ECOS SECURE BOOT STICK

Transkript

1 ECOS SECURE BOOT STICK Die hochsichere Zugriffslösung für Terminalserver, VDI und Webanwendungen Hochsicher Budgetschonend Alles auf einem Stick

2 Datenfernzugriff einfach, flexibel, hochsicher Die Flexibilisierung von Arbeitszeit und Arbeitsort ist für viele Unternehmen und Behörden ein zunehmend wichtiger Bestandteil ihrer Mitarbeiterphilosophie. Dabei stehen die Verantwortlichen vor einer schwierigen Entscheidung. Firmennotebooks zehren am Budget. Eine Gesamtkostenbetrachtung zeigt oft, dass es nicht möglich ist, alle vorgesehenen Mitarbeiter damit auszustatten. Das Zulassen von privaten Geräten ist allerdings aus Sicherheitsgründen keine Alternative. Einsatzszenario ECOS SECURE BOOT STICK Mit dem ECOS SECURE BOOT STICK schaffen es Unternehmen und Behörden jetzt, private Geräte zuzulassen und das mit deutlichen Einsparungen im Vergleich zu Firmengeräten. Dies erfolgt unter Beachtung höchster Sicherheitsanforderungen. In vielen Fällen arbeiten Mitarbeiter damit sogar sicherer als unter Verwendung eines Firmennotebooks im Home Office. Hochsicher ins Unternehmensnetz Der ECOS SECURE BOOT STICK ermöglicht einen hochsicheren Zugang zu einer Terminalserver- oder Virtual-Desktop-Infrastruktur und Webanwendungen aus einer gesicherten Umgebung heraus. Mit gestecktem Stick bootet ein beliebiger PC oder Mac das speziell gehärtete ECOS SECURE LINUX Betriebssystem. Die interne Festplatte bleibt ausgeschaltet, so dass eine mögliche Schadsoftware auf dem Rechner gar nicht erst aktiviert wird. Damit wird eine 100%ige Trennung zwischen der geschäftlichen und der privaten Nutzung des PCs sichergestellt. Sämtliche Firmware und Applikationen befinden sich auf dem Firmen-Stick. Der private PC dient damit quasi nur noch als private Peripherie. Einfache Implementation und Administration Der ECOS SECURE BOOT STICK terminiert gegen ein beliebiges bestehendes VPN-Gateway unter Verwendung von IPsec, Open- VPN oder https. Dies ermöglicht eine schnelle Integration in eine bereits vorhandene Infrastruktur. Je nach Bedarf stehen auch ein NCP-Client, Cisco AnyConnect-Client und Java für einen Clientless VPN-Zugang via Browser zur Verfügung. Mit dem ECOS Easy Enrollment lässt sich auch eine große Anzahl an Zugängen innerhalb kürzester Zeit ausrollen. Dabei erhält jeder Anwender einen identisch vorkonfigurierten Stick. Das zentrale Management generiert für berechtigte Anwender ihre persönlichen Aktivierungscodes. Mit der Aktivierung erfolgt die permanente Kopplung von Benutzer und Stick, die die Basis für eine sichere 2-Faktor-Authentisierung bildet.

3 Dank des zentralen ECOS System Management lassen sich alle Sticks zentral verwalten und remote aktualisieren. Maximale Kompatibilität Mit der Einbindung privater Endgeräte steigen die Anforderungen an die Kompatibilität. So sind auf dem ECOS SECURE BOOT STICK die Treiber für alle marktgängigen PCs und Macs implementiert. Dies umfasst Grafiktreiber, LAN-, WLAN-, UMTS- und LTE-Treiber sowie einen Browser zur Anmeldung am HotSpot. Der Stick enthält die notwendigen Clients für einen hochsicheren Zugriff auf Microsoft Terminalserver, Citrix (XenApp und Xen- Desktop), VMware Horizon (RDP oder PCoIP), PCs mit Remotedesktop-Freigabe und Webanwendungen. Für die internationale Nutzung sind die Treiber für über 90 Sprachen und Länder auf dem Stick enthalten. Höchste Sicherheit Der ECOS SECURE BOOT STICK zeichnet sich durch eine Kaskadierung zahlreicher Sicherheitsmaßnahmen aus, welche für sämtliche Bedrohungsszenarien einen maximalen Schutz darstellen. Schutz vor infiziertem PC Durch das Booten des (Gast-) PC aus einer gekapselten und gehärteten Linux-Umgebung heraus wird eine mögliche Schadsoftware auf der internen Platte gar nicht erst aktiviert. Zusätzlich übernimmt das ECOS SECURE LINUX die Hoheit über die angeschlossene Peripherie, so dass selbst eine Schadsoftware im BIOS oder im UEFI keine Bedrohung darstellt. Schutz vor Spionage Der ECOS SECURE BOOT STICK dient gleichzeitig als starke 2-Faktor-Authentisierung. Über ein Zertifikat, das an die Hardware-ID des Sticks gekoppelt ist, wird sichergestellt, dass jeder Anwender neben der Wissenskomponente (Benutzername und Passwort) zusätzlich auch seinen persönlichen Stick für eine sichere Authentifizierung benötigt. Ein möglicher Angreifer müsste somit neben den Zugangsdaten auch in den Besitz des physischen Sticks selbst kommen, um sich einen Zugang zu verschaffen. Für noch höhere Sicherheitsanforderungen steht der Stick als ECOS SECURE BOOT STICK PLUS auch in einer Variante mit integrierter Smartcard zu Verfügung. Alternativ kann der Stick mit einem externen Smartcard-Reader genutzt werden. + + Gehärtetes ECOS Secure Linux-Betriebssystem %ige Trennung berufliche/private Nutzung + + Sämtliche Software auf dem Stick + + Starke 2-Faktor-Authentisierung + + Integrierte Firewall + + Zentrales Management und Remote-Aktualisierung Die Übertragung erfolgt über eine gesicherte VPN-Verbindung, die alle aktuellen Verschlüsselungs- und Authentisierungsverfahren beherrscht. Für den Zugriff auf webbasierte Applikationen oder auch nur für die Anmeldung am HotSpot steht ein Browser auf dem Stick bereit. Um zu verhindern, dass ein Trojaner auf einer Website sich auf dem Stick festsetzen könnte, befinden sich die Firmware sowie sämtliche Applikationen auf einer schreibgeschützten Partition. Zudem sind Firmware und Applikationen digital signiert, so dass eine Manipulation selbiger einen unmittelbaren Shutdown des Rechners auslöst und den Boot Stick unbrauchbar macht.. Schutz vor Online-Angriffen Bei ECOS Secure Linux handelt es sich um ein sehr schlankes Betriebssystem, welches nur diejenigen Komponenten umfasst,

4 ECOS SECURE BOOT STICK die zum Betrieb des der Lösung benötigt werden. Damit wird das Potential möglicher Sicherheitslücken per se schon deutlich reduziert. Zudem wurde das Betriebssystem speziell gehärtet und eigens kompiliert, so dass es höchsten Sicherheitsanforderungen gerecht wird. Der ECOS SECURE BOOT STICK verfügt über eine eigene Fire wall als Schutz vor Angriffen aus dem gleichen Netz, sei es durch einen Hacker oder über einen infizierten PC. Diese blockiert zudem sämtliche TCP/IP- und Ping-Anfragen, so dass ein möglicher Angreifer zum Beispiel im Hotel oder im ICE, wo man sich mit fremden Nutzern im selben Netz befindet den Rechner erst gar nicht aufspüren kann. Schutz vor Manipulation Die Firmware des Sticks, sowie die Konfiguration sind komplett verschlüsselt auf dem Stick abgelegt. Darüber hinaus sind alle Daten und Programme digital signiert. In einer»chain-of Trust«überprüfen sich Bootloader, Kernel und Applikationen gegenseitig durch einen sich permanent wiederholenden Prozess. Wird eine Manipulation erkannt, schaltet sich der Stick sofort ab. Eine Manipulation des Sticks, egal ob im laufenden Betrieb oder im ausgeschalteten Zustand, wird so wirkungsvoll verhindert. Optional ist der Stick mit Hardwareverschlüsselung als ECOS SECURE BOOT STICK [SX] verfügbar. Über eine integrierte Tastatur ist die Eingabe der Pin erforderlich, bevor der Stick überhaupt mit dem Rechner verbunden wird. Schutz vor Aushebelung durch den Anwender Vor Ausführung der Firmware erfolgt eine Prüfung, ob der Stick in einer virtuellen Maschine gebootet wurde. Dies verhindert, dass die Schutzmaßnahmen des Sticks unterlaufen werden und beispielsweise ein Keylogger oder Trojaner auf dem Hostsystem Bildschirminhalte oder Tastaturanschläge protokolliert. Schutz vor manipulierten Updates Bei der Initialisierung des Sticks erfolgt ein Check auf mögliche Updates. Liegen Updates vor, so werden diese im Hintergrund geladen, wobei der Anwender weiterarbeiten kann. Nach dem Download erfolgt eine Prüfung auf Integrität und ob das Update vom richtigen Zielserver geladen wurde. Datenschutz Vor unbefugtem Einsehen des Bildschirms schützt ein spezieller Instant-Logout-Prozess. Mit Abziehen des Sticks fährt der PC in Sekundenschnelle runter. Abhängig von dem eingestellten Timeout kann der Anwender nach erneutem Aufbau der Verbindung an gleicher Stelle weiterarbeiten. Mit seiner 2-Faktor-Authentisierung, der granularen Rechtevergabe, der Vermeidung jeglicher lokaler Datenspeicherung, dem Ausschluss von Trojanern und der gesicherten VPN-Verbindung erfüllt der ECOS SECURE BOOT STICK alle technischen ECOS SECURE BOOT STICK [SX]

5 Anforderungen gemäß BDSG 9 Anlage 1 und BSI-Grundschutz M 4.63 für den sicheren Umgang mit personenbezogenen Daten. Sicherer als das Firmennotebook zu Hause Im Unternehmen befinden sich Notebooks und PCs in aller Regel hinter einer performanten Firewall mit Anti-Viren-Schutz, oft mehrfach kaskadiert. Nimmt man das Notebook mit nach Hause, so hängt das gleiche Gerät an einem kleinen DSL-Router und die Software auf dem Endgerät ist gefordert, mögliche Bedrohungen abzuwehren. Aus diesem Grund erlauben teilweise sogar Unternehmen, welche Firmennotebooks ausgeben, die Verwendung dieser außerhalb der Firma nur in Verbindung mit dem ECOS SECURE BOOT STICK. Einfach und flexibel für den Anwender Die Nutzung des ECOS SECURE BOOT STICK ist für den Anwender denkbar einfach. Mit gestecktem Stick bootet er seinen Mac oder PC, gibt Benutzername und Passwort ein und befindet sich direkt in seiner gewohnten Desktop-Umgebung. SYSTEM MANAGEMENT APPLIANCE beinhaltet eine eigene CA zum Erstellen von Zertifikaten, kann aber auch mit einer vorhandenen PKI gekoppelt werden. Das Ausstellen, Verlängern und Sperren von Sticks erfolgt über das Token Lifecycle Management und das Easy Enrollment, beides Teile der Management Appliance. Im Falle eines verloren gegangenen Sticks kann der Zugang zentral gesperrt und die bestehende Lifetime-Lizenz auf einen Ersatzstick übertragen werden. Darüber hinaus beinhaltet die System Management Appliance ein detailliertes Reporting mit einer breiten Auswahl vordefinierter Reports sowie einem Report-Editor, über den sich beliebige Auswertungen erstellen und abspeichern lassen. Die ECOS SYSTEM MANAGEMENT APPLIANCE ist eine virtuelle Appliance, lauffähig unter VMware, Microsoft Hyper-V, Citrix XenServer, Oracle VM Virtualbox oder Linux KVM. Wirtschaftlichkeitsbetrachtung In der Gesamtkostenkalkulation ergibt sich durch den ECOS SECURE BOOT STICK ein Einsparungspotential von bis zu 80% im Vergleich zur Ausgabe von Firmennotebooks. Dies beruht zum einen auf den deutlich geringeren Investitionen und den niedrigeren Betriebskosten, zum anderen aber auch auf dem erheblich reduzierten Supportaufwand. Zentrales Management Mit der ECOS SYSTEM MANAGEMENT APPLIANCE lassen sich alle Zugänge zentral verwalten und aktualisieren. So lässt sich sehr granular festlegen, welcher Benutzer oder welche Be nutzergruppen Zugang zu welchen Zielsystemen haben, wer Daten ggf. aus einer Session heraus auf ein externes Device speichern oder Dokumente zu Hause ausdrucken darf. Die Management Appliance erlaubt eine Kopplung mit dem Active Directory oder sonstigen Verzeichnisdiensten und damit eine Synchronisation von Benutzer und Rechten. Die ECOS

6 Leistungsmerkmale des ECOS SECURE BOOT STICK + + Gehärtetes ECOS SECURE LINUX Betriebssystem + + Treiber für alle gängigen PCs ab Intel Pentium 3 oder AMD Athlon, Intel-basierte Tablets sowie alle gängigen Macs mit Intel Prozessor + + UEFI Secure Boot Unterstützung + + Tastaturtreiber für mehr als 90 Sprachen und Länder + + Multi-Monitor Support + + Verbindungsaufbau per LAN, WLAN, UMTS, LTE inkl. Browser zur Anmeldung an einem HotSpot + + Applikationen: RDP-Client, Citrix Receiver, VMware Horizon, VNC, TeamViewer, Firefox, mit/ohne Java-Unterstützung + + Unterstützte Zielsysteme: Microsoft Terminalserver (2000, 2008, 2008 R2, 2012, RDS, Remotedesktop-Freigabe), Citrix (XenApp, XenDesktop), VMware Horizon (RDP, PCoIP) oder Webserver + + Anbindung an beliebiges Gateway über IPsec, Open VPN oder https + + Integrierter IPsec- und SSL-VPN-Client + + Opt.: NCP-Client, Cisco AnyConnect und Java für einen Clientless VPN-Zugang via Browser + + Verbindung über Proxyserver konfigurierbar + + LAN-Forewarding für den Anschluss eines IP-Telefons + + Signieren, Verschlüsseln sowie Windows Smartcard Logon durch PC/SC Forwarding (ECOS SECURE BOOT STICK PLUS) + + Starke 2-Faktor-Authentisierung zur Anmeldung am Gateway Zertifikat, gekoppelt an die Hardware-ID des Sticks Integrierte Smartcard (ECOS SECURE BOOT STICK PLUS) + + User-Profile zum Zugriff auf unterschiedliche Applikationen/-Server + + Nutzung lokaler Ressourcen nach Freigabe durch den Admin Ext. USB-Speicherdevices Lokale Drucker + + Schreibgeschützte Partition für Firmware und Applikationen BIT AES-Verschlüsselung von Firmware, Applikationen und User-Parametern + + Opt.: Stick mit Hardwareverschlüsselung und externer PIN-Eingabe (ECOS SECURE BOOT STICK [SX]) + + Digital signierte(r) Bootloader, Firmware und Applikationen Verifikation der Signatur im Chain-of-Trust-Verfahren + + Integrierte Firewall Schutz vor Angriffen im gleichen Netz Blockieren von TCP/IP- und Ping-Anfragen + + Verhinderung der Nutzung in einer virtuellen Umgebung + + Instant Logout + + Remote Aktualisierung der Firmware Prüfung auf Integrität und korrekte Update-Server + + Software in Deutsch und in Englisch (voreinstellbar) + + Zentrales Management (ECOS SYSTEM MANAGEMENT APPLIANCE) Easy Enrollment Zugriffsrechte auf Benutzer- Gruppen- und Rollen-Ebene Synchronisation mit AD oder sonstigen Verzeichnisdiensten Eigene CA oder Kopplung an bestehende PKI Smart Reports 107.PB.2017/02.DE.04 ECOS TECHNOLOGY GMBH Sant-Ambrogio-Ring 13a D Oppenheim Telefon: +49 (6133) info@ecos.de Internet: