Cloud-Arbeitsplätze mit Zonenmodell absichern

Der virtualisierte Arbeitsplatz aus der Public Cloud lockt Unternehmen mit günstigen Preisen und hoher Flexibilität. Unabdingbare Voraussetzungen für den deutschen Mittelstand: Größtmögliche Sicherheit und konfliktfreier Datenschutz. Grundlegende Maßnahmen bieten angemessenen Schutz, um die Vorteile bedenkenlos zu nutzen.

Produkte wie Amazon WorkSpaces oder Microsoft Azure RemoteApp steigern das Interesse am Desktop as a Service (DaaS) aus der Public Cloud eines externen Providers. Die großen Anbieter betreiben eine recht aggressive Preispolitik, um Marktanteile zu gewinnen. Zu überschaubaren Tarifen erhält der Kunde Zugriff auf ein breites standardisiertes Serviceangebot mit vielen Tools und Funktionen. Die Dienste basieren auf einer verlässlichen Infrastruktur mit guter Verfügbarkeit, immer häufiger deutschen oder europäischen Rechenzentrumsstandorten und entsprechend guten regionalen Latenzzeiten.

Zwei Schattenseiten trüben die Anziehungskraft solcher Angebote jedoch: Managementaufwand und Datenschutz. Desktop-Computing-Dienste der großen Anbieter gibt es im Self Service. Das klingt einfach und zeitgemäß, birgt jedoch enormen Initialaufwand für die IT-Abteilungen im Unternehmen. Die Vielfalt der Funktionen und Tools überfordert viele klassische IT-Abteilungen. Insbesondere die Sicherheitseinstellungen, die Unternehmen bei den standardisierten Angeboten vielfach selbst vornehmen müssen, verlangen einige Cloud-Erfahrung.

Rechtliche Grauzone trotz Privacy Shield

Der zweite Punkt betrifft das Thema Datenschutz. Bei der Desktopvirtualisierung, gleich über welches Bezugsmodell, werden geradezu zwangsläufig auch personenbezogene Daten verarbeitet, die dem Bundesdatenschutzgesetz (BDSG) unterliegen. Lagert ein Unternehmen diese Daten im Rahmen der Auftragsdatenverarbeitung an einen Cloud-Dienstleister aus, bleibt das beauftragende Unternehmen vollumfänglich für die Einhaltung der Bestimmungen des BDSG verantwortlich. Solange US-amerikanische Unternehmen dem Patriot Act unterworfen sind und im Zweifel Anwenderdaten auf Anfrage von US-Behörden herausgeben müssen – ohne dass der Kunde hierüber informiert wird – ist die Auslagerung personenbezogener Daten an solche Cloud-Anbieter strittig. Selbst, wenn deren Services die Umsetzung aller technischen Sicherheits- und Schutzmaßnahmen im Sinne des BDSG ermöglichen, bleibt das juristische Problem für das auftraggebende Unternehmen bestehen.

Alternativ empfehlen sich deutsche Service Provider mit Cloud-Angeboten für den Desktop as a Service, die über eine eigene Rechenzentrumsinfrastruktur verfügen. Diese Dienstleister vereinbaren mit ihren Kunden technische Sicherheitseinstellungen auf der Grundlage individueller SLAs nach deutschem Recht. Bei Bedarf kümmern sie sich auch vollständig um das Client Management auf Basis von ITIL (IT Infrastructure Library). Damit umgehen mittelständische Unternehmen sowohl das Problem der Komplexität als auch das der Datenschutzkonformität.

Grundlegende Sicherheitsmaßnahmen

Unabhängig von gewähltem Anbieter und Technologie sollten Unternehmen grundlegende Sicherheitsmaßnahmen beim Desktop aus der Cloud berücksichtigen. Ob der Arbeitsplatz als Terminal Service oder als Hosted-VDI-Umgebung bereitgestellt wird, spielt dabei keine Rolle. Für die sichere Datenübertragung zwischen Public Cloud Service und Endgerät des Mitarbeiters empfiehlt sich unbedingt eine SSL/TLS-Verschlüsselung auf Basis des TCP/IP-Standards. Das SSL/TLS-Protokoll sollte dabei jederzeit korrekt konfiguriert sein und stets an aktuelle Anforderungen angepasst werden.

Um den Zugriffsschutz zu erhöhen, sollte eine Zwei-Faktor-Authentifizierung mit Client-Zertifikaten zur Pflichtausstattung zählen. Als zweiter Authentifizierungsfaktor bieten sich je nach Einsatzszenario drei Möglichkeiten an: Ein temporärer Code, den der Mitarbeiter bei jeder Anmeldung am Desktop neu anfordert und der auf dessen Mobiltelefon gesendet wird. Ein Hardwaretoken, der ein Einmalpasswort pro Desktop-Sitzung generiert. Oder ein USB-Token mit einem geheimen Schlüssel (Private Key).

Sicherheitsrichtlinien auf Basis eines Zonenmodells

Ebenfalls zu den grundlegenden Sicherheitsmaßahmen zählt die organisatorische Steuerung der Zugriffsrechte eines Mitarbeiters auf Basis von Sicherheitsrichtlinien (Policies). Diese Regeln basieren bestenfalls auf einem Zonenmodell, das auch beim Aufbau von Netzwerkarchitekturen zum Einsatz kommt. Das Modell unterscheidet drei Zonen mit aufsteigendem Sicherheitsniveau, die das genutzte Endgerät und den Netzwerkzugang berücksichtigen. Auf technischer Seite sollten Experten diese Regeln einstellen. Falsche Einstellungen führen leicht dazu, dass ein Desktop Service nicht mehr funktioniert oder die Sicherheit auf der Strecke bleibt. Professionell umgesetzt ermöglichen sie Unternehmen jedoch, die Vorteile des Arbeitsplatzes aus der Public Cloud mit angemessener Sicherheit zu nutzen.

  1. Geringste Sicherheitsstufe

Der Mitarbeiter greift über ein unbekanntes Gerät und ein beliebiges Netzwerk auf seinen Desktop zu. Er befindet sich vielleicht in einem Internet-Café: Der Desktop Computing Service wechselt in einen reinen Anzeigemodus. Dateidownload und Drucken sind deaktiviert, einige interne Applikationen wie SAP gesperrt.

  1. Mittlere Sicherheitsstufe

Der Mitarbeiter nutzt ein bekanntes Endgerät, das mit einem entsprechenden Client-Zertifikat ausgestattet ist und greift über ein beliebiges Netzwerk wie das heimische WLAN oder das öffentliche Internet auf den Desktop Computing Service zu: Die meisten Funktionen sind freigeschaltet, einige Freigaben, etwa der Laufwerkszugriff, werden nicht erteilt.

  1. Höchste Sicherheitsstufe

Der Mitarbeiter befindet sich am Unternehmensstandort und greift mit einem bekannten Arbeitsplatzrechner über das interne Firmennetz auf seinen virtualisierten Desktop zu: Alle Funktionen sind freigeschaltet, alle Applikationen und Daten voll zugänglich

Andreas Knols, QSC AG

Andreas Knols ist Leiter Product Management Cloud bei der QSC AG. Zuvor hat Andreas Knols unter anderem als Enterprise Architect für Desktop Virtualisierung zahlreiche Großprojekte zur Desktop- und Anwendungs-Virtualisierung im Banken-, Luftfahrt- und Handelssektor erfolgreich begleitet.

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden. Diese Auswahl wurde von Menschen getroffen und nicht von Algorithmen.

 

Cloud-Anwendungen: Der Mittelstand auf Wolke 7

Virtualisierungsprojekte haben zu Beginn nichts mit Technik zu tun

Der EMM-Markt 2016 – Showdown zwischen Pure Plays und Global Majors

Wie positionieren sich die Anbieter von Cloud Workplaces in der Schweiz?

Trend zur Konvergenz bei VDI

Software Thin Clients: Fraunhofer-Studie belegt Klimaschutz- und Sparpotenzial

Der Mittelstand rechnet grün

Mobile-Enterprise-Strategie: der mobile Arbeitsplatz heute und morgen

Mobile-Enterprise-Trends 2017 – »Mobile only« integriert in Social Media, Collaboration und M-Commerce

Cloud-Markt: Public Cloud Services werden 2017 um 18 Prozent wachsen

Die Public Cloud auf dem Weg in die Unternehmens-IT