Sicherer iPhone-Zugriff auf Web-Anwendungen von Unternehmen
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
F5 Technical Brief
Sicherer iPhone-Zugriff auf Web-
Anwendungen von Unternehmen
Die Art, in der Unternehmen mobile Endgeräte einsetzen,
ändert sich derzeit: Mitarbeiter nutzen zunehmend nicht fir-
meneigene, sondern ihre privaten Geräte für geschäftliche
Zwecke. Ohne direkte Kontrolle dieser Endpunkte mussten
die IT-Abteilungen dies bisher jedoch gänzlich untersagen
oder ungesicherte Zugriffe durch die Firewall riskieren. Da
aber immer mehr mobile Endgeräte im Unternehmensnetz-
werk auftauchen, ist deren Management zu einer zentralen
IT-Tätigkeit geworden.
von Peter Silva
Technical Marketing Manager, Security
1
F5 Technical Brief
Sicherer iPhone-Zugriff auf Web-Anwendungen von Unternehmen
Inhalt
Einleitung3
Und nun zum Geschäftlichen... 3
iPhone und BIG-IP 4
Die BIG-IP Edge Apps von F5 5
Fazit10
Referenzen11
2
F5 Technical Brief
Sicherer iPhone-Zugriff auf Web-Anwendungen von Unternehmen
Einleitung
Mobile Endgeräte sind heute selbst Computer. Sie haben eine riesige An-
wendungspalette, eine beträchtliche Verarbeitungskapazität und kön-
nen Verbindungen mit hoher Bandbreite abwickeln. Für viele sind sie
das primäre Kommunikationsgerät – privat und geschäftlich.
Viele IT-Führungskräfte wollen ihren Mitarbeitern interne Business-Anwendungen
über Smartphone oder mobiles Endgerät bereitstellen. Das geht über den Be-
reich E-Mail hinaus und umfasst CRM-Anwendungen, ERP-Systeme, und sogar
proprietäre firmeninterne Anwendungen. Weil persönliche mobile Endgeräte
heute so verbreitet sind, stellen viele Unternehmen gar keine betriebseigenen
Geräte mehr zur Verfügung, sondern gestatten den Mitarbeitern vielmehr, ei-
gene Geräte geschäftlich zu nutzen. Einige Unternehmen sehen dies als Schritt
zur Kostensenkung. Diese privaten Geräte als legitime Endpunkte zu identifizie-
ren, ist aber noch immer schwierig, besonders hinsichtlich Sicherheit und Com-
pliance. Neben Smartphones wollen auch Tablet-Geräte, wie das Apple iPad,
und eine ganze Reihe neuer Geräte auf Unternehmensressourcen zugreifen.
Seit dem 2007 eingeführten iPhone werden mobile Geräte anders wahrgenom- Immer mehr mobile
men und genutzt. Das iPhone ist nicht nur etwas für technisch Versierte. Eltern, Arbeitskräfte
Prominente, Einzelhändler und alle anderen nutzen es begeistert zu persönlichen Laut IDC wird die Zahl der mobil ar-
Zwecken und für die Arbeit. Dem ersten iPhone fehlten zum Business-fähigen beitenden Menschen weltweit von
Gerät noch einige wichtige Funktionen. Doch neue Generationen kamen auf 919,4 Millionen bzw. 29 Prozent im
Jahr 2008 auf 1,19 Milliarden 34,9
den Markt, und das iOS-Betriebssystem wurde ausgereifter. So wurde das iPho-
Prozent im Jahr 2013 wachsen.1
ne zu einem nutzbaren Business-Mobilgerät. iOS 4 ist zu Exchange-ActiveSync-
Konten und Exchange Server von Microsoft kompatibel. So können die Benutzer
mehrere E-Mail-Konten für den gesicherten Zugriff auf ihren iPhones konfigu-
rieren. Mit Business-Apps, wie Documents To Go, können iPhone-Anwender
MS-Word- und Excel-Dokumente nicht nur betrachten, sondern auch erstellen
und bearbeiten. Unternehmen, wie Salesforce, SAP und Oracle, haben allge-
meine Business-Apps, Business Intelligence und HR-Apps herausgebracht.
Und nun zum Geschäftlichen...
IT-Infrastruktur- und Helpdesk-Mitarbeiter wurden mit Nachfragen überflutet,
verwaltete und nicht-verwaltete iPads und iPhones in der Unternehmensumge-
1
http://www.idc.com/research/viewdocsynopsis.jsp?containerId=221309§ionId=null&elementId=nul
l&pageType=SYNOPSIS
3F5 Technical Brief
Sicherer iPhone-Zugriff auf Web-Anwendungen von Unternehmen
bung zu unterstützen. Ohne direkte Endpunktkontrolle musste der IT-Bereich
diese Anfragen zurückweisen, um keinen ungesicherten Zugriff durch die Firewall
hindurch zu riskieren. Mobile Geräte, ob nun persönlich oder nicht, waren für den
IT-Bereich schon immer problematisch. Ein mobiles Endgerät bereitzustellen und
die erlaubten/aktivierten Anwendungen und Dienste zu bestimmen, kann eine
echte Herausforderung sein. Trotz der beeindruckenden Rechenleistung ist ein
mobiles Endgerät kein herkömmlicher Laptop oder Desktop, und die Funktionen
unterscheiden sich oft stark. Selbst zwischen den verschiedenen mobilen Geräten
variiert die Leistungsfähigkeit stark - je nach Hersteller, Modell und Betriebssystem.
Viele IT- Organisationen haben einige der Sicherheits- und Compliance-Probleme
gelöst. Jetzt dürfen Privat-PCs auf Unternehmens-Ressourcen zugreifen. Priva-
ten Mobilgeräten den Zugriff zu ermöglichen, ist das nächste Teil des Puzzles.
Technologien, wie SSL VPN, haben es den Organisationen erleichtert, den Host
zu prüfen, seinen Sicherheitsstatus zu erkennen und dementsprechend einen
bestimmten Zugriff zu gewähren. Bei mobilen Plattformen lässt sich manchmal
nur schwer ermitteln, ob die letzten Patches aktuell sind, ob die Plattform frei von
Malware und anderen nicht autorisierten Programmen ist und die Zugriffsrichtli-
nien des Unternehmens einhält. Für mobile Rechengeräte können andere Sicher-
heitsrichtlinien gelten als für herkömmliche Geräte. Kann die Firma das persönliche
Gerät deaktivieren, wenn es gefährdet ist und vertrauliche Informationen enthält?
Ist der VPN-Zugriff erlaubt, muss die IT-Abteilung dafür sorgen, dass Authenti-
zitäts- und Autorisierungsmechanismen korrekt konfiguriert sind. Möglich sind
auch Probleme mit Benutzer-Tracking, Lizenz-Compliance oder mit der Sitzungs-
persistenz, wenn Benutzer zwischen verschiedenen Mobilfunknetzen wechseln.
Viele Unternehmen kontrollieren den Zugang auch mittels Portalen, Proxys und
IDS/IPS. Selbst GPS-Daten können riskant sein, vor allem für Regierungen und
Militär. Der erhöhte Netzwerk-Traffic ist ebenso zu überwachen. In dem Maße, in
dem im Firmennetzwerk mehr persönliche Mobilgeräte der Mitarbeiter auftau-
chen, müssen die IT-Abteilungen deren Management zu einer Priorität machen.
iPhone und BIG-IP
Geschäftliche Anwender wollen zunehmend die Vorteile der Apple-iOS-Geräte
im Unternehmensumfeld nutzen. Entsprechend suchen die IT- Organisatio-
nen nach Möglichkeiten, den Zugriff zu erlauben, ohne die Sicherheit zu be-
einträchtigen oder die Endpunktkontrolle zu verlieren. Viele IT-Abteilungen,
die das iPhone bisher nur zögernd akzeptieren, suchen nun nach einer Lö-
4F5 Technical Brief
Sicherer iPhone-Zugriff auf Web-Anwendungen von Unternehmen
sung für den Remote-Zugriff. Sie soll für Ausgleich sorgen zwischen dem
benötigten mobilen Zugang und der Benutzerproduktivität einerseits und
der Fähigkeit, die Unternehmensressourcen zu sichern, andererseits.
Die BIG-IP- Edge-Apps von F5
F5 hat für iPhone und iPad zwei Apps erstellt: F5® BIG-
IP® Edge Portal™ und BIG-IP Edge Client™.
Das BIG-IP Edge-Portal
Diese App für iOS-Geräte gestaltet den sicheren mobilen Zugriff auf jene
geschäftliche Web-Anwendungen effektiver, die sich hinter BIG-IP Ac-
cess Policy Manager™ (APM), BIG-IP Edge Gateway™ und der FirePass®-
SSL-VPN-Lösung befinden. Mit dem BIG-IP Edge Portal-App greifen die
Benutzer gesichert auf interne Web-Seiten und -Anwendungen zu.
BIG-IP Edge Portal bietet in Kombination mit den kundenseitig vorhande-
nen Lösungen BIG-IP Edge Gateway und BIG-IP APM oder FirePass SSL VPN
einen Portalzugang zu internen Web-Anwendungen. Das sind z. B. Intranet-
Sites,Wikis und Microsoft SharePoint. Dieser Portalzugang umfasst ein Laun-
chpad, über das IT-Administratoren den mobilen Zugriff auf spezifische Web-
Ressourcen gewähren können. Dabei riskieren sie keine Verbindungen mit
umfassendem Netzwerkzugriff von nicht verwalteten, unbekannten Geräten.
iPhone-Nutzer synchronisieren E-Mail, Kalender und Kontakte mittels FirePass
und ActiveSync-Protokoll direkt mit dem Microsoft Exchange-Unternehmens-
server. Mit dieser Lösung kann die IT-Abteilung der Firma auch den gesicher-
ten Zugriff per iPhone und iPad auf Web-basierte Ressourcen gewähren.
IT-Administratoren können auch Layer 7-ALCs (Access Control Lists) erstellen und
verwalten , um den Zugriff auf bestimmte Ressourcen zu beschränken. So kön-
nen sie spezifische Whitelists oder Blacklists mit Websites erstellen, auf die die
Benutzer zugreifen dürfen (oder nicht). Es lässt sich sogar ein spezifischer Pfad
innerhalb einer Web-Anwendung angeben, wie /Auftragnehmer oder /Partner.
Entsprechend der Geräteprüfung und authentifizierten Benutzergruppe, könnte
dieses Gerät nur auf diese zugewiesenen Ressourcenpfade navigieren. Selbst wenn
ein Auftragnehmer den Partnerpfad zufällig errät, wird ihm der Zugriff verwei-
gert, sobald er versucht, dorthin zu navigieren. Administratoren können auch das
BIG-IP-Edge-Gateway konfigurieren. So stellen sie Richtlinien bereit und pushen sie
zum Client, z. B. dass ein Benutzer Zugangsdaten auf dem Gerät speichern darf.
5F5 Technical Brief
Sicherer iPhone-Zugriff auf Web-Anwendungen von Unternehmen
Wurde das System so konfiguriert, dass es ein Client-Zertifikat benötigt, kön-
nen die Benutzer es über das Web oder über iTunes hinzufügen. Die Benut-
zer können Lesezeichen für Websites hinzufügen, die sie wieder aufsuchen
wollen, und ein Stichwort angeben, mit dem sich eine Seite öffnen lässt. Sie
können z. B. das Stichwort „Intra“ festlegen, um zur Intranetseite der Firma
zu gelangen. Gibt ein Benutzer, während er ein Lesezeichen für eine Seite er-
stellt, ein Stichwort an, kann er später das Lesezeichen aufrufen, indem er den
entsprechenden Begriff in die Adressleiste des BIG-IP Edge Portals tippt.
Mit der App BIG-IP Edge Portal kann der Benutzer gesichert auf inter-
ne Web-Anwendungen zugreifen; sie bietet folgende Funktionen:
• Authentifizierung mit Benutzername/Passwort
• Unterstützung von Client-Zertifikaten
• Anmeldedaten und Sitzungen speichern
• SSO-Fähigkeit mit BIG-IP APM für verschiedene fir-
meninterne Web-Anwendungen
• Lokale Lesezeichen und Favoriten speichern
• Auf Lesezeichen über Passwörter zugreifen
• Eingebetteter Web-Viewer
• Anzeige aller Dateitypen, die Mobile Safari nativ unterstützt
Der BIG-IP Edge-Client von F5
Wenn ein iPhone als vertrauenswürdiges Gerät registriert ist und/oder der Netz-
werkzugriff von einem iPhone/iPad erlaubt wurde, bietet die App BIG-IP Edge
Client alle Funktionen des BIG-IP Edge Portals. Zusätzlich lässt sich ein verschlüs-
selter, optimierter SSL-VPN-Tunnel zum Unternehmensnetzwerk erstellen. BIG-IP
Edge Client bietet einen vollständigen Zugriff auf Unternehmensressourcen von
einem iOS-Gerät aus - eine umfassende VPN-Lösung für iPhone und iPad. Mit
vollem VPN-Zugang können iPhone-/iPad-Benutzer Anwendungen, wie RDP, SSH,
Citrix, VMware View, VoIP/SIP sowie andere Unternehmens-Applikationen nutzen.
6F5 Technical Brief
Sicherer iPhone-Zugriff auf Web-Anwendungen von Unternehmen
BIG-IP Edge Client und Edge Portal arbeiten eng mit BIG-IP Edge Gateway und Fire-
Pass SSL VPN-Lösungen zusammen, um den kontrollierten Zugriff auf Unterneh-
mensressourcen und -anwendungen zu ermöglichen und die Zugriffskontrolle für
mobile Benutzer zu zentralisieren . Den Zugriff auf Unternehmensressourcen zu er-
möglichen, ist entscheidend für die Benutzerproduktivität. Und genau dieses steht
im Zentrum des dynamischen Service-Modells von F5, das IT „on demand“ liefert.
Screenshot 1: Das BIG-IP Edge Portal auf dem Apple iPhone.
Eine VPN-Verbindung kann vom Benutzer entweder explizit über den BIG-IP
Edge Client oder implizit durch die VPN-On-Demand-Funktion von iOS herge-
stellt werden. Administratoren können z. B. eine Verbindung so konfigurieren,
dass sie bei einer bestimmten Domain oder bestimmten Host-Namen automa-
tisch ausgelöst wird. Die Konfiguration „VPN On Demand“ ist zulässig, wenn
der Typ client certificate authentication (Authentifizierung durch Client-Zertifikat)
verwendet wird. Benutzername und Passwort sind zusätzlich möglich, aber
optional. Für Verbindungen, die VPN On Demand auslöst, muss der Benutzer
nicht eingreifen. (So schlägt eine Verbindung fehl, wenn in der Konfiguration
ein Passwort nicht angegeben, aber für die Authentifizierung notwendig ist).
Der Controller des BIG-IP Edge Gateway optimiert und beschleunigt den Da-
tenverkehr zwischen Gateways und Rechenzentren. Mit der hinzugefügten
App IG-IP Edge Client wird diese Optimierung auf das iOS-Gerät erweitert.
Dies erhöht die Leistung des mobilen Benutzers, der Client-Zugriff ist schneller.
Der BIG-IP Edge Client bietet in Zusammenarbeit mit dem BIG-IP Edge Gate-
7F5 Technical Brief
Sicherer iPhone-Zugriff auf Web-Anwendungen von Unternehmen
way einen gesicherten und optimierten Anwendungszugriff für iOS-Geräte.
Wenn ein Benutzer in einem Mobilfunknetz mit hoher Latenz aus der Firmen-
infrastruktur eine Datei herunter laden muss, kommt diese schnell an – dank
der einzigartigen, anpassungsfähigen Kompressionsalgorithmen. Jetzt genie-
ßen die Anwender sogar unterwegs eine gesicherte, LAN-ähnliche Leistung.
Wie die App BIG-IP Edge Portal, so hält sich auch der BIG-IP Edge Client an die
ACLs, die den Zugriff auf bestimmte Ressourcen beschränken, sowie an vom
Administrator definierte Zugriffsrichtlinien, wie das Cachen von Anmeldedaten.
Mit BIG-IP Edge Client können Administratoren sowohl Layer 7-, als auch Layer
3/4-ACLs anlegen. Selbst wenn das iPhone vertrauenswürdig ist und die IT-Ver-
antwortlichen von diesem Gerät aus den Netzwerkzugriff erlauben, so wollen sie
vielleicht dennoch diese Benutzer auf bestimmte Subnetze innerhalb der Infra-
struktur beschränken - je nach Firmenstruktur, Position oder anderen Kriterien.
Bestehen Compliance-Anforderungen für den Firmenzugriff und sind Benutzerzu-
gangs- und Anwendungsprotokollierung erforderlich, ermöglichen BIG-IP APM und
BIG-IP Edge Gateway eine detaillierte Protokollierung und Abrechnung. So kann
die IT die gesetzlichen Anforderungen selbst dann erfüllen, wenn auf Anwendun-
gen von firmenfremden, nicht über die IT gemanagten Geräten zugegriffen wird.
Der einzigartige Visual Policy Editor (VPE) von F5 erstellt und steuert das Richtlini-
en- und Zugriffsmanagement. Mit dem erweiterten VPE können die Administra-
Screenshot 2: BIG-IP Edge Portal Konfigurationsseite auf dem Apple iPhone.
8F5 Technical Brief
Sicherer iPhone-Zugriff auf Web-Anwendungen von Unternehmen
toren einfach gesicherte, granulare Zugriffskontroll-Richtlinien für Einzelpersonen
oder Gruppen erstellen. Die grafische Benutzeroberfläche ähnelt einem Fluss-
diagramm. Sie ermöglicht den Administratoren Point-and-Click-Steuerung, um
in ein bestehendes System nahtlos iPhones und iPads einzubinden oder um ein
neues Makro für Richtlinien zu erstellen, die ausschließlich für iOS-Geräte gelten.
Die BIG-IP Edge Client-App bietet zusätzliche Funktionen. Smart Reconnect
z. B. verbessert die Mobilität bei Netzwerkausfällen, wenn der Benutzer von
einem Netz zu einem anderen wechselt (z. B. von einer Mobil- zu einer Wi-
Fi-Verbindung) oder wenn ein Gerät aus dem Hibernate/Standby-Modus
kommt. Der Split-Tunneling-Modus wird ebenfalls unterstützt: Die Benut-
zer können so gleichzeitig auf Internet und interne Ressourcen zugreifen.
Screenshot 3: Der BIG-IP Edge Client auf dem Apple iPad.
Die Benutzer können problemlos jeden ihrer Firmen-BIG-IP-Zugriffs-Controller
(BIG-IP APM, Edge Gateway) oder FirePass-SSL-VPN als gesichertes Gateway
auf ihrem iOS-Gerät hinzufügen. Ein Benutzer startet einfach den BIG-IP Edge
Client und gibt im Server-Feld die IP-Adresse oder den vollständig qualifizier-
ten Domänennamen eines FirePass-SSL-VPN-Controllers, eines BIG-IP APM-,
oder BIG-IP Edge-Gateways ein. Er kann für diesen Server auch einen Na-
men im Feld Beschreibung eingeben, um ihn einfacher wiederzufinden. Um
das Helpdesk zu entlasten, Anmeldedaten lassen sich ganz leicht hinzufügen:
einfach Benutzernamen und Passwort eingeben und auf Speichern und Fer-
tig klicken. So lassen sich Anrufe beim Helpdesk weit gehend verhindern.
9F5 Technical Brief
Sicherer iPhone-Zugriff auf Web-Anwendungen von Unternehmen
Fazit
Die App BIG-IP Edge Portal für iOS-Geräte bietet einen einfachen, optimierten
Zugriff auf Web-Anwendungen, die sich hinter der BIG-IP APM befinden. Dazu ist
kein voller VPN-Zugriff nötig. So können sich die Benutzer leichter anmelden, und
die Administratoren erhalten eine neue Kontrollebene. Mit BIG-IP Edge Portal kön-
nen Anwender gesichert auf interne Web-Seiten und -Anwendungen zugreifen.
Administratoren können wiederum zu ihrer bereits bestehenden BIG-IP-Infrastruk-
tur das iPhone- und iPad-Management für mobile Endgeräte nahtlos hinzufügen.
Der App BIG-IP Edge Client bietet nicht nur vollen SSL-VPN-Zugriff von iPhones
und iPads aus. Er ermöglicht auch beschleunigte Anwendungs-Performance beim
Einsatz mit BIG-IP Edge Gateway. Administratoren behalten mit Visual Policy Editor
von F5 eine granulare Kontrolle. Der Benutzer genießt schnelle Downloads und
zügigen Web-Zugang. Das ermöglichen die integrierten Technologien für Opti-
mierung und Beschleunigung, die in das BIG-IP Edge Gateway eingebaut sind. Der
IT-Bereich muss nicht mehr mehrere Systeme bereitstellen und verwalten, damit Fir-
menanwendungen für iPhone- und iPad-Nutzer verfügbar, schnell und sicher sind.
10Technical Brief
F5 Technical Brief Access to Corporate Web Applications
Secure iPhone
Sicherer iPhone-Zugriff auf Web-Anwendungen von Unternehmen
References
Referenzen
iPhone in Business
F5 BIG-IP Edge Client Users Guide
iPhone in Business
F5 BIG-IP Edge Client Users Guide
F5 Networks, Inc. 401 Elliott Avenue West, Seattle, WA 98119 888-882-4447 www.f5.com
F5 Networks, Inc. F5 Networks F5 Networks Ltd. F5 Networks
Corporate Headquarters Asia-Pacific Europe/Middle-East/Africa Japan K.K.
info@f5.com apacinfo@f5.com emeainfo@f5.com f5j-info@f5.com
© 2010 F5 Networks, Inc. All rights reserved. F5, F5 Networks, the F5 logo, BIG-IP, FirePass, iControl, TMOS, and VIPRION are trademarks
or registered trademarks of F5 Networks, Inc. in the U.S. and in certain other countries. PME10002-JORJ
11Sie können auch lesen
