SecurICE für den Notfall einrichten
Tritt ein betrieblicher Notfall ein, so ist nicht nur der Remotezugang zu Ihren Systemen notwendig, sondern es muss auch gewährleistet sein, dass dieser externe Zugriff auf Ihre Systeme den bisher geltenden Sicherheitsanforderungen weiterhin entspricht. In Notfallsituationen ist die Unternehmensabwehr am schwächsten und die Bedrohung durch einen Angriff am größten.
Beschreibung
Sie haben SecurAccess im Einsatz, um in Ihrem Unternehmen die Benutzeranmeldung mit einer Zwei-Faktor-Authentifizierung zusätzlich abzusichern.
Tritt ein betrieblicher Notfall ein, so ist nicht nur der Remotezugang zu Ihren Systemen notwendig, sondern es muss auch gewährleistet sein, dass dieser externe Zugriff auf Ihre Systeme den bisher geltenden Sicherheitsanforderungen weiterhin entspricht. Jedoch erlauben viele Organisationen die Authentifizierung von Remote-Benutzern "nur" mit einem Standard-Benutzernamen und -Passwort, wenn die Notwendigkeit eines sicheren Zugriffs eigentlich am größten: In Notfallsituationen ist die Unternehmensabwehr am schwächsten und die Bedrohung durch einen Angriff am größten.
Innerhalb von SecurAccess bietet Ihnen die lizenzpflichtige Zusatzoption SecurICE diesen sicheren Zugriff, da diese Option speziell als Multi-Faktor-Authentifizierung für Geschäftskontinuität und Disaster-Recovery-Situationen konzipiert wurde.
Hinweis
SecurICE ist Bestandteil Ihrer bereits vorhandenen SecurAccess Installation. Sie müssen daher nichts zusätzlich installieren.
Sie müssen lediglich die Verwendung der zusätzlichen SecurICE Lizenzen konfigurieren
Ursache
Sie haben in Ihrem Unternehmen unterschiedliche Anwendergruppen im Einsatz.
Zum einen die Grupper der Anwender, welche alle ausschliesslich an Ihrem Arbeitsplatz im Unternehmen tätig sind und zum anderen jene Anwender, welche außerhalb des Unternehmens im Einsatz sind (Aussendienstmitarbeiter, externe Mitarbeiter, Mitarbeiter im VorOrt Einsatz, etc.)
Für die Gruppe der internen Mitarbeiter ist eine Anmeldung mit Standard-Benutzernamen und -Passwort durchaus ausreichend, sofern das Passwort in seiner Komplexität sicher genug ist.
Für die Gruppe der externen Mitarbeiter ist eine Anmeldung mit Standard-Benutzernamen und -Passwort in der Regel nicht ausreichend und es ist mitunter (auf Basis vom z.B. Compliance-Vorgaben) die Verwendung einer Zwei-Faktor Authentifizierung (2FA) notwendig.
Für die Gruppe "extern" haben Sie im Regelfall eine ausreichende Anzahl an Lizenzen für das Produkt SecurAccess erworben und im Einsatz.
Kommt es jedoch zum betrieblichen Notfall, so entsteht die Notwendigkeit, dass sich nicht nur - wie bisher - die Benutzer der Gruppe "extern" mit Zwei-Faktor Authentifizierung an Ihren Remote-Zugangspunkten anmelden. Zusätzlich kommen nun auch noch die Benutzer der Gruppe "intern" hinzu, welche während der Notfallsituation ins HomeOffice geschickt werden. Auch für diese - bisher nur interne - Anwender muss nun auch gewährleistet sein, dass der nun externe Zugriff auf Ihre Systeme den bisher geltenden Sicherheitsanforderungen weiterhin entspricht.
Lösung
Der schnellste und einfachste Lösungansätz wäre die Erweiterung der bestehenden SecurAccess Lizenzen um die Anzahl jener Mitarbeiter, welche sich bisher nur intern angemeldet haben und für die bisher keine Notwendigkeit für eine Zwei-Faktor Authentifizierung bestand. Dies ist jedoch mit einem höheren Kostenaufwand verbunden und deckt Anwender mit einer Jahreslizenz ab, obwohl es sich vielleicht nur um einen Zeitraum von 2-3 Wochen handelt, indem der Notfall eine zusätzliche 2FA notwendig macht.
Der effektive Lösungsansatz wäre daher die Aufstockung der bestehenden SecurAccess Lizenzen um eine passende Anzahl an "temporären" SecurICE Lizenzen.
Bitte beachten Sie
Für die Anwender der Gruppe "extern" ändert sich nichts.Diese Anwender nutzen weiterhin Ihre bereits zugeteilten SecurAccess Lizenzen und nutzen die 2FA wie bisher.
Im Notfall geht es lediglich um die Anwender der Gruppe "intern", welche sich temporär nun ebenfalls mit 2FA aus Ihrem HomeOffice an Ihren System extern anmelden müssen und hierfür eine 30-Tage-Lizenz von SecurICE nutzen.
(ICE steht hierbei für In Case of Emergency)
Haben Sie sich für die Verwendung der SecurICE Lizenzen entschieden, so müssen Sie diese nun den betroffenen Anwendern zuweisen.
Der Hersteller SecurEnvoy zeigt im Rahmen seines Video's "SecurEnvoy SecurICE - Providing Multi-Factor Authentication in an Emergency" die Einrichtung von SecurICE beispielhaft an einer Installation in einem TestLAB.
Bitte sehen Sie sich diese 4 Minuten (ab 10:10) an, um mit der Einrichtung von SecurICE vertraut zu werden.
Ergänzenden Hinweise
Der SecurEnvoy Security Server hat die grundlegende Fähigkeit, Benutzer zu provisionieren - sprich: bereitzustellen.
Dies kann mit dem Bereitstellungsassistenten {Deployment Wizard} erfolgen und wird für die erstmalige Bereitstellung von Benutzern empfohlen. Der {Deployment Wizard} ermöglicht einen extrem granularen Ansatz für die Bereitstellung von Benutzern.
Der Bereitstellungsassistent ist ein eingebettetes Tool, das Unternehmen die einfache Bereitstellung von Passcodes für eine große Anzahl von Benutzern ermöglicht. Er ist anpassbar, so dass Passcodes in einem nahtlosen Mechanismus per SMS bzw. eMail an die Benutzer gesendet werden können. Der Bereitstellungsassistent hat die Möglichkeit, den Benutzern die Zwei-Faktor-Authentifizierung und Registrierung ihrer Mobiltelefonnummer zu ermöglichen, die dann verschlüsselt im Active-Directory gespeichert wird (nur die SecurEnvoy-Software oder Administratoren haben Zugriff auf diese Mobiltelefonnummern).
Dieses Tool kann auf eine von zwei Arten verwendet werden, über eine grafische Benutzeroberfläche für manuelle Einsätze oder im Befehlszeilenmodus für Skripte oder Batch-Jobs.
Alternativ können Sie auch die automatische Gruppen-Bereitstellung mit Hilfe der Funktion {Group Deployment} innerhalb der Administrator-GUI hierfür nutzen. Dies Methode ist für laufende Bereitstellungen von Benutzern vorgesehen.
Die automatische Gruppen-Bereitstellung ist eine neue Funktion, die eine einfache fortlaufende Bereitstellung von Benutzern ermöglicht. Hierfür wird eine dedizierte Benutzergruppe im AD überwacht. Jeder zu dieser Gruppe hinzugefügte Benutzer wird automatisch mit den in der GUI festgelegten Optionen eingerichtet. Wenn ein Benutzer aus der Gruppe entfernt wird, wird er automatisch nicht verwaltet.
Hinweis
Pro Domäne wird nur eine Gruppe für das {Group Deployment} unterstützt!
Der Masseneinsatz von Benutzern kann mit Hilfe eines Tools namens Einsatzassistent automatisiert werden.