ECOS SECURE BOOT STICK [SX]

Transkript

1 ECOS SECURE BOOT STICK [SX] Hochsicherer Zugriff auf Daten und Anwendungen für VS-NfD Hochsicher Budgetschonend BSI-zugelassen

2 Datenfernzugriff zugelassen für VS-NfD - einfach, flexibel, hochsicher Behörden, Einrichtungen und Unternehmen verzeichnen gleichermaßen einen zunehmenden Bedarf für Heim- oder mobile Arbeitsplätze. Sei es im Rahmen einer Flexibilisierung von Arbeitszeit und Arbeitsort, internationaler Aktivitäten oder der Schaffung von Notfallarbeitsplätzen die Anforderungen sind immer ähnlich: Mit begrenztem Budget, geringem Aufwand für die IT und höchsten Anforderungen an Datenschutz und Datensicherheit sollen möglichst viele Anwender ausgestattet werden. ECOS SECURE BOOT STICK PC oder Mac VPN-Gateway VPN Applikationen VPN ECOS Secure Linux Firewall Multi-FaktorAuthentisierung mit PIN + Smartcard für VS-NfD: genua genuscreen Internetzugang über LAN, WLAN, UMTS, LTE oder HotSpot Citrix Virtual Apps und Desktops Microsoft Terminalserver (RDSH) VMware Horizon Web-Anwendungen VPN-Client RDP-Client Citrix Workspace-App/Receiver VMware Horizon-Client Web-Browser Einsatzszenario ECOS SECURE BOOT STICK Mit dem ECOS SECURE BOOT STICK [SX] ist es möglich, von Einfache Implementierung und Administration einem beliebigen sogar privaten PC oder Mac auf Daten und Der ECOS SECURE BOOT STICK terminiert gegen ein bestehen- Anwendungen mit Geheimhaltungsgrad VS-NfD zuzugreifen. des IPsec-VPN-Gateway. Wird der Stick in BSI-zugelassener Umgebung betrieben, so wird als VPN Appliance eine genua genu- Hochsicher ins Behörden-/Unternehmensnetz screen vorausgesetzt. Der ECOS SECURE BOOT STICK ermöglicht einen hochsicheren Zugang zu einer Terminalserver- oder Virtual-Desktop-Infra- Mit dem ECOS Easy Enrollment lässt sich auch eine große An- struktur und Webanwendungen aus einer gesicherten und ge- zahl an Zugängen innerhalb kürzester Zeit ausrollen. Dabei er- kapselten Umgebung heraus. Mit dem Stick bootet ein beliebiger hält jeder Anwender einen identisch vorkonfigurierten Stick. PC oder Mac das speziell gehärtete ECOS Secure Linux-Betriebs- Über das zentrale Management werden die persönlichen Smart- system. Die interne Festplatte bleibt ausgeschaltet, so dass eine cards ausgestellt, über welche der Stick seine persönliche Kon- mögliche Schadsoftware auf dem Rechner nicht aktiviert wird. figuration erhält. Dank des zentralen Managements lassen sich alle Sticks zentral verwalten und remote aktualisieren. Damit wird eine 100%ige Trennung zwischen der beruflichen und der privaten Nutzung des PCs sichergestellt. Sämtliche Maximale Kompatibilität Firmware und Applikationen befinden sich auf dem Behörden- Mit der Einbindung privater Endgeräte steigen die Anforder- oder Firmen-Stick. Der private PC dient damit nur noch als pri- ungen an die Kompatibilität. So sind auf dem ECOS SECURE vate Peripherie. BOOT STICK [SX] die Treiber für alle marktgängigen PCs und

3 Macs implementiert. Dies umfasst Grafiktreiber, LAN-, WLAN-, per Smartcard und PIN-Eingabe. Der Datensafe lässt sich unter UMTS- und LTE-Treiber sowie einen Browser zur Anmeldung am Windows und MacOS X als normales Laufwerk nutzen. Ent- HotSpot. Für eine optimale Übertragung von Audio- und Video- sprechende Rechte vorausgesetzt, können Dokumente aus einer signalen, im Speziellen auch in Verbindung mit Microsoft Skype Server-Session heraus im Datensafe abgelegt werden, um diese for Business, wurde die Citrix HDX RealTime Media Engine inte- offline zu bearbeiten. griert. In Verbindung mit RDP sorgt Microsoft RemoteFX für eine bestmögliche Audioqualität. Der Stick enthält die notwendigen Absicherung per Smartcard Clients für einen hochsicheren Zugriff auf Microsoft Terminal- Der ECOS SECURE BOOT STICK [SX] verfügt über einen inte- server (RDSH), Citrix Apps und Desktops, VMware Horizon grierten Smartcard-Reader für Smartcards im SIM-Karten-For- (RDP, PCoIP oder BLAST), PCs mit Remotedesktop-Freigabe mat ID-000. Die Smartcard dient damit als Besitzkomponente und Webanwendungen. Für die internationale Nutzung sind die für eine starke Multi-Faktor-Authentisierung. Sämtliche Prozes- Tastaturtreiber für über 90 Sprachen und Länder auf dem Stick se sind per Smartcard abgesichert, vom Rollout, über die An- enthalten. meldung am Gateway, bis hin zur Aktualisierung des Sticks. Per PC-/SC- Forwarding lässt sich die Smartcard für weitere Funk- Aufbau des ECOS SECURE BOOT STICK tionen nutzen, z.b. zum Signieren, Verschlüsseln oder Windows Der Stick unterteilt sich in mehrere Partitionen. Sämtliche Smartcard-Logon. Komponenten, wie der Bootloader für UEFI und BIOS, Kernel, Firmware sowie sämtliche Applikationen, welche für den hoch- Sicherheitsszenarien sicheren Zugang auf die Infrastruktur benötigt werden, sind auf Der ECOS SECURE BOOT STICK [SX] zeichnet sich durch eine schreibgeschützten, teilsverschlüsselten Partitionen abgelegt. Kaskadierung zahlreicher Sicherheitsmaßnahmen aus, welche Hinzu kommt eine verschlüsselte Partition für die Ablage von für sämtliche Bedrohungsszenarien einen maximalen Schutz Zugangsinformationen, Rechten und Benutzereinstellungen. darstellen. Der ECOS SECURE BOOT STICK [SX] verfügt zudem über einen Datensafe zur Ablage von Dokumenten. Dieser ist als separa- Schutz vor infiziertem PC tes hardware-verschlüsseltes Laufwerk ausgelegt, abgesichert Durch das Booten des (Gast-) PC aus einer gekapselten und gehärteten Linux-Umgebung heraus wird eine mögliche Schadsoftware auf der internen Festplatte nicht aktiviert. Zusätzlich Laufwerk 1 UEFIBootloader signiert BIOSBootloader Kernel verschlüsselt + signiert Laufwerk 2 Firmware, Clients, Browser Verbindungsparameter, UserEinstellungen Dokumentenablage verschlüsselt read-only read/write übernimmt das ECOS Secure Linux-Betriebssystem die Hoheit über die angeschlossene Peripherie, so dass selbst eine Schadsoftware im BIOS oder im UEFI keine Bedrohung darstellt. Schutz vor Spionage Aufbau des ECOS SECURE BOOT STICK [SX] Als Grundlage für eine sichere Authentifizierung der Anwender dient eine starke Multi-Faktor-Authentisierung. So erfordert die

4 Anmeldung am Gateway oder der Zugriff auf den Datensafe nicht nur das Wissen um die persönliche PIN, sondern auch den Besitz der zugehörigen Smartcard und des zugehörigen ECOS SECURE BOOT STICK [SX]. Die Verbindung zwischen dem Endgerät und dem Gateway erfolgt auf Basis einer gesicherten VPN-Verbindung, welche erst nach der erfolgreichen Authentifizierung aufgebaut wird. Als Schutz vor möglichen Trojanern auf Websites, z.b. bei der Anmeldung an einem HotSpot, befinden sich sämtliche relevanten Teile der Firmware auf einer schreib geschützten Partition. Darüber hinaus sind sämtliche Bestandteile der Firmware und Applikationen digital signiert, so dass jeglicher Versuch der Manipulation zu einem sofortigen Abbruch der Anwendung und zum Shutdown des Rechners führt. Schutz vor Online-Angriffen Beim ECOS Secure Linux-Betriebssystem handelt es sich um ein sehr schlankes System, welches nur diejenigen Komponenten umfasst, die zum Betrieb der Lösung benötigt werden. Damit wird das Potential möglicher Sicherheitslücken deutlich reduziert. Zudem wurde das Betriebssystem speziell gehärtet und eigens kompiliert, so dass es höchsten Sicherheitsanforderungen gerecht wird. Der ECOS SECURE BOOT STICK [SX] verfügt über eine eigene Fire wall als Schutz vor Angriffen aus dem gleichen Netz, sei es durch Hacker oder über einen infizierten PC. Diese blockiert zudem sämtliche TCP/IP- und Ping-Anfragen, so dass ein möglicher Angreifer, zum Beispiel im Hotel oder im ICE, wo man sich mit fremden Nutzern im selben Netz befindet, den Rechner erst gar nicht aufspüren kann. Darüber hinaus sind alle Daten und Programme digital signiert. In einer»chain of Trust«überprüfen sich Bootloader, Kernel und Applikationen gegenseitig durch einen sich permanent wiederholenden Prozess. Jegliche Manipulation des Filesystems oder der Austausch von Sourcecode macht den Stick sofort unbrauchbar und führt im laufenden Betrieb zu einem unmittelbaren Shutdown des Rechners. Damit wird jegliche Manipulation wirkungsvoll verhindert. Schutz vor Aushebelung durch Anwender Vor Ausführung der Firmware erfolgt eine Prüfung, ob der Stick in einer virtuellen Maschine gebootet wurde. Dies verhindert, dass die Schutzmaßnahmen des Sticks unterlaufen werden und beispielsweise ein Keylogger oder Trojaner auf dem Hostsystem Bildschirminhalte oder Tastaturanschläge protokolliert. Schutz vor manipulierten Updates Sobald vom Stick eine Verbindung zum zentralen Management besteht, erfolgt eine Prüfung auf mögliche Updates und berechtigte Anwender. Liegen diese vor, so wird im Hintergrund ein neues Image geladen. Dabei wird sowohl der richtige Ursprung als auch die Integrität des Update-Images verifiziert. Nach erfolgreichem Download und Verifikation wird beim nächsten Booten des Sticks das neue Image ausgeführt. Schutz vor Manipulation Der Schreibschutz für die gesamte Firmware und die Anwendungen in Kombination mit der Verschlüsselung von Firmware und Konfigurationsdaten sorgt für ein hohes Sicherheitsniveau. ECOS SECURE BOOT STICK [SX]

5 Datenschutz Zertifikaten sowie zum Ausrollen und Verwalten von Smart- Vor unbefugtem Einsehen des Bildschirms schützt ein speziel- cards, kann aber auch mit einer vorhandenen PKI gekoppelt ler Instant-Logout-Prozess. Mit Abziehen des Sticks fährt der werden. Das Ausstellen, Verlängern und Sperren von Sticks PC in Sekundenschnelle runter. Abhängig von dem eingestellten erfolgt über das Token Lifecycle-Management und das Easy Timeout kann der Anwender nach erneutem Aufbau der Ver- Enrollment, beides Teile der Management Appliance. Im Falle bindung an gleicher Stelle weiterarbeiten. Mit seiner Multi-Fak- eines verloren gegangenen Sticks kann der Zugang zentral ge- tor-authentisierung, der granularen Rechtevergabe, der Ver- sperrt und die bestehende Lifetime-Lizenz auf einen Ersatzstick meidung jeglicher lokaler Datenspeicherung, dem Ausschluss übertragen werden. Darüber hinaus beinhaltet die System Ma- von Trojanern und der gesicherten VPN-Verbindung erfüllt der nagement Appliance ein detailliertes Reporting mit einer brei- ECOS SECURE BOOT STICK alle technischen Anforderungen ge- ten Auswahl vordefinierter Reports sowie einem Report-Editor, mäß Art. 32 DSGVO. über den sich beliebige Auswertungen erstellen und abspeichern lassen. Einfach und flexibel für Anwender Die Nutzung des ECOS SECURE BOOT STICK ist für die An- Die ECOS SYSTEM MANAGEMENT APPLIANCE ist eine virtuel- wender denkbar einfach. Nach Einschalten und Eingabe der PIN le Appliance, lauffähig unter VMware, Microsoft Hyper-V, Citrix bootet der PC oder Mac und führt die Nutzer zu einer Auswahl XenServer, Oracle Virtualbox oder Linux KVM. der freigegebenen Systeme oder Anwendungen. Beim Betrieb am WLAN erfolgt die Eingabe des Schlüssels genauso einfach wie beim Smartphone und wird für die künftige Anmeldung verschlüsselt abgespeichert. Nach der Auswahl des gewünschten Systems oder der gewünschten Anwendung befindet sich der Anwender in der vertrauten Umgebung. Wirtschaftlichkeitsbetrachtung In der Gesamtkostenkalkulation ergibt sich durch den ECOS SECURE BOOT STICK [SX] ein Einsparungspotential von bis zu 80% im Vergleich zur Ausgabe von gehärteten Behörden-/ Firmennotebooks. Dies beruht zum einen auf den deutlich geringeren Investitionen und den niedrigeren Betriebskosten, zum anderen auf dem deutlich reduzierten Supportaufwand. Zentrales Management Mit der ECOS SYSTEM MANAGEMENT APPLIANCE lassen Vorteile auf einen Blick: sich alle Zugänge zentral verwalten und aktualisieren. So lässt + Gehärtetes ECOS Secure Linux-Betriebssystem sich sehr granular festlegen, welche Benutzer oder welche Be %ige Trennung berufliche/private Nutzung nutzergruppen Zugang zu welchen Zielsystemen haben, wer + Sämtliche Software auf dem Stick Daten ggf. aus einer Sitzung heraus im Datensafe oder einem + Multi-Faktor-Authentisierung per Smartcard sonstigen freigegebenen Gerät speichern oder Dokumente zu + Integrierte Firewall Hause ausdrucken darf. Die System Management Appliance + Zentrales Management erlaubt eine Kopplung mit dem Active Directory oder sonsti- + Remote-Aktualisierung gen Verzeichnisdiensten und damit eine Synchronisierung von + Datensafe zur Ablage von Dokumenten Benutzern und Rechten. Die ECOS SYSTEM MANAGEMENT + BSI-Zulassung für VS-NfD APPLIANCE beinhaltet eine eigene CA zum Erstellen von

6 Leistungsmerkmale ECOS SECURE BOOT STICK [SX] BSI-Zulassung + Zugelassen für die Verarbeitung von Daten bis zum Geheimhaltungsgrad VS-NfD Applikationen + RDP-Client, Citrix Workspace-Apps/Receiver, VMware Horizon, Firefox, mit/ohne Java-Unterstützung + Integrierter VPN-Client für IPsec Unterstützte Zielsysteme + Microsoft Terminalserver (RDSH), Citrix Apps und Desktops, VMware Horizon (RDP, PCoIP, BLAST) oder Webserver VPN + Anbindung an genua genuscreen über IPsec innerhalb einer BSI-zugelassenen Umgebung + Anbindung an beliebiges Gateway über IPsec oder https außerhalb einer BSI-zugelassenen Umgebung Administration + Profile zum Zugriff auf unterschiedliche Applikationen/-Server auf User-, Gruppen- oder Rollen-Ebene + Nutzung lokaler Ressourcen nach Freigabe durch den Admin (externe USB-Speicherdevices, lokale Drucker) + Berechtigungsvergabe für externe Geräte gebunden an die Hersteller-ID oder die Seriennummer des Geräts + Remote-Aktualisierung sämtlicher Applikationen und Firmware Kompatibilität + Integrierter Smartcard-Reader für Smartcards mit CardOS 5.3 im Format ID Treiber für alle gängigen 64-bit-basierten Intel/AMD PCs, x86-basierte Tablets sowie alle gängigen Macs + UEFI Secure Boot-Unterstützung + Tastaturtreiber für mehr als 90 Sprachen und Länder + Multi-Monitor-Support + Verbindungsaufbau per LAN, WLAN, UMTS, LTE inkl. Browser zur Anmeldung an einem HotSpot + Software in Deutsch und Englisch (voreinstellbar) Datensafe + 2 GB, nutzbar zur sicheren Ablage von Dokumenten + Hardwareverschlüsselung mittels AES256, abgesichert per Multi-Faktor-Authentisierung, Smardcard plus PIN + Installationsfreie Nutzung als USB-Laufwerk unter Windows, Linux und Max OS X Weitere Funktionen + Signieren, Verschlüsseln, Windows Smartcard-Logon durch PC-/SC- Forwarding + Forwarding externer USB- und LAN-Devices, z.b. für den Anschluss eines IP-Telefons Sicherheit + Multi-Faktor-Authentisierung über Smartcard und PIN-Eingabe in der Boot-Phase + Integrierte Tastatur zur sicheren Eingabe der PIN + Schreibgeschützte und signierte Partitionen für Bootloader und Kernel + Schreibgeschützte, verschlüsselte und signierte Partition für Formware und Applikationen + Separate, verschlüsselte Partition zur Ablage der User-Parameter + Gehärtetes ECOS Secure Linux-Betriebssystem + Digital signierte Bootloader, Firmware und Applikationen; Verifikation der Signatur im»chain of Trust«-Verfahren + Absicherung sämtlicher Prozesse per Smartcard wie z.b. Easy Enrollment, Anmeldung am Gateway, Aktualisierung des Sticks + Integrierte Firewall (Schutz vor Angriffen im gleichen Netz, Blockieren von TCP/IP- und Ping-Anfragen) + Verhinderung der Nutzung in einer virtuellen Umgebung + Instant-Logout beim Abziehen des Sticks + Abgesicherter Prozess zur Aktualisierung von Firmware und Applikationen; Prüfung auf Integrität und korrekte Update-Server Abmessungen und Gewicht + 27,5 x 84,8 x 12,7 mm 68g 134.PB.2018/12.DE.03 Liederumfang + ECOS SECURE BOOT STICK [SX], 3 Anschklusskabel für USB (A, C und Micro), Trageband ECOS TECHNOLOGY GMBH Sant-Ambrogio-Ring 13a D Oppenheim Telefon: Internet: ECOS SECURE BOOT STICK ist eine Marke der ECOS Technology GmbH +49 (6133) info@ecos.de