Desktop as a Service – Cloud-Arbeitsplätze mit Zonenmodell absichern

Der virtualisierte Arbeitsplatz aus der Public Cloud lockt Unternehmen mit günstigen Preisen und hoher Flexibilität. Unabdingbare Voraussetzungen für den deutschen Mittelstand: Größtmögliche Sicherheit und konfliktfreier Datenschutz. Grundlegende Maßnahmen bieten angemessenen Schutz, um die Vorteile bedenkenlos zu nutzen.

Produkte wie Amazon WorkSpaces oder Microsoft Azure RemoteApp steigern das Interesse am Desktop as a Service (DaaS) aus der Public Cloud eines externen Providers. Die großen Anbieter betreiben eine recht aggressive Preispolitik, um Marktanteile zu gewinnen. Zu überschaubaren Tarifen erhält der Kunde Zugriff auf ein breites standardisiertes Serviceangebot mit vielen Tools und Funktionen. Die Dienste basieren auf einer verlässlichen Infrastruktur mit guter Verfügbarkeit, immer häufiger deutschen oder europäischen Rechenzentrumsstandorten und entsprechend guten regionalen Latenzzeiten.

Zwei Schattenseiten trüben die Anziehungskraft solcher Angebote jedoch: Managementaufwand und Datenschutz. Desktop-Computing-Dienste der großen Anbieter gibt es im Self Service. Das klingt einfach und zeitgemäß, birgt jedoch enormen Initialaufwand für die IT-Abteilungen im Unternehmen. Die Vielfalt der Funktionen und Tools überfordert viele klassische IT-Abteilungen. Insbesondere die Sicherheitseinstellungen, die Unternehmen bei den standardisierten Angeboten vielfach selbst vornehmen müssen, verlangen einige Cloud-Erfahrung.

Rechtliche Grauzone trotz Privacy Shield. Der zweite Punkt betrifft das Thema Datenschutz. Bei der Desktopvirtualisierung, gleich über welches Bezugsmodell, werden geradezu zwangsläufig auch personenbezogene Daten verarbeitet, die dem Bundesdatenschutzgesetz (BDSG) unterliegen. Lagert ein Unternehmen diese Daten im Rahmen der Auftragsdatenverarbeitung an einen Cloud-Dienstleister aus, bleibt das beauftragende Unternehmen vollumfänglich für die Einhaltung der Bestimmungen des BDSG verantwortlich. Solange US-amerikanische Unternehmen dem Patriot Act unterworfen sind und im Zweifel Anwenderdaten auf Anfrage von US-Behörden herausgeben müssen – ohne dass der Kunde hierüber informiert wird – ist die Auslagerung personenbezogener Daten an solche Cloud-Anbieter strittig. Selbst, wenn deren Services die Umsetzung aller technischen Sicherheits- und Schutzmaßnahmen im Sinne des BDSG ermöglichen, bleibt das juristische Problem für das auftraggebende Unternehmen bestehen.

Alternativ empfehlen sich deutsche Service Provider mit Cloud-Angeboten für den Desktop as a Service, die über eine eigene Rechenzentrumsinfrastruktur verfügen. Diese Dienstleister vereinbaren mit ihren Kunden technische Sicherheitseinstellungen auf der Grundlage individueller SLAs nach deutschem Recht. Bei Bedarf kümmern sie sich auch vollständig um das Client Management auf Basis von ITIL (IT Infrastructure Library). Damit umgehen mittelständische Unternehmen sowohl das Problem der Komplexität als auch das der Datenschutzkonformität.

Grundlegende Sicherheitsmaßnahmen. Unabhängig von dem gewählten Anbieter und der Technologie sollten Unternehmen grundlegende Sicherheitsmaßnahmen beim Desktop aus der Cloud berücksichtigen. Ob der Arbeitsplatz als Terminal Service oder als Hosted-VDI-Umgebung bereitgestellt wird, spielt dabei keine Rolle. Für die sichere Datenübertragung zwischen Public Cloud Service und Endgerät des Mitarbeiters empfiehlt sich unbedingt eine SSL/TLS-Verschlüsselung auf Basis des TCP/IP-Standards. Das SSL/TLS-Protokoll sollte dabei jederzeit korrekt konfiguriert sein und stets an aktuelle Anforderungen angepasst werden.

Um den Zugriffsschutz zu erhöhen, sollte eine Zwei-Faktor-Authentifizierung mit Client-Zertifikaten zur Pflichtausstattung zählen. Als zweiter Authentifizierungsfaktor bieten sich je nach Einsatzszenario drei Möglichkeiten an: Ein temporärer Code, den der Mitarbeiter bei jeder Anmeldung am Desktop neu anfordert und der auf dessen Mobiltelefon gesendet wird. Ein Hardwaretoken, der ein Einmalpasswort pro Desktop-Sitzung generiert. Oder ein USB-Token mit einem geheimen Schlüssel (Private Key).

Sicherheitsrichtlinien auf Basis eines Zonenmodells. Ebenfalls zu den grundlegenden Sicherheitsmaßnahmen zählt die organisatorische Steuerung der Zugriffsrechte eines Mitarbeites auf Basis von Sicherheitsrichtlinien (Policies). Diese Regeln basieren bestenfalls auf einem Zonenmodell, das auch beim Aufbau von Netzwerkarchitekturen zum Einsatz kommt. Das Modell unterscheidet drei Zonen mit aufsteigendem Sicherheitsniveau, die das genutzte Endgerät und den Netzwerkzugang berücksichtigen. Auf technischer Seite sollten Experten diese Regeln einstellen. Falsche Einstellungen führen leicht dazu, dass ein Desktop Service nicht mehr funktioniert oder die Sicherheit auf der Strecke bleibt. Professionell umgesetzt ermöglichen sie Unternehmen jedoch, die Vorteile des Arbeitsplatzes aus der Public Cloud mit angemessener Sicherheit zu nutzen.

1. Geringste Sicherheitsstufe
Der Mitarbeiter greift über ein unbekanntes Gerät und ein beliebiges Netzwerk auf seinen Desktop zu. Er befindet sich vielleicht in einem Internet-Café: Der Desktop Computing Service wechselt in einen reinen Anzeigemodus. Dateidownload und Drucken sind deaktiviert, einige interne Applikationen wie SAP gesperrt.

2. Mittlere Sicherheitsstufe
Der Mitarbeiter nutzt ein bekanntes Endgerät, das mit einem entsprechenden Client-Zertifikat ausgestattet ist und greift über ein beliebiges Netzwerk wie das heimische WLAN oder das öffentliche Internet auf den Desktop Computing Service zu: Die meisten Funktionen sind freigeschaltet, einige Freigaben, etwa der Laufwerkszugriff, werden nicht erteilt.

3. Höchste Sicherheitsstufe
Der Mitarbeiter befindet sich am Unternehmensstandort und greift mit einem bekannten Arbeitsplatzrechner über das interne Firmennetz auf seinen virtualisierten Desktop zu: Alle Funktionen sind freigeschaltet, alle Applikationen und Daten voll zugänglich.

 


Andreas Knols,
Leiter Product Management Cloud,
QSC AG

 

 

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.

 

Das Verschmelzen von privaten und geschäftlichen Accounts ruft Sicherheitsbedenken auf den Plan

Fünf Schritte auf dem strategischen Weg in die Cloud

Die Zukunft der Unternehmensmobilität

Markttrends beim Desktop-as-a-Service

Machen Sie den Kostencheck: Virtuelle Desktop-Landschaft aus der Cloud oder traditioneller Eigenbetrieb?

»Was kostet die Cloud?«

Die hybride IT-Abteilung von heute

Gefahren für PC-Nutzer durch veraltete Software

CIOs: Hybrid-Cloud-Modelle überwiegen, Unternehmen nutzen Cloud vor allem für Speicher und Backup