Absicherung der IT-Infrastruktur: einheitliche Zugangskontrolle für LAN, WLAN und VPN Volker Kull v.kull@bell.de
BENUTZER IT-INFRASTRUKTUR Mobilität Verfügbarkeit / Zuverlässigkeit Einfache Nutzung Performance Kostengünstig Flexibilität Consumerization / BYOD Anwendungen / APPs Business & Social-Media Sicherheit/Compliance Skalierbarkeit Flexibilität Wirtschaftlichkeit Management/Betrieb Ressourcen, Komplexität Visualisierung Kontrolle
Wer darf auf ihre IT-Infrastruktur zugreifen? Mitarbeiter Person Dienstleister Gast Wer? Endgerät Typ non managed managed Standort Medium Zustand Compliant Lokation Non Compliant SSID Switch, WLAN, VPN
Mögliche Szenarien User Gast Dienstleister Mitarbeiter Mitarbeiter Mitarbeiter CEO Merkmal Endgerät BYOD BYOD BYOD Managed PC Managed Smartphone? Zugriff Internet JA JA JA JA JA Zugriff Intern NEIN Begrenzt/ NEIN NEIN JA Begrenzt/ NEIN User Directory temporär temporär/ Intern AD Intern AD Intern AD Intern AD Authentisierung Portal Portal 80.X 80.X 80.X Policy Gast DL Gast ANY MDM Compliance Check NEIN BASIC NEIN JA JA
unmanaged Client (Gast, BYOD) Mitarbeiter Switch VPN DataCenter BYOD AP Netzwerk- Infrastruktur Internet Gast 3 EPC Mobile IAM WLAN Controller unmanaged Client verbindet sich mit der Netzwerk-Infrastruktur AP/Switch fordert eine Authentisierung und verifiziert dies über den WLAN-Controller mit dem mobile IAM, User-Directory. Gast/BYOD-Policy wird am AP aktiviert 3 Zugriff zum Internet wird erlaubt über Tunnel zum WLAN-Controller und Firewall
managed Client Mitarbeiter Switch VPN DataCenter BYOD 3 Netzwerk- Infrastruktur Internet AP Gast EPC Mobile IAM WLAN Controller managed Client verbindet sich mit der Netzwerk-Infrastruktur AP/Switch fordert eine Authentisierung und verifiziert dies über den WLAN-Controller mit dem mobile IAM, User-Directory und EPC (EMM, EPC, Assessment, ). MA-Policy wird am AP aktiviert 3 Zugriff auf interne Applikationen und Internet wird erlaubt
unmanaged Client (Partner, Dienstleister) Mitarbeiter Switch DataCenter Dienstleister BYOD AP VPN 3 Netzwerk- Infrastruktur Internet EPC Mobile IAM WLAN Controller 3 Dienstleister verbindet sich per VPN mit der Netzwerk-Infrastruktur VPN-GW fordert Authentisierung und verifiziert dies über mobile IAM mit dem User-Directory. Zugriff zur definierten Ressource wird über Tunnel erlaubt. Dienstleister kann Ressourcen über gekapselte Session nutzen (z.b. RDP/CITRIX über HTML5)
Netzwerk- Infrastruktur Firewall Gateway Cloud SIEM IDS/IPS Directory Benutzer Endgerät Virtualisierung Voice MDM Endpoint Control DATA FLOW NetFlow SNMP Location Events Access Identity Application Compliance API SDN Programmatic Interfaces / XML SOAP Information Pool SDN OpenFlow OpenStack OpenDaylight Central Management & Monitoring Plattform Performance Monitoring Health Monitoring Security Monitoring Application Analytics Reporting Configuration
Information Pool Authentisierung (Directory, NAC) IT-Infrastruktur (SNMP, Syslog) API (Daten von externen Quellen) NetFlow/IPFIX, ApplicationControl IT-Infrastruktur,DHCP/DNS DHCP/DNS/Browser IT-Infrastruktur Agent-based, Agent-less, EPC, MDM Kerberos, PKI Authentisierung [Quellen]
BENUTZER Identity & Access Management als Basis für die IT- Automatisierung IT-INFRASTRUKTUR IP Virtualisierung MDM EPC API Firewall Web-Filter SDN CMDB Voice Management Monitoring SIEM - IDS/IPS
managed Client mit aktiver Rückmeldung VPN DataCenter Mitarbeiter Switch 4 IDS erkenne Anomalität und sendet Event zum SIEM SIEM Gast BYOD AP EPC 3 Netzwerk- Infrastruktur 4 IDS Internet 5 5 SIEM meldet reject zum IAM. Endgerät wird isoliert und Admin benachrichtigt. Mobile IAM WLAN Controller managed Client verbindet sich mit der Netzwerk-Infrastruktur AP/Switch fordert eine Authentisierung und verifiziert dies über den WLAN-Controller mit dem mobile IAM, User-Directory und EPC (EMM, EPC, Assessment, ). MA-Policy wird am AP aktiviert 3 Zugriff auf interne Applikationen und Internet wird erlaubt
Fragen? Anregungen? Ideen? Lösungen Erfahrungen Live Demo Bonn Berlin Karlsruhe Nürnberg