Sicherer Zugriff für die Bundesregierung

Pulse Secure blickt auf eine langjährige Zusammenarbeit mit den US Behörden auf dem Gebiet des Netzwerkschutzes, richtlinienkonformer Umsetzung von Projekten und der Produktivitätssteigerung zurück


Wie steht es um die Sichtbarkeit in Ihrem Netzwerk?

Wir wissen, wie belastend die Verantwortung für die Bereitstellung eines sicheren Zugriffs auf die kritische IT-Infrastruktur des Landes sein kann

  • Compliance stellt eine Herausforderung dar – Die Behörden stehen unter ständigem Druck, die Richtlinien der DSGVO stets einen sichere Netzzugang erfüllen zu gewährleisten
  • Exponierte Systeme - Bestehende Sicherheitssysteme wie Cisco ACS gehen ihrem Ende zu
  • Koordiniertes Vorgehen – Notwendigkeit der Umstellung vorhandener Infrastruktur und Systeme auf eine automatisierte Gefahrenabwehr und wirkungsvolle Reaktion
  • Begrenzte Ressourcen - Haushaltsmittel sind begrenzt und erfahrene Fachkräfte rar


Pulse Secure verschafft dem IT-Bereich Klarheit

Durchgängiger Zugriffsschutz für zivile Behörden, den Geheimdienst und Verteidigungsministerien

  • Erfüllung der Compliance Kriterien für die Kontrolle nach 802.1x (IEEE), Layer-2-Switch-STIGs, ‚Comply-to-Connect‘ und DSGVO
  • Schutz des komplexen und expandierenden Internet der Dinge (IoT)
  • Maximierung des ROI und Reduzierung der TCO durch Interoperabilität mit der vorhandenen Netzwerkinfrastruktur und dem Sicherheitssystem

Pulse Essentials Plus Suite

Essentials Plus bietet sicheren, lückenlosen hybriden IT-Zugriff auf das Datacenter und die Cloud-Infrastruktur für Desktops, Laptops, mobile und IdD-fähige Geräte.  Außerdem umfasst es eine zentralisierte, Cloud-gestützte Verwaltung der sicheren Zugriffsinfrastruktur mit umfassender Interaktionsfähigkeit.

 

 

Pulse Advanced Plus Suite

Advanced Plus bietet eine rollenbasierte und gerätebezogene Zugangskontrolle vor Ort, Optimal Gateway Selection, die mit dem nächstgelegenen freien Anwendungs-Gateway verbindet und die beste Reaktion erzielt, sowie User and Entity Behavior Analytics (UEBA).

Pulse Enterprise Plus Suite

Enterprise Plus bietet solide Notfallwiederherstellung über Gebiete, Rechenzentren und die Cloud hinweg sowie einen flexiblen Lastausgleich für Anwendungen und Gateways mit optimalem Datendurchsatz und Benutzerkomfort.

Eine robuste, mit den Richtlinien der NIST 800-53 konforme Lösung

IT-Abteilungen der Behörden müssen die Einhaltung einer großen und wachsenden Zahl von Vorschriften und Normen für die Zugriffskontrolle auf Netzwerke (NAC) und den Fernzugriff nachweisen und aufrecht erhalten. Bereits seit über zwölf Jahren unterstützt Pulse Secure die zivilen Bundesbehörden, den Geheimdienst und das Verteidigungsministerium diese Aufgabe schnell, lückenlos und kosteneffizient umzusetzen.

Die Lösung von Pulse Secure ist ein ganzheitliches Konzept für den lokalen Zugriff und Fernzugriff unter Verwendung der Benutzer- und Gerätekennung. Administratoren konfigurieren kontextbezogene Zugriffsrichtlinien in Pulse Connect Secure zur Kontrolle des VPN-Zugriffs auf das Datacenter nach Gerät, Standort, Ressource , Benutzer und Gruppen oder auch nach Profil des Endgerätes. Pulse Policy Secure erweitert mit Pulse Profiler das Sicherheitskonzept auf interne Netzwerke und ermöglicht es somit Unternehmen, interne Geräte zu identifizieren, zu profilieren, zu sichern und zu verwalten. Dabei werden auch NAC-Sicherheitskonzepte für das wachsende Angebot an Ökosystemen aus Sicherheitslösungen von Drittanbietern bereitgestellt. Die zentralen Verwaltung und das Reporting von Pulse One schaffen eine vollständige Sichtbarkeit und erfüllen die strengsten Kriterien in der Datenschutzumgebung.

Funktionsprinzip

Pulse Policy Secure, unser leistungsstarker und skalierbarer Server für NAC-Sicherheitskonzepte, basiert auf robusten Industriestandards wie 802.1x und RADIUS. Er schützt Netzwerke durch:

  • Überwachung geschäftskritischer Anwendungen und sensibler Daten
  • Bereitstellung der Identitätsdaten von Benutzern- und Geräten für die Umsetzung granularer Sicherheitskontrollen über Firewalls, Zugriffspunkte, Switches und andere interoperable Plattformen der nächsten Generation
  • Einsatz umfassender NAC-Verwaltung, Profilerstellung und Kontrolle der Sichtbarkeit von Benutzern und IoT- Geräten

 

  • Anwendung granularer, nach Identität und Rolle gegliederte Kontrolle des Fernzugriffs auf das Datacenter
  • Kontrolliert den Zugriff auf Netzwerke und schützt vor internen Bedrohungen, prüft den Gastzugriff und die Einhaltung des Sicherheitskonzeptes

 

Government Diagram

DISAs STIGs (Layer-2-Switch, WLAN Sicherheit der Server Authentifizierung) und 802.1x-Mandate

Bezüglich der Erfüllung vorgeschriebener Anforderungen für die Authentifizierung wie Layer-2-Switch STIG der DISA, nach denen eine 802.1x-Authentifizierung vorgeschrieben ist, haben vermutlich die meisten Dienstleister Ihrer Behörde eine umfassende – und teure – Lösung mit Austausch der vorhandenen Systeme und Betriebsmittel angeboten, für die erhebliche Investitionen getätigt werden mussten und die Sie jetzt noch nicht ausmustern möchten.

Wir bei Pulse Secure sind anbieterunabhängig. Unser Authentifizierungsserver AAA/RADIUS, mit dem eine perfekte 802.1x-Authentifizierung möglich ist, kann nahtlos über offene Standards in Ihre bestehende Infrastruktur integriert werden. Dank dieser möglichen Integration kann das vorhandene System weiterhin genutzt und amortisiert, die Gesamtbetriebskosten gesenkt und die Rentabilität optimiert werden.

Des weiteren müssen Sie bei der RADIUS-Lösung von Pulse Secure die Konnektivität 802.1x nicht über komplexe, mehrstufige Lösungen aktivieren und ersparen sich eine erhebliche Umgestaltung des Netzwerks. Wir erstellen die Konnektivität über vorhandene Einrichtungen an den Endgeräten wie PCs, Telefone und Server in Verbindung mit Einstellungen in einem vorhandenen Netzwerk-Switch oder Wireless Access-Point. Danach läuft alles über den RADIUS-Server, der eine regelkonforme Authentifizierung sicherstellt.

Internet der Dinge

Das Internet der Dinge (IoT) hat Einzug gehalten und weitet sich mit Lichtgeschwindigkeit aus. IoT-fähige Geräte benötigen einen Zugriff auf das Netzwerk, sind aber vom Hersteller bereits für Software Updates programmiert und konfiguriert, so dass eine Absicherung des Gerätes eingeschränkt ist. Nach Aussage des US Department of Homeland Security (DHS) eröffnen IoT-Geräte „Cyberkriminellen zahlreiche Möglichkeiten, den Informationsfluss zu und von den an ein Netzwerk angeschlossenen Geräten zu manipulieren.“ Demzufolge empfiehlt DHS den Behörden, ein Sicherheitskonzept für den Zugriff auf Netzwerke festzulegen, IoT-Geräte auf spezifische Ports zu beschränken und Berechtigungen für den Zugriff auf das Netzwerk auf die Verwendung des IoT-Gerätes zu strukturieren.

Pulse Secure unterstützt die Einführung von IoT-Geräten in Behörden durch eine Profilierung der Geräte nach funktionsorientierter Zugriffskontrolle und den erstellen Sicherheitskonzepten. Unser Pulse Profiler basiert auf dem RADIUS-Server und prüft jedes IoT-Gerät nach Funktion und Rechten, also um welches Gerät es sich handelt, wofür es eingesetzt wird und wo es anzuschließen ist. So darf eine Videokamera beispielsweise nur an die Videokonsole angeschlossen werden. Sobald sie versucht, an anderer Stelle auf das Netzwerk zuzugreifen, wird eine rote Flagge angezeigt. Somit ermöglicht Profiling die Einrichtung von Netzzugangskontrollen für IoT-Geräte.

Des weiteren erkennt Pulse Policy Secure automatisch IoT-Geräte und bindet sie in das von der Verwaltung definierte IoT-Netzwerk ein. Diese Lösung ermöglicht es auch, einen Zugriff für gesponserte IoT-Geräte einzurichten, wobei der Sponsor einzelne IoT-Geräte nach den Richtlinien des Unternehmens genehmigen oder ablehnen kann. Wenn Pulse Policy Secure Änderungen an einem IoT-Profil oder ein manipuliertes IoT-Gerät erkennt, werden automatisch Abwehrmaßnahmen eingeleitet und das Gerät in Quarantäne genommen oder in ein getrenntes Netzwerk verschoben.

Comply to Connect

Nach dem Konzept ‚Comply-to-Connect‘ ist jedes Endgerät vor einem Zugang auf das Netzwerk einer Behörde zu überprüfen. Bei einigen Anbietern kann ‚Comply-to-Connect‘ auch in einem agentenlosen Modus ausgeführt werden. Wir bei Pulse Secure empfehlen Behörden, einen Agenten von Pulse Secure in Übereinstimmung mit dem Sicherheitskonzept ‚Comply-to-Connect‘ zu implementieren. In der folgenden Tabelle haben wir die drei wichtigsten Gründe für diese Empfehlung aufgeführt.

Agentenlose Lösungen Agentenlose Lösungen von Pulse Secure
Mit agentenlosen Lösungen kann man Endstellen extern inspizieren, ehe eine Verbindung des Gerätes mit dem Netz freigegeben oder abgelehnt wird. Allerdings funktioniert die agentenlose Lösung nur mit einem Layer-3-Zugriff über eine IP-Adresse. Damit gewähren Sie potenziell nicht konformen Geräten bereits während der Überprüfung einen Netzzugang. Bei Verwendung eines Pulse-Secure-Agenten wird keine IP-Adresse angegeben. Genauso wenig wird in der Überprüfungsphase eine uneingeschränkte Verbindung zum Netzwerk hergestellt. Die Gehorsamsprüfung wird auf Layer 2 durchgeführt, ohne dass das Gerät auf das Netzwerk zugreifen muss.
Bei agentenlosen Konzepten wird das Netzwerk in einem regelmäßigen Zyklus abgefragt, um die Sicherheitsmaßnahmen zu kontrollieren. Beginnt jedoch jemand zu Beginn eines Zyklus mit der Deaktivierung der Sicherheitsvorkehrungen, kann viel Schaden angerichtet werden, bevor der nächste Abfragezyklus beginnt und die Gefahr erkannt wird. Der Pulse-Secure-Agent ist immer aktiv und führt eine kontinuierliche Überwachung durch. Änderungen an den Sicherheitsmaßnahmen werden in Echtzeit erfasst, wodurch die Sicherheitslage Ihres Netzwerks gestärkt wird.
Agentenlose Konzepte können Endpunkte extern nur über WMI-Protokolle im gesamten Netzwerk inspizieren. Dies stellt einen Schwachpunkt dar, weil Hacker über WMI-Protokolle Malware automatisieren können, was für sicherheitsrelevante Bundesbehörden vollkommen inakzeptabel ist. Mit dem Agenten von Pulse-Secure entfällt der Einsatz eines potenziell riskanten WMI-Protokolls.

Erkennung

„Bei der jüngsten Pandemie konnten wir mit Pulse Secure den Fernzugriff schon vor diesem Ereignis weit über die offiziellen Ziele hinaus steigern (20 % aller Benutzer auf 100 % mit freier Kapazität), da wir das bisherige System umgestaltet und die Hardware umgestellt haben (Geräte aufstellen, Cluster aufbrechen usw.)“

Ingenieur der Bundesregierung

„Pulse war immer zuverlässig und hat uns geholfen, während COVID-19 eine Vielzahl von Mitarbeitern zur Telearbeit zu bewegen.“

– IT-Fachkraft, &Behörde

„Pulse Secure gibt uns die Möglichkeit, externen Zugriff auf interne Ressourcen schneller und sicherer zu gewähren.“

– IT-Fachkraft, &Behörde