Teal und der Managed Service

Seit 2021 bieten wir für unsere Kunden nicht nur die reine Beratung im IT-Security Bereich, sondern darüber hinaus auch den vollumfassenden Managed Service unserer Produkte an. Allem voran haben wir uns auf das Thema Systemhärtung mit dem Produkt Enforce Administrator fokussiert.

Die Systemhärtung von Servern und Arbeitsstationen ist ein essenzieller Baustein für eine sichere Umgebung, und durch unseren Service können wir die von uns im Kundenumfeld implementierten Produkte professionell und in Echtzeit betreuen. Dies bietet nicht nur uns die Möglichkeit, auf eventuell anfallende Probleme zeitnah zu reagieren, sondern auch dem Kunden die Sicherheit, dass die genutzten Systeme stets perfekt funktionieren.

Seit der Einführung unseres Managed Service arbeiten wir daher kontinuierlich daran, die Systemprozesse zu vereinfachen, ohne die Sicherheit zu gefährden, die Transparenz für den Kunden zu verbessern und die Skalierbarkeit auf kleine-, mittelständische und große Unternehmen zu vereinfachen. Getreu dem Motto: Keep it short and simple – aber sicher.

Wie machen wir uns besser und sicherer?

Um den Managed Service sicher erbringen zu können, benötigen wir stets einen sicheren Zugang zu der Kundenumgebung. Dabei ergeben sich zwei Punkte, denen wir bei der Lösungsfindung besondere Beachtung gewidmet haben.

1. 1. 1. Nicht immer ist es kundenseitig möglich, dass alle Voraussetzungen für eine sichere Verbindung bereitgestellt werden.
      2. Zudem garantiert eine standardisierte Lösung, einen einheitlichen und sicheren Zugang zur jeweiligen Kundenumgebung. Der Teufel steckt bekanntermaßen im Detail, deswegen soll die Lösung so einfach wie möglich sein. Wir haben nach einer Lösung gesucht, die unseren eigenen hohen Ansprüchen an Sicherheit und Verwaltbarkeit entspricht. Mit der BeyondTrust® PAM Lösung haben wir uns ein System ins Haus geholt, das unsere Erwartungen voll und ganz erfüllt.

Wir empfehlen all unseren Kunden die Einführung eines Tiering Modells, um administrative von Regeltätigkeiten zu separieren. Dies beinhaltet unter anderem auch die Verwendung von speziellen Arbeitsstationen (PAW) ausschließlich zur Administration.  Deswegen greifen wir auf die BeyondTrust-Lösung ausschließlich über eine dedizierte PAW für den Managed Service zu.

Enforce Administrator & Managed Service

Am Beispiel des Enforce Administrators von FBPro in Verbindung mit der PAM Lösung von BeyondTrust® kann perfekt demonstriert werden, wie ein Szenario beim Kunden aussehen kann.

In unserem Portfolio bieten wir unter Anderem die Systemhärtung über den Enforce Administrator an. Hierbei werden die Systeme in Absprache mit dem Kunden entsprechend verschiedener Standards durch uns gehärtet und damit die Angriffsfläche reduziert. Die Systemhärtung auszurollen ist die eine Sache, diese im Anschluss jedoch professionell zu betreuen, die andere. Und hier kommt unser Managed Service ins Spiel.

Nach einer erfolgreichen Implementierung, geht die Überwachung und die Wartung des Enforce Administrators und der gehärteten Systeme an unseren Managed Service über. Hier wird in regelmäßigen, mit dem Kunden abgestimmten Intervallen das System auf seine Aktualität, Funktionalität und Erreichbarkeit überprüft. Außerdem stellen wir sicher, dass bereits gehärtete Systeme compliant bleiben. Wir übernehmen durch unseren Service also nicht nur die komplette Verwaltung des Systems, sondern kümmern uns genauso um Updates, analysieren die Changelogs und stehen in direktem Kontakt zu den Entwicklern des Enforce Administrators. Dadurch können kundenseitig Ressourcen anderweitig eingesetzt werden, ohne ein Sicherheitsrisiko einzugehen. Dem Kunden wird in regelmäßigen Abständen durch unseren Managed Service ein detaillierter Bericht über den aktuellen Stand der Härtung zur Verfügung gestellt und gegebenenfalls besprochen. Inhalt dieses Berichtes ist neben detaillierten Auswertungen auch eine grafische Darstellung des aktuellen Standes, um einen schnellen Überblick über Compliance-Status zu bekommen.

Beyond Trust Privileged Access

Um die Systeme beim Kunden betreuen und auswerten zu können, müssen unsere Managed-Service-Mitarbeiter einen Zugriff auf die Systemumgebung bekommen.

Der Zugriff auf die Kundenumgebung erfolgt hierbei über die BeyondTrust® Appliance auf einen vom Kunden bereitgestellten Host. Die Sicherheit wird dadurch erhöht, dass für den gesamten Datenaustausch nur ausgehend der Port 443 benötigt wird. Es sind keine weiteren offenen Ports, keine Hostnamen oder IP-Adressen erforderlich. Der gesamte Datenverkehr ist verschlüsselt.

Das war uns noch nicht genug, wir wollten es sicherer machen. Zunächst nutzen alle Mitarbeiter aus dem Managed Service eine gehärtete PAW (Privileged Access Workstation), die ausschließlich für den administrativen Teil des Managed Service bereitsteht. Hier werden über 700 Härtungseinstellungen gesetzt, sodass die PAW unter anderem nach dem aktuellen „CIS Microsoft Windows 11 Enterprise Benchmark“, den „SiSyPHuS Recommendations for Telemetry Components“ und den „SiSyPHuS Recommendations for Logging“ gehärtet ist. Durch den Einsatz der PAW haben wir sichergestellt, dass die Trennung zwischen der administrativen Umgebung und unserer Office Umgebung jederzeit gegeben ist.

Außerdem nutzen wir zur Anmeldung in der BeyondTrust® Umgebung eine Zwei-Faktor-Authentisierung, sodass ein unautorisierter Zugriff erheblich erschwert wird. Über Gruppenzuweisungen innerhalb der BeyondTrust® Appliance werden nur ausgewählte Mitarbeiter aus dem Managed-Service-Team einem spezifischen Kunden zugewiesen. So kann sichergestellt werden, dass nur die mit dem Kunden vertrauten Mitarbeiter Zugriff auf die entsprechende Umgebung bekommen. Jede Verbindung zum Kunden wird revisionssicher protokolliert, sodass sowohl für uns und unser Qualitätsmanagement als auch für den Kunden zu jeder Zeit transparent nachvollziehbar ist, von welchem Mitarbeiter Zugriffe durchgeführt wurden. All diese standardisierten Prozesse werden durch uns laufend analysiert, dokumentiert und verbessert.

Fazit

Wir haben es uns auf die Fahne geschrieben, die IT-Umgebungen in Unternehmen sicherer zu machen. Doch ohne einen laufenden Prozess, indem diese Sicherheit immer wieder geprüft wird, ist alles nur eine Momentaufnahme. Durch unseren Managed Service bieten wir dem Kunden die Möglichkeit, diesen Prozess auszulagern und an uns in professionelle Hände zu geben.

Es ist uns wichtig, dass wir dem Kunden nicht nur zeigen, wie man eine sichere Systemumgebung aufbaut, in dieser Umgebung arbeitet und wie die Umgebung aktuell gehalten wird. Wir halten uns in all unseren Prozessen und all unseren Arbeitsabläufen auch selbst an unsere eigenen Vorgaben. Nur so können wir zu jeder Zeit erkennen, wo Optimierungsbedarf besteht oder wo noch Lücken sind, die geschlossen werden können. Standardisierte Prozesse, die optimal dokumentiert sind, sind dabei die Grundpfeiler, auf denen alles kontrolliert aufgebaut werden kann.

Durch die BeyondTrust® Privileged Access-Lösung machen wir den Datenverkehr zwischen der Kundenumgebung und unserer Umgebung sicher und stabil – ein perfektes Rundum-sorglos-Paket.

Gerne beraten wir in einem persönlichen Gespräch darüber, wie wir eine Umgebung nicht nur absichern, sondern vor allem auch dauerhaft sicher halten.