unternehmen verzichten, wenn sie ein spezielles Cloud Gateway nutzen.

Dessen Aufgabe ist es, sämtliche Verbindungen durch Zertifikate zu autorisieren und zu authentifizieren sowie die gesamte Kommunikation zu verschlüsseln, beispielsweise durch ein HTTPS-basiertes Protokoll, das für unstetige Netzwerkverbindungen optimiert ist. Administratoren können so jederzeit den aktuellen Zustand aller Endgeräte überblicken und beispielsweise anhand der OS-Version über ein Update entscheiden. Im Falle organisatorischer Veränderungen können sie schnell einen neuen VDI-Server zuordnen oder USB-Anschlüsse geräte- oder nutzerspezifisch freigeben.

Was ist mit mobilen Endpoints?

Um windowsbasierte mobile Endpoints wie Laptops, Tablets oder Convertables auf gleich hohem Niveau bezüglich Sicherheit und Kosteneffizienz über die Cloud zu managen, hält die Trickkiste der modernen Thin-Client-Technologie ebenfalls passende Tools bereit. Wer etwa das OS nicht final ändern möchte, kann den mobilen Usern ihren digitalen Workspace über einen Micro Client bereitstellen, der von einem kleinen USB-Stick bootet. Auch dieser Endpoint lässt sich in Kombination mit einem Cloud Gateway sicher über das Internet managen. Das lokale OS verbleibt während der Nutzung inaktiv auf der Festplatte, lässt sich aber bei Bedarf nach einem Neustart als weitere Boot-Option starten.

Sicher von DaaS und VDI profitieren

Moderne Workspace-Konzepte wie VDI und DaaS werden durch ein cloudbasiertes Endpoint-Management noch interessanter. Wollen die Unternehmen aber die scheinbar gegensätzlichen Ziele Ökonomie und Sicherheit vereinen, müssen sie die komplette Prozesskette vom Endpoint bis zur Managementlösung betrachten. Mit einem schlanken, für VDI und DaaS optimierten und managementfähigen Endgeräte-OS als Basistechnologie lässt sich die gesamte Infrastruktur grundlegend vereinfachen und damit nicht zuletzt auch die Umsetzung der komplexen Europäischen Datenschutzrichtlinie GDPR.

Keine Frage, das digitale Wettrüsten zwischen Industrie und Cyberkriminellen wird auch in Zukunft weitergehen. Mit einem optimierten Endpoint-OS finden Hacker und Schadprogramme allerdings kaum noch Angriffsfläche, um die Business-Kontinuität auf breiter Front zu gefährden, so dass die Unternehmen endlich vollumfänglich vom Produktivitätsgewinn durch cloudbasierte Desktops profitieren.

www.igel.de