Moin,

ich hätte einen Vorschlag für ein neues Feature:

Als Alternative zur VPN könnte man die UTM als Einstiegspunkt für ein PAM- bzw. PRA-System nutzen. Damit könnte man Remote Access als reine Outbound-Connection ermöglichen, die durch einen Webproxy zusätzlich abgesichert wäre. Die Anmeldung erfolgt bei diesen Systemen agentenlos über ein Webportal mit MFA.

Mögliche Vorteile wären:

• man kann Genehmigungs-Workflows integrieren, um z.B. einem Support von Branchensoftware einmalig Zugang zum Netzwerk oder bestimmten Endpunkten zu gewähren.

• Man könnte das Zeitfenster für den Zugriff festlegen

• es wäre möglich, ein Logging zu allen durchgeführten Interaktionen zu integrieren. Manche Anbieter auf dem Markt bieten sogar ein Session Recording mit Bildschirmaufnahme an. Damit sind alle Aktionen nachvollziehbar (und ggf. beweisbar)

• Es könnten bestimmte Aktionen verboten werden, die der Proxy dann nicht an das Zielsystem weitergibt

• Für extern arbeitende Mitarbeiter könnten auch bestimmte Ports in das Netzwerk geöffnet werden, ähnlich wie in der VPN. Der Unterschied wäre hier auch der zusätzliche Layer über den Proxy für mehr Sicherheit

• Es gibt keinen direkten Zugriff in das Zielnetz

• Zur Kontrolle kann bei Bedarf an den Remote-Sitzungen teilgenommen werden

• Sitzungen können automatisch durch Trigger (z.B. böswillige Interaktion) oder Eingreifen eines Kontrollmitarbeiters sofort beendet werden.

Ich habe das ganze zur Veranschaulichung mal schematisch angehängt.

Die grundlegende Struktur dafür scheint ja durch die USC-Websession und den Clientless VPN auf den UTMs schon vorhanden zu sein und könnte entsprechend weiter ausgebaut werden.

Als Referenzprodukte kenne ich z.B. diese hier:

https://www.beyondtrust.com/products/privileged-remote-access

https://senhasegura.com/products/domum-remote-access

PRA-Schema.png

Attachments Open full size