ECOS SECURE BOOT STICK

Transkript

1 ECOS SECURE BOOT STICK [S-Serie] Hochsicherer Zugriff auf Daten und Anwendungen für VS-NfD Hochsicher Budgetschonend Alles auf einem Stick

2 Datenfernzugriff einfach, flexibel, hochsicher Behörden, Einrichtungen und Unternehmen verzeichnen gleichermaßen einen zunehmenden Bedarf für Heim- oder mobile Arbeitsplätze. Sei es im Rahmen einer Flexibilisierung von Arbeitszeit und Arbeitsort, internationaler Aktivitäten oder der Schaffung von Notfallarbeitsplätzen die Anforderungen sind immer ähnlich: Mit begrenztem Budget, geringem Aufwand für die IT und höchsten Anforderungen an Datenschutz und Datensicherheit sollen möglichst viele Anwender ausgestattet werden. ECOS SECURE BOOT STICK PC oder Mac VPN-Gateway Applikationen VPN VPN ECOS Secure Linux Firewall Multi-Faktor- Authentisierung mit PIN + Smartcard Internetzugang über LAN, WLAN, UMTS, LTE oder HotSpot für VS-NfD: genua genuscreen Citrix XenApp Citrix XenDesktop Microsoft Terminalserver VMware Horizon Web-Anwendungen VPN-Client RDP-Client Citrix Receiver VMware Horizon-Client Web-Browser Einsatzszenario ECOS SECURE BOOT STICK [SX] Mit der neuen S-Serie des bewährten ECOS SECURE BOOT STICK ist es erstmals möglich, von einem beliebigen sogar privaten PC oder Mac auf Daten und Anwendungen mit Geheimhaltungsstufe VS-NfD zuzugreifen. Hochsicher ins Behörden-/Unternehmensnetz Der ECOS SECURE BOOT STICK ermöglicht einen hochsicheren Zugang zu einer Terminalserver- oder Virtual-Desktop-Infrastruktur und Webanwendungen aus einer gesicherten und gekapselten Umgebung heraus. Mit dem Stick bootet ein beliebiger PC oder Mac das speziell gehärtete ECOS Secure Linux-Betriebssystem. Die interne Festplatte bleibt ausgeschaltet, so dass eine mögliche Schadsoftware auf dem Rechner gar nicht erst aktiviert wird. Damit wird eine 100%ige Trennung zwischen der beruflichen und der privaten Nutzung des PCs sichergestellt. Sämtliche Firmware und Applikationen befinden sich auf dem Behörden- oder Firmen-Stick. Der private PC dient damit nur noch als private Peripherie. Einfache Implementierung und Administration Die Sticks der S-Serie des ECOS SECURE BOOT STICK terminieren gegen ein bestehendes IPsec-VPN-Gateway. Werden die Sticks in BSI-zugelassener Umgebung betrieben, so wird als VPN Appliance eine genua genuscreen vorausgesetzt. Mit dem ECOS Easy Enrollment lässt sich auch eine große Anzahl an Zugängen innerhalb kürzester Zeit ausrollen. Dabei erhält jeder Anwender einen identisch vorkonfigurierten Stick. Über das zentrale Management werden die persönlichen Smartcards ausgestellt, über welche der Stick seine persönliche Konfiguration erhält. Dank des zentralen Managements lassen sich alle Sticks zentral verwalten und remote aktualisieren. Maximale Kompatibilität Mit der Einbindung privater Endgeräte steigen die Anforderungen an die Kompatibilität. So sind auf dem ECOS SECURE BOOT STICK die Treiber für alle marktgängigen PCs und Macs

3 implementiert. Dies umfasst Grafiktreiber, LAN-, WLAN-, UMTSund LTE-Treiber sowie einen Browser zur Anmeldung am Hot- Spot. Der Stick enthält die notwendigen Clients für einen hochsicheren Zugriff auf Microsoft Terminalserver, Citrix (XenApp und XenDesktop), VMware Horizon (RDP, PCoIP oder BLAST), PCs mit Remotedesktop-Freigabe und Webanwendungen. Für die internationale Nutzung sind die Tastaturtreiber für über 90 Sprachen und Länder auf dem Stick enthalten. Aufbau des Sticks Der ECOS SECURE BOOT STICK [SX] unterteilt sich in zwei Laufwerke. Während das erste Laufwerk sämtliche Komponenten für den hochsicheren Zugang auf die Infrastruktur beinhaltet, kann das zweite Laufwerk als verschlüsselter Datensafe genutzt werden. Entsprechende Rechte vorausgesetzt, lassen sich so Dokumente aus einer Server-Session heraus im Datensafe ablegen, um diese offline zu bearbeiten. Der Datensafe lässt sich unter Windows und MacOS X mit eingelegter Smartcard und nach Eingabe der PIN als normales Laufwerk nutzen. Das erste Laufwerk wiederum unterteilt sich in mehrere Partitionen. Bootloader für UEFI und BIOS, Kernel, Firmware sowie sämtliche Applikationen werden je auf einer schreibgeschützten Partition abgelegt. Hinzu kommt eine verschlüsselte Partition für Laufwerk 1 Laufwerk 2 Kernel Firmware, Clients, Browser BIOS- Bootloader UEFI- Bootloader Verbindungsparameter, User- Einstellungen Dokumentenablage signiert verschlüsselt + verschlüsselt read-only read/write signiert Aufbau des ECOS SECURE BOOT STICK [SX] die Ablage von Zugangsinformationen, Rechten und Benutzereinstellungen. Absicherung per Smartcard Der ECOS SECURE BOOT STICK [SX] verfügt über einen inte grierten Smartcard-Reader für Smartcards im SIM-Karten-Format ID-000. Der ECOS SECURE BOOT STICK [SE] kann Smartcards im Format ID-1 über externe, BSI-zertifizierte Smartcard-Reader nutzen. Die Smartcard dient damit als Besitzkomponente für eine starke Multi-Faktor- Authentisierung. Bei beiden Stick-Varianten sind sämtliche Prozesse per Smartcard abgesichert, vom Rollout, über die Anmeldung am Gateway, bis hin zur Aktualisierung des Sticks. Per PC-/SC- Forwarding lässt sich die Smartcard für weitere Funktionen nutzen, z.b. zum Signieren, Verschlüsseln oder Windows Smartcard-Logon. Sicherheitsszenarien Die gesamte Familie des ECOS SECURE BOOT STICK zeichnet sich durch eine Kaskadierung zahlreicher Sicherheitsmaßnahmen aus, welche für sämtliche Bedrohungsszenarien einen maximalen Schutz darstellen. Schutz vor infiziertem PC Durch das Booten des (Gast-) PC aus einer gekapselten und gehärteten Linux-Umgebung heraus wird eine mögliche Schadsoftware auf der internen Festplatte nicht aktiviert. Zusätzlich übernimmt das ECOS Secure Linux-Betriebssystem die Hoheit über die angeschlossene Peripherie, so dass selbst eine Schadsoftware im BIOS oder im UEFI keine Bedrohung darstellt. Schutz vor Spionage Als Grundlage für eine sichere Authentifizierung der Anwender dient eine starke Multi-Faktor-Authentisierung. So erfordert die Anmeldung am Gateway oder der Zugriff auf den Datensafe

4 Der ECOS SECURE BOOT STICK verfügt über eine eigene Firewall als Schutz vor Angriffen aus dem gleichen Netz, sei es durch Hacker oder über einen infizierten PC. Diese blockiert zudem sämtliche TCP/IP- und Ping-Anfragen, so dass ein möglicher Angreifer, zum Beispiel im Hotel oder im ICE, wo man sich mit fremden Nutzern im selben Netz befindet, den Rechner erst gar nicht aufspüren kann. ECOS SECURE BOOT STICK [SX] nicht nur das Wissen um die persönliche PIN, sondern auch den Besitz der zugehörigen Smartcard und des zugehörigen ECOS SECURE BOOT STICK. Die Verbindung zwischen dem Endgerät und dem Gateway erfolgt auf Basis einer gesicherten VPN-Verbindung, welche erst nach der erfolgreichen Authentifizierung aufgebaut wird. Als Schutz vor möglichen Trojanern auf Websites, z.b. bei der Anmeldung an einem HotSpot, befinden sich sämtliche relevanten Teile der Firmware auf einer schreib geschützten Partition. Darüber hinaus sind sämtliche Bestandteile der Firmware und Applikationen digital signiert, so dass jeglicher Versuch der Manipulation zu einem sofortigen Abbruch der Anwendung und zum Shutdown des Rechners führt. Schutz vor Online-Angriffen Beim ECOS Secure Linux-Betriebssystem handelt es sich um ein sehr schlankes System, welches nur diejenigen Komponenten umfasst, die zum Betrieb der Lösung benötigt werden. Damit wird das Potential möglicher Sicherheitslücken deutlich reduziert. Zudem wurde das Betriebssystem speziell gehärtet und eigens kompiliert, so dass es höchsten Sicherheitsanforderungen gerecht wird. Schutz vor Manipulation Der Schreibschutz für die gesamte Firmware und die Anwendungen in Kombination mit der Verschlüsselung von Firmware und Konfigurationsdaten sorgt für ein hohes Sicherheitsniveau. Darüber hinaus sind alle Daten und Programme digital signiert. In einer»chain of Trust«überprüfen sich Bootloader, Kernel und Applikationen gegenseitig durch einen sich permanent wiederholenden Prozess. Jegliche Manipulation des Filesystems oder der Austausch von Sourcecode macht den Stick sofort unbrauchbar und führt im laufenden Betrieb zu einem unmittelbaren Shutdown des Rechners. Damit wird jegliche Manipulation wirkungsvoll verhindert. Schutz vor Aushebelung durch Anwender Vor Ausführung der Firmware erfolgt eine Prüfung, ob der Stick in einer virtuellen Maschine gebootet wurde. Dies verhindert, dass die Schutzmaßnahmen des Sticks unterlaufen werden und beispielsweise ein Keylogger oder Trojaner auf dem Hostsystem Bildschirminhalte oder Tastaturanschläge protokolliert. ECOS SECURE BOOT STICK [SE] mit ext. Smartcard Reader

5 Schutz vor manipulierten Updates Sobald vom Stick eine Verbindung zum zentralen Management besteht, erfolgt eine Prüfung auf mögliche Updates und berechtigte Anwender. Liegen diese vor, so wird im Hintergrund ein neues Image geladen. Dabei wird sowohl der richtige Ursprung als auch die Integrität des Update-Images verifiziert. Nach erfolgreichem Download und Verifikation wird beim nächsten Booten des Sticks das neue Image ausgeführt. Datenschutz Vor unbefugtem Einsehen des Bildschirms schützt ein spezieller Instant-Logout-Prozess. Mit Abziehen des Sticks fährt der PC in Sekundenschnelle runter. Abhängig von dem eingestellten Timeout kann der Anwender nach erneutem Aufbau der Verbindung an gleicher Stelle weiterarbeiten. Mit seiner Multi-Faktor-Authentisierung, der granularen Rechtevergabe, der Vermeidung jeglicher lokaler Datenspeicherung, dem Ausschluss von Trojanern und der gesicherten VPN-Verbindung erfüllt der ECOS SECURE BOOT STICK alle technischen Anforderungen gemäß Art. 32 DSGVO. Zentrales Management Mit der ECOS SYSTEM MANAGEMENT APPLIANCE lassen sich alle Zugänge zentral verwalten und aktualisieren. So lässt sich sehr granular festlegen, welche Benutzer oder welche Benutzergruppen Zugang zu welchen Zielsystemen haben, wer Daten ggf. aus einer Sitzung heraus im Datensafe oder einem sonstigen freigegebenen Gerät speichern oder Dokumente zu Hause ausdrucken darf. Die System Management Appliance erlaubt eine Kopplung mit dem Active Directory oder sonstigen Verzeichnisdiensten und damit eine Synchronisierung von + Gehärtetes ECOS Secure Linux-Betriebssystem + 100%ige Trennung berufliche/private Nutzung + Sämtliche Software auf dem Stick + Starke Multi-Faktor-Authentisierung per Smartcard + Integrierte Firewall + Zentrales Management + Remote-Aktualisierung + Datensafe zur Ablage von Dokumenten + BSI-Zulassung für VS-NfD Einfach und flexibel für Anwender Die Nutzung des ECOS SECURE BOOT STICK ist für die Anwender denkbar einfach. Nach Einschalten und Eingabe der PIN bootet der PC oder Mac und führt die Nutzer zu einer Auswahl der freigegebenen Systeme oder Anwendungen. Beim Betrieb am WLAN erfolgt die Eingabe des Schlüssels genauso einfach wie beim Smartphone und wird für die künftige Anmeldung verschlüsselt abgespeichert. Nach der Auswahl des gewünschten Systems oder der gewünschten Anwendung befindet sich der Anwender in der vertrauten Umgebung. Wirtschaftlichkeitsbetrachtung In der Gesamtkostenkalkulation ergibt sich durch den ECOS SECURE BOOT STICK ein Einsparungspotential von bis zu 80% im Vergleich zur Ausgabe von Behörden-/Firmennotebooks. Dies beruht zum einen auf den deutlich geringeren Investitionen und den niedrigeren Betriebskosten, zum anderen auf dem deutlich reduzierten Supportaufwand. Benutzern und Rechten. Die ECOS SYSTEM MANAGEMENT APPLIANCE beinhaltet eine eigene CA zum Erstellen von Zertifikaten sowie zum Ausrollen und Verwalten von Smartcards, kann aber auch mit einer vorhandenen PKI gekoppelt werden. Das Ausstellen, Verlängern und Sperren von Sticks erfolgt über das Token Lifecycle-Management und das Easy Enrollment, beides Teile der Management Appliance. Im Falle eines verloren gegangenen Sticks kann der Zugang zentral gesperrt und die bestehende Lifetime-Lizenz auf einen Ersatzstick übertragen werden. Darüber hinaus beinhaltet die System Management Appliance ein detailliertes Reporting mit einer breiten Auswahl vordefinierter Reports sowie einem Report-Editor, über den sich beliebige Auswertungen erstellen und abspeichern lassen. Die ECOS SYSTEM MANAGEMENT APPLIANCE ist eine virtuelle Appliance, lauffähig unter VMware, Microsoft Hyper-V, Citrix XenServer, Oracle Virtualbox oder Linux KVM.

6 Leistungsmerkmale ECOS SECURE BOOT STICK [S-Serie] Applikationen + RDP-Client, Citrix Receiver, VMware Horizon, Firefox, mit/ohne Java-Unterstützung + Integrierter VPN-Client für IPsec Unterstützte Zielsysteme + Microsoft Terminalserver, Citrix (XenApp, XenDesktop), VMware Horizon (RDP, PCoIP, BLAST) oder Webserver VPN + Anbindung an genua genuscreen über IPsec innerhalb einer BSI-zugelassenen Umgebung + Anbindung an beliebiges Gateway über IPsec oder https außerhalb einer BSI-zugelassenen Umgebung Administration + Profile zum Zugriff auf unterschiedliche Applikationen/-Server auf User-, Gruppen- oder Rollen-Ebene + Nutzung lokaler Ressourcen nach Freigabe durch den Admin (externe USB-Speicherdevices, lokale Drucker) + Berechtigungsvergabe für externe Geräte gebunden an die Hersteller-ID oder die Seriennummer des Geräts + Remote-Aktualisierung sämtlicher Applikationen und Firmware Kompatibilität + Treiber für alle gängigen 64-bit-basierten Intel/AMD PCs, Intel-basierte Tablets sowie alle gängigen Macs mit Intel Prozessor + UEFI Secure Boot-Unterstützung + Tastaturtreiber für mehr als 90 Sprachen und Länder + Multi-Monitor-Support + Verbindungsaufbau per LAN, WLAN, UMTS, LTE inkl. Browser zur Anmeldung an einem HotSpot + Software in Deutsch und Englisch (voreinstellbar) Weitere Funktionen + Datensafe zur sicheren Ablage von Dokumenten - ECOS SECURE BOOT STICK [SX] + Signieren, Verschlüsseln, Windows Smartcard-Logon durch PC-/SC- Forwarding + Forwarding externer USB- und LAN-Devices Sicherheit + Multi-Faktor-Authentisierung über Smartcard und PIN-Eingabe in der Boot-Phase + Schreibgeschützte Partition für Bootloader, Firmware und Applikationen + Verschlüsselte Partition zur Ablage der User-Parameter + Gehärtetes ECOS Secure Linux-Betriebssystem + Digital signierte Bootloader, Firmware und Applikationen; Verifikation der Signatur im»chain of Trust«-Verfahren + Absicherung sämtlicher Prozesse per Smartcard wie z.b. Easy Enrollment, Anmeldung am Gateway, Aktualisierung des Sticks + Integrierte Firewall (Schutz vor Angriffen im gleichen Netz, Blockieren von TCP/IP- und Ping-Anfragen) + Verhinderung der Nutzung in einer virtuellen Umgebung + Instant-Logout beim Abziehen des Sticks + Abgesicherter Prozess zur Aktualisierung von Firmware und Applikationen; Prüfung auf Integrität und korrekte Update-Server Technische Daten ECOS SECURE BOOT STICK [SX] ECOS SECURE BOOT STICK [SE] Speicher 8 GB emlc, davon ca. 2 GB als separate Partition verfügbar 8 GB emlc, davon ca. 2 GB als separate Partition verfügbar Smartcard-Format CardOS 5 im Format ID-000 CardOS 5 im Format ID-1 Datensafe Ja Nein Abmessungen und Gewicht 27,5 x 84,8 x 12,7 mm 45g 12 x 22 x 4 mm 3g Lieferumfang SX-Stick mit integriertem Smartcard-Reader 3 Anschlusskabel für USB (A, C und Micro) Trageband SE-Stick Der externe Smartcard-Reader ist nicht im Lieferumfang enthalten 134.PB.2018/05.DE.02 ECOS TECHNOLOGY GMBH Sant-Ambrogio-Ring 13a D Oppenheim ECOS SECURE BOOT STICK ist eine Marke der ECOS Technology GmbH Telefon: +49 (6133) info@ecos.de Internet: