Ivanti und F5: Sicherer Multi-Cloud-Zugriff im Zero-Trust-Modell

Früher nutzten Mitarbeiter denselben stationären PC – vor Ort und normalerweise von einer Arbeitskabine aus –, um sich bei einem einzigen Unternehmensintranet anzumelden und auf alles zuzugreifen, was sie für ihre Arbeit benötigten. Nach und nach wurde dieser Prozess auf Laptops und Heim-PCs ausgeweitet, die über das VPN des Unternehmens angemeldet waren, um von zu Hause aus auf das Intranet zuzugreifen. Damals konzentrierte sich die IT- Sicherheitsstrategie ausschließlich auf das Netzwerk: Der Benutzer muss zum Öffnen der Vordertür ein Kennwort eingeben. Sobald er drinnen ist, kann er sich jedoch grundsätzlich nach Bedarf frei bewegen.

Dieser Ansatz sieht altmodisch aus. Die umfassende Sicherheitsstrategie von heute geht weit über die Netzwerksicherheit hinaus und konzentriert sich auch auf Benutzer, Vermögenswerte und Ressourcen. Dieses als Zero Trust-Cybersicherheit bekannte Modell berücksichtigt nicht nur moderne Geräte wie Smartphones und Tablets, sondern trägt auch der Tatsache Rechnung, dass Mitarbeiter von heute sicheren Zugriff auf zahlreiche Inhalte außerhalb des Unternehmensintranets benötigen. F5 und Ivanti arbeiten zusammen, um die Zero Trust-Cybersicherheit in allen Cloud Applications eines Unternehmens zu stärken. Dazu gehören Applications, die auf öffentlichen Cloud-Diensten wie Azure oder AWS bereitgestellt werden, sowie Cloud-basierte Dienste wie Box, G Suite, Microsoft Office 365 und Salesforce.

Eine Organisation muss in der Lage sein, den sicheren Zugriff für alle Benutzer (remote, mobil und verteilt) und alle Applications (vor Ort und in mehreren Clouds) zu kontrollieren. F5 BIG-IP Access Policy Manager (APM) macht genau das: Es sichert, vereinfacht und zentralisiert den Zugriff auf Apps, APIs und Daten – unabhängig davon, wo sich Benutzer und ihre Apps befinden. Mit BIG-IP APM lässt sich ganz einfach kontrollieren, wer Zugriff hat, auf welche Applications zugegriffen werden kann und von welchen Netzwerken aus dies möglich ist – bis auf die Geräteebene. BIG-IP APM ermöglicht sogar Single-Sign-On (SSO) vom Unternehmensnetzwerk aus. Durch die Bereitstellung einer Validierung auf Basis eines detaillierten Kontexts und die Sicherung jeder einzelnen Anforderung für den App-Zugriff ist BIG-IP APM ein wichtiger Bestandteil des Zero Trust-Sicherheitsmodells vieler Organisationen.

BIG-IP APM enthält eine grafische Benutzeroberfläche „Visual Policy Editor“ (VPE), die das Erstellen, Bearbeiten und Verwalten identitätsbezogener, kontextbasierter Richtlinien erleichtert, einschließlich Richtlinien, die bestimmen, welche Benutzer auf welche Applications in welcher Cloud zugreifen können.

Zusätzlich zur Überprüfung der Benutzeridentität erfordert die mobile Zero-Trust-Sicherheit ein Unified Endpoint Management (UEM)-Framework, das in der Lage ist, die Gerätehaltung und den App-Autorisierungsstatus zu überprüfen. Dadurch wird sichergestellt, dass nur vertrauenswürdige Benutzer, Geräte und Apps auf Unternehmensressourcen aus der Cloud zugreifen. Ivantis Zero Sign-On erfüllt diese Rolle, indem es bedingten Zugriff auf Cloud-Dienste von mobilen Apps und Browsern aus ermöglicht. Im Gegensatz zu herkömmlichen Sicherheitsansätzen korreliert Zero Sign-On (ehemals MobileIron Access) die Benutzeridentität mit einzigartigen Informationsfeeds wie Gerätestatus und App-Status. Ivanti Zero Sign-On stellt Folgendes sicher:

• Geschäftsdaten können nicht auf ungesicherten Geräten gespeichert werden
• Benutzer können keine Verbindung zu nicht verwalteten Apps herstellen
• Informationen dürfen nicht über nicht genehmigte Cloud-Dienste weitergegeben werden

Ivanti Zero Sign-On bietet nicht nur bedingten Zugriff, der die Sicherheit von Benutzer, Gerät, App und Netzwerk überprüft, bevor Cloud-Zugriff gewährt wird, sondern ermöglicht IT-Organisationen auch die einfache Einführung modernster Lösungen wie allgemeines Zero Sign-On (ZSO) und Multi-Faktor-Authentifizierung (MFA). So funktionieren sie:

Ivanti Zero Sign-On bietet nicht nur bedingten Zugriff, der die Sicherheit von Benutzer, Gerät, App und Netzwerk überprüft, bevor Cloud-Zugriff gewährt wird, sondern ermöglicht IT-Organisationen auch die einfache Einführung modernster Lösungen wie allgemeines Zero Sign-On (ZSO) und Multi-Faktor-Authentifizierung (MFA). So funktionieren sie:

• Zero Sign-On macht Passwörter überflüssig, indem das mobile Gerät selbst zur sicheren Unternehmens-ID wird und so ein nahtloser Zugriff auf Produktivitäts-Apps und -Inhalte ermöglicht wird. In einem Beispiel berichtete ein Ivanti-Kunde, dass ZSO nicht nur das Risiko von Phishing-Angriffen verringerte, sondern auch die durchschnittliche Anmeldezeit bei der Application um 70 % (von 7 Sekunden auf 2 Sekunden) verkürzte . Pro Monat und bei 100.000 Anmeldungen entspricht dies einer Zeitersparnis von fast 140 Stunden.
• Die mehrstufige Authentifizierung greift, wenn ein Gerät nicht erkannt wird oder nicht konform ist. So können Benutzer ihre Identität schnell bestätigen und ihre Geräte über Push-Benachrichtigungen sichern. Diese Technologie wird auch für die schnelle und einfache Einrichtung neuer Geräte oder Benutzer durch One-Touch-Registrierung verwendet. Ivanti führt außerdem MFA mit ZSO für passwortlose MFA zusammen und nutzt dabei mehrere Faktoren, darunter Biometrie, Zertifikate, Gerätehaltung und mehr, um die Benutzeridentität zu authentifizieren.

Ivanti-Kunden, die F5 BIG-IP APM als Teil ihrer mobilen UEM-Plattform bereitgestellt haben, können BIG-IP APM als Identitätsanbieter (IDP) verwenden, während sie Ivanti Zero Sign-On im Delegated-IDP-Modus (oder IDP-Chaining-Modus) bereitstellen. In diesem Szenario fungiert BIG-IP APM als primärer IDP, verlässt sich jedoch aufgrund seiner einzigartigen Authentifizierungsfunktionen auf Ivanti Zero-Sign-On. Wenn beispielsweise Anfragen an Cloud Applications wie Salesforce und Office365 eingehen, werden diese Anfragen von BIG-IP APM authentifiziert, das die Anfrage wiederum an Ivanti Zero Sign-On weiterleitet, um zu überprüfen, ob das Quellgerät tatsächlich verwaltet wird. Im Fall eines nicht verwalteten Geräts übergibt Ivanti Zero Sign-On die Anforderung an BIG-IP APM für Korrekturmaßnahmen wie Blockieren, Hinzufügen zur Deny-Liste usw. zurück.

Da Unternehmen zunehmend einen Mix aus Cloud-Diensten, mobilen Apps und intelligenten Geräten nutzen, benötigt die IT eine skalierbare, zentralisierte Möglichkeit, Richtlinien anzuwenden und die Einhaltung der Vorschriften zu verfolgen, zu überwachen und darüber zu berichten. Ivanti Zero Sign-On und BIG-IP APM arbeiten zusammen, um einen standardbasierten Ansatz bereitzustellen, der alle Cloud-Dienste eines Unternehmens sichert, ohne dass proprietäre Integrationen erforderlich sind.

Ivanti „wurde speziell für globale Unternehmen entwickelt, um mobile Geräte und Apps zu sichern und zu verwalten“, sagte Nayaki Nayyar, President, Service Management Solution & Chief Product Officer bei Ivanti. „Durch die Zusammenarbeit mit F5 können wir unseren Kunden ein optimales Mitarbeitererlebnis bieten und gleichzeitig die Application verbessern, wichtige Sicherheitsrichtlinien durchsetzen und letztendlich die mobile Produktivität steigern.“

Eine integrierte Lösung, die BIG-IP APM mit Ivanti Zero Sign-On bereitstellt, stellt sicher, dass nur vertrauenswürdige und verwaltete Benutzer auf genehmigten Geräten Zugriff auf Unternehmensressourcen erhalten. Gleichzeitig bietet sie der IT ein hohes Maß an Transparenz, Kontrolle und Sicherheit auf nicht verwalteten Geräten. Diese integrierte Lösung bietet sowohl Endbenutzern als auch IT-Managern ein nahtloses Erlebnis und ermöglicht es den Mitarbeitern, von überall und mit jedem Gerät, an dem sie arbeiten, problemlos auf wichtige Daten zuzugreifen und wichtige Geschäftsentscheidungen zu treffen.

Webinar: Das Passwort loswerden mit Zero Sign-On

F5-Lösung: Zugriffskontrolle und Autorisierung