abra whitepaper - Westcon Security

Transcription

abra whitepaper - Westcon Security
Check Point-Whitepaper
Check Point Abra:
ein virtueller sicherer Arbeitsbereich
Technisches Whitepaper
Check Point Abra: ein virtueller sicherer Arbeitsbereich
Inhalt
Herausforderungen für Mitarbeiter… ……………………………………… 3
Bedrohungen und Gefahren für mobile Arbeitskräfte……………………… 4
Abra hat die Lösung…………………………………………………………… 4
Abra-Technologie……………………………………………………………… 6
Einsatzmöglichkeiten für die Abra-Technologie… ………………………… 7
Am Arbeitsplatz… ………………………………………………………… 7
Zuhause… ………………………………………………………………… 8
Unterwegs… ……………………………………………………………… 8
Zusammenfassung… ………………………………………………………… 8
© 2010 Check Point Software Technologies Ltd. Alle Rechte vorbehalten.
Klassifizierung: [Unbeschränkt] – Für alle Benutzer
|
2
Check Point Abra: ein virtueller sicherer Arbeitsbereich
Herausforderungen für Mitarbeiter
In den letzten Jahren konnten Unternehmen eine beträchtliche Zunahme ihrer mobilen
Arbeitskräfte verzeichnen. Mitarbeiter greifen heute täglich von zuhause aus via VPN
auf das Firmennetzwerk zu, nutzen WLAN-Hotspots an Flughäfen und erhalten auf
ihren Smartphones arbeitsbezogene E-Mails. Diese Mobilität hat zu einer beispiellosen
Produktivitätssteigerung für Unternehmen geführt, denn Mitarbeiter können kontinuierlich in Verbindung bleiben – egal, wo sie sich aufhalten.
Mehr und mehr Firmen haben sich nun auch formell dem Konzept der Telearbeit als
gangbare Alternative für ihre Mitarbeiter verschrieben. Manche Angestellte arbeiten tageweise von zuhause aus, andere sind sogar Vollzeit-Telearbeiter. Laut einer
Umfrage von World at Work ermöglichten im Jahr 2008 42 % aller US-Arbeitgeber
ihren Mitarbeiter die Arbeit von zuhause aus – im Vorjahr lag dieser Wert bei 30 %.
Diese Mitarbeiter loggen sich entweder von einem firmeneigenen Laptop oder ihrem
Heimcomputer aus über eine VPN-Direktverbindung ein.
DIE ZAHLEN:
n
42 % aller
Arbeitgeber in den
USA gestatten
Telearbeit
n
34 Millionen
Angestellte
arbeiten
mindestens 1 Tag
pro Monat von
zuhause
n
43 % Anstieg
der Anzahl der
Telearbeiter
(in Mio)
35
30
25
1
20
15
2
10
3
5
2001
2002
2003
2004
2005
2006
2007
2008
1
„Telearbeiter gesamt“ mindestens 1 Tag pro Monat (Mio)
2
„Freiberufliche Telearbeiter“ mindestens 1 Tag pro Monat (Mio)
3
„Festangestellte Telearbeiter“ mindestens 1 Tag pro Monat (Mio)
Abbildung 1. Trends in der Telearbeit
Quelle: Telework Trendlines 2009, WorldatWork.
Darüber hinaus sehen sich Unternehmen vor die Herausforderung gestellt, ihren
freiberuflichen Mitarbeitern und Partner kontrollierten und sicheren Zugriff zu
gewähren. Laut einer Studie des Ponemon Institute sind in diesem Jahr mehr als
44 % aller Verletzungen der Datensicherheit auf Fehler von Dritten zurückzuführen.
Die Bereitstellung von Zugriff auf das Firmennetzwerk für mobile Mitarbeiter nimmt
in vielen Unternehmen eine immer zentralere Bedeutung ein. Die Verfügbarkeit von
Breitbandzugriff, gekoppelt mit der Effizienz moderner Kommunikationsmethoden, hat
das Tempo des heutigen Geschäftslebens drastisch beschleunigt. Dadurch sind immer
höhere Erwartungen an einen kontinuierlichen Zugriff auf Ressourcen erforderlich.
FAKT:
Wachsende
Anzahl mobiler
Mitarbeiter führt
zu erhöhten
Sicherheitsrisiken
© 2010 Check Point Software Technologies Ltd. Alle Rechte vorbehalten.
Klassifizierung: [Unbeschränkt] – Für alle Benutzer
|
3
Check Point Abra: ein virtueller sicherer Arbeitsbereich
Bedrohungen und Gefahren für mobile Arbeitskräfte
Auf der einen Seite bietet der sichere Remotezugriff auf das Firmennetzwerk für
Angestellte, freiberufliche Mitarbeiter und Partner enorme Vorteile im Hinblick auf
Produktivität und Effizienz, auf der anderen Seite entstehen dabei jedoch beträchtliche Sicherheitsrisiken für das Unternehmen. Laptops mit sensiblen Firmen- oder
Kundendaten können verloren gehen oder gestohlen werden; Kennwörter, LoginBerechtigungen und vertrauliche Dateien können auf nicht vertrauenswürdigen
Geräten zurückbleiben und so von Unbefugten eingesehen werden. Darüber hinaus
besteht die Gefahr, dass Mitarbeiter, die sich remote einloggen, einen nicht vertrauenswürdigen Computer oder einen mit bösartiger Software infizierten Rechner verwenden,
der einen direkten Port zum Firmennetzwerk öffnet und es damit einer breiten Palette
an Sicherheitsbedrohungen gegenüber anfällig macht.
Ausnutzen
von
Schwächen
DATENVERLUST
IST EINE ECHTE
BEDROHUNG:
n
Nicht vertrauens-
würdige und nicht
verwaltete PCs
n
Bösartige Software
n
Keylogger
NetzwerkSpoofing
HardwareDiebstahl
Screengrabbing
Vetrauliche
Dateien
Angriffsziele
Malware
LoginBerechtigungen
Keylogging
Abbildung 2. Angreifer zielen mit einer Vielzahl von Methoden auf sensible Daten ab
Aus diesen Gründen benötigen mobile Benutzer unbedingt zusätzliche Sicherheitsebenen,
die von herkömmlichen Endpoint-Lösungen alleine nicht geliefert werden können.
Abra hat die Lösung
Abra ist ein hardwareverschlüsselter USB-Stick mit eingebetteter Sicherheitssoftware.
Abra verschlüsselt Daten auf dem USB-Stick und bietet sicheren Remote-Zugriff mit
Durchsetzung von Sicherheitsrichtlinien sowie einen sicheren virtuellen Arbeitsbereich für
Dokumente und Anwendungen. Alle sensiblen Benutzerdaten werden auf dem USB-Stick
verschlüsselt, damit Benutzerberechtigungen, in Dokumenten enthaltene Informationen
und andere vertrauliche Daten selbst bei einem Verlust von Abra geschützt bleiben.
Wenn Abra in den USB-Port eines PCs eingesteckt wird, erscheint ein neuer
Windows-Desktop, der alle Shortcuts und Dokumente des Benutzers enthält. Abra
nutzt die auf dem Host-PC installierte Software, um Anwendungen wie Microsoft
Word und Microsoft Excel auszuführen, aber die Dokumente des Benutzers verbleiben in der Abra-Umgebung – ein separater sicherer Arbeitsbereich, der parallel zur
Hostumgebung läuft. Abra öffnet einen sicheren Kanal zu den Anwendungen auf dem
Host und ermöglicht damit deren Nutzung, ohne dass Daten vom oder zum Host-PC
übertragen werden.
ABRA, DIE
DREIFACHLÖSUNG:
n
Sichere
Virtualisierung
n
n
Sichere
Verbindung
Mobil,
Plug-and-Play
© 2010 Check Point Software Technologies Ltd. Alle Rechte vorbehalten.
Klassifizierung: [Unbeschränkt] – Für alle Benutzer
|
4
Check Point Abra: ein virtueller sicherer Arbeitsbereich
Mitarbeiter nutzen oft nicht vertrauenswürdige Rechner, wie zum Beispiel
Heimcomputer oder Computer in einem Hotel- oder Airport-Businesscenter. Es gibt
keine Garantie, dass auf diesen Systemen die neueste Antivirus-Software mit den
aktuellsten Signaturen installiert ist oder dass sie nicht mit bösartiger Software infiziert
sind. Damit sind Firmen potenziellen Sicherheitsbedrohungen schutzlos ausgeliefert.
Aus diesem Grund bietet Abra einen virtuellen sicheren Arbeitsbereich: eine spezielle
Umgebung, die direkten Zugriff auf das Firmennetzwerk bietet, aber in einem abgegrenzten und sicheren Bereich. Kein einziger Prozess des Hostsystems kann Zugriff erlangen
und nach Abschluss der Session bleiben auf dem Hostsystem keine Spuren zurück.
LEISTUNGSMERKMALE
VON ABRA:
n
Plug-and-Play-
Betrieb
n
Sicherer virtueller
Arbeitsbereich
n
Standardmäßige
WindowsBenutzerumgebung
n
Integrierte VPN-
Konnektivität
n
Hardware- und
Softwareverschlüsselung
Abbildung 3. Abra steuert, welche Anwendungen ausgeführt werden dürfen und welche nicht
Um eine zusätzliche Sicherheitsebene zu schaffen, kann das Unternehmen
Sicherheitsrichtlinien implementieren, die bestimmen, welche Anwendungen
auf Abra laufen dürfen und wie mit abgesicherten Dateien verfahren werden soll.
Adminstratoren können darüber hinaus zusätzliche Einstellungen konfigurieren, die
verhindern, dass Benutzer Dateien über den Host-PC drucken oder anderweitig darauf
zugreifen.
PC-Ordner sind von Abra aus
nicht zugänglich*
Abra-Ordner sind vom PC aus
nicht zugänglich*
Alle Dateien und Ordner sind
Hardware- und Software-verschlüsselt
Umschalten zwischen
Abra-Umgebung und Host-PC
Drucken von Abra aus ist blockiert*
Im RAM bleiben keine Spuren zurück
Kontinuierliche
n
Dateiübertragungs-
kontrolle
n
Anwendungskontrolle
n
Benutzer-
authentifizierung
n
Zentrale Verwaltung
SICHERHEIT
DURCH
ZUGRIFFSKONTROLLE:
n
Differenzierte
Beschränkung des
Zugriffs auf den Host-PC
n
* Diese Optionen können vom Administrator konfiguriert werden
Drucken von Abra aus
kann blockiert werden
Abbildung 4. Sicherheit durch Abgrenzung
© 2010 Check Point Software Technologies Ltd. Alle Rechte vorbehalten.
Klassifizierung: [Unbeschränkt] – Für alle Benutzer
|
5
Check Point Abra: ein virtueller sicherer Arbeitsbereich
Abra-Technologie
Wenn der Abra-USB-Stick in einen PC oder Laptop eingesteckt wird, wird ein
spezielles Programm gestartet, das den Zugriff auf die Firmware des USB-Sticks
erhält, auf dem alle sensiblen Daten gespeichert sind. Der Benutzer sieht einen
Anmeldebildschirm und wird zur Eingabe seiner Login-Informationen aufgefordert.
Nach erfolgreichem Einloggen wird im sicheren virtuellen Arbeitsbereich von Abra
eine neue Instanz der Explorer.exe geöffnet. Alle nachfolgenden Prozesse werden als
Child-Prozesse dieser neuen Explorer-Instanz gestartet. So behält Abra im sicheren
Arbeitsbereich die volle Kontrolle über alle Anwendungen.
Die Microsoft Windows Dynamic Link Library (NTDLL) fungiert als Barriere zwischen
der Benutzerumgebung und dem Systemkernel.
Abra hakt sich in diesen Grenzbereich ein und fängt die Codeausführung der sicheren Anwendung ab, bevor sie die NTDLL erreicht. Das Unternehmen kann spezielle
Sicherheitsrichtlinien durchsetzen, wie etwa das Verbot, Dateien von Abra auf den
Host-PC zu kopieren oder umgekehrt.
Alle Datei- und Registry-I/O-Aufrufe für die sichere Anwendung, die innerhalb von
Abra ausgeführt wird, werden auf den USB-Stick umgeleitet. Mit anderen Worten:
Anwendungen, die auf dem Abra-Desktop ausgeführt werden (einschließlich der
neuen Explorer-Instanz), operieren in einem virtuellen Datei- und Registry-System.
Die virtuellen Dateien und alle Registry-Daten werden sofort auf den USB-Stick
geschrieben und dort umgehend verschlüsselt.
Anwend.ebene
Gesicherte
Ebene
Anwendung (Word, Browser)
SICHERER
VIRTUELLER
ARBEITSBEREICH:
n
Nutzt das Host-
Betriebssystem –
keine separate
Lizenz erforderlich
n
Nutzt zugelassene
Anwendungen
auf dem Host-PC
n
Verschlüsselte
Speicherung
Normale Anwendung
Hooks zu sicherem
Arbeitsbereich
NTEbene
SICHERE
ARCHITEKTUR:
NTDLL.DLL
Abra-verschlüsselter Speicher
Abbildung 5. Abra-Architektur
Echtes Registryund Dateisystem
Durch Trennen des
Benutzerarbeitsbereichs vom
Host-PC werden
sensible Benutzerdaten inhärent
geschützt.
© 2010 Check Point Software Technologies Ltd. Alle Rechte vorbehalten.
Klassifizierung: [Unbeschränkt] – Für alle Benutzer
|
6
Check Point Abra: ein virtueller sicherer Arbeitsbereich
Wenn die Anwendung die Erstellung einer Datei in der Abra-Umgebung anfordert,
wird die Funktion CreateFile der Win32 API aufgerufen. Abra fängt den API-Aufruf
ab und die Datei wird im Dateisystem des USB-Sticks erstellt. Bei Bedarf kann die
Dateierstellung in der Abra-Umgebung auch per Richtlinie untersagt werden.
SCHUTZMECHANISMEN:
n
Da dieses Einhaken keine Treiberinstallation durch Abra erfordert, werden potenzielle Konflikte zwischen Abra und den Softwareanwendungen auf nicht verwalteten
Computern beträchtlich reduziert. Bei dieser Architektur sind die Speicherbereiche
von unter Abra laufenden Anwendungen und die von normalen Anwendungen auf dem
Host-PC nicht voneinander getrennt, was Speicherkonflikte ebenso verhindert. Neben
NTDLL hakt Abra auch in eine Reihe weiterer Windows-DLLs ein und bietet so zusätzliche Sicherheit.
Virtuelle Tastatur zum
Einloggen als Schutz
vor Keyloggern
n
Kontrolle über
Anwendungen
und Programme
Abra enthält außerdem einen Anti-Keylogger, um Anwendungen im sicheren AbraArbeitsbereich vor bösartiger Software auf dem Host-PC zu schützen, die heimlich
Tastenanschläge aufzeichnet. Mit solcher Malware könnten Kriminelle die LoginInformationen des Benutzers abfangen und sich so unbefugten Zugriff auf das
Firmennetzwerk verschaffen.
Einsatzmöglichkeiten für die Abra-Technologie
Mit Abra können Unternehmen ihren Angestellten, freiberuflichen Mitarbeitern und
Partnern einen einheitlichen, kontrollierten, verschlüsselten und sicheren virtuellen Arbeitsbereich zur Verfügung stellen, der vom Hostcomputer unabhängig ist.
Sicherheitsadministratoren können durch obligatorische Zugriffskontrolle für alle
Dateien, die in einer hardwareverschlüsselten und kennwortgeschützten Partition
gespeichert sind, für die Einhaltung von Datenschutzbestimmungen sorgen.
Am Arbeitsplatz
Abra ist mobil und kann überall mitgeführt werden. Die gesamte Arbeitsumgebung
– Sicherheitseinstellungen, Lesezeichen, Dokumente, Shortcuts und VPNKonnektivität – ist immer gleich, egal welcher Host-PC verwendet wird.
Mithilfe von Abra erhalten Partner und Gäste leichten Zugriff und freiberuflichen
Mitarbeitern, die ihren eigenen Computer benutzen, kann problemlos vorübergehend Zugang gewährt werden. Weder freiberufliche Mitarbeiter noch Gäste brauchen
Software auf ihrem Computer zu installieren, was Anschaffungs- und Supportkosten
deutlich senkt.
FAKT:
Abbildung 6. Einfacher Zugriff für freiberufliche Mitarbeiter und Gäste
Eine Lösung,
zahlreiche
Einsatzmöglichkeiten
© 2010 Check Point Software Technologies Ltd. Alle Rechte vorbehalten.
Klassifizierung: [Unbeschränkt] – Für alle Benutzer
|
7
Check Point Abra: ein virtueller sicherer Arbeitsbereich
Zuhause
Es besteht eine negative Korrelation zwischen der Anzahl an Mitarbeitern, die außerhalb
der Firewall tätig sind, und der Kontrolle, die das Unternehmen über seine Daten besitzt.
Je mehr Angestellte von zuhause aus arbeiten, desto höher ist das Potenzial eines möglichen Sicherheitsverstoßes.
Ein einfacher Schneesturm kann dafür sorgen, dass Mitarbeiter tagelang an ihr Haus
gebunden sind. Eine weltweite Pandemie kann Leute wochenlang an ihr Haus ketten.
Um die Produktivität aufrechtzuerhalten, ist daher eine praktische und sichere RemoteVerbindung absolut ausschlaggebend, aber ohne dabei die Sicherheit zu beeinträchtigen.
EINSATZMÖGLICHKEITEN:
n
Mobile Arbeitskräfte
n
Zugriff für Partner,
freiberufliche Mitarbeiter
und Gäste
n
Katastrophenplanung
Abbildung 7. Abra bietet die Möglichkeit, im Falle einer Naturkatastrophe von zuhause zu arbeiten
Unterwegs
Mitarbeiter, die von unterwegs und von zuhause aus arbeiten, können den Abra-USBStick problemlos mit sich führen und in einen beliebigen PC einstecken, anstatt einen
Laptop mitzunehmen. Bei Bedarf können sie Abra auch auf ihrem eigenen Laptop verwenden. In beiden Fällen ist ein Höchstmaß an Sicherheit gewährleistet.
DIE IDEALE
LÖSUNG:
Mit Abra haben
Sie Ihr Büro
in Ihrer Tasche.
Abbildung 8. Abra bietet einen mobilen Arbeitsbereich
Zusammenfassung
Abra bietet sicheren Zugriff auf das Firmennetzwerk und verhindert gleichzeitig
Datenverluste sowie bösartige Aktivitäten durch Remote-Systeme – und zwar zu
deutlich geringeren Kosten als bei traditionellen Endpoints.
© 2010 Check Point Software Technologies Ltd. Alle Rechte vorbehalten.
Klassifizierung: [Unbeschränkt] – Für alle Benutzer
|
8
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com), weltweit führend im
Bereich Internetsicherheit, ist der einzige Anbieter, der komplette Sicherheitslösungen
für Netzwerke, Daten und Endpoints bietet. Check Point bietet seinen Kunden
kompromisslosen Schutz vor Bedrohungen aller Art, reduziert die Sicherheitskomplexität
und senkt die Gesamtbetriebskosten. Mit FireWall-1 und der patentierten „Stateful
Inspection“-Technologie war Check Point ein Vorreiter in der Sicherheitsbranche.
Heute setzt Check Point mit der Software Blade-Architektur neue Impulse. Die
dynamische Software Blade-Architektur ist eine sichere, flexible und einfache Lösung,
die exakt an die Sicherheitsanforderungen einer Firma oder Umgebung angepasst
werden kann. Zu den Kunden von Check Point zählen Zehntausende von Firmen und
Organisationen aller Größenordnung, darunter alle Fortune 100-Unternehmen.
Die vielfach ausgezeichneten ZoneAlarm-Lösungen von Check Point schützen
Millionen von Verbrauchern vor Hackern, Spyware und Identitätsdiebstahl.
NIEDERLASSUNGEN VON CHECK POINT
Internationaler Hauptsitz
5 Ha’Solelim Street
Tel Aviv 67897, Israel
Tel.: 972-3-753 4555
Fax: 972-3-624-1100
E-Mail: info@checkpoint.com
US-Hauptsitz
800 Bridge Parkway
Redwood City, CA 94065
Tel: 800-429-4391 ; 650-628-2000
Fax: 650-654-4233
URL: http://www.checkpoint.com
Central Europe
Fraunhofer Straße 7
85737 München, Deutschland
Telefon Deutschland: 49-89-999819-0
Telefon Österreich: 43-1-99460-6701
Telefon Schweiz: 41-44-316-64-44
E-Mail: info@checkpoint.com
URL: http://www.checkpoint.com/contactus
© 2010 Check Point Software Technologies Ltd. Alle Rechte vorbehalten. Check Point, AlertAdvisor, Application Intelligence, Check Point
Endpoint Security, Check Point Endpoint Security On Demand, Check Point Express, Check Point Express CI, das Check Point-Logo,
ClusterXL, Confidence Indexing, ConnectControl, Connectra, Connectra Accelerator Card, Cooperative Enforcement, Cooperative
Security Alliance, CoreXL, CoSa, DefenseNet, Dynamic Shielding Architecture, Eventia, Eventia Analyzer, Eventia Reporter, Eventia
Suite, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Full Disk Encryption, Hacker ID, Hybrid Detection Engine,
IMsecure, INSPECT, INSPECT XL, Integrity, Integrity Clientless Security, Integrity SecureClient, InterSpect, IPS-1, IQ Engine, MailSafe,
NG, NGX, Open Security Extension, OPSEC, OSFirewall, Pointsec, Pointsec Mobile, Pointsec PC, Pointsec Protector, Policy Lifecycle
Management,Power-1, Provider-1, PureAdvantage, PURE Security, das puresecurity-Logo, Safe@Home, Safe@Office, SecureClient,
SecureClient Mobile, SecureKnowledge, SecurePlatform, SecurePlatform Pro, SecuRemote, SecureServer, SecureUpdate, SecureXL,
SecureXL Turbocard, Security Management Portal, Sentivist, SiteManager-1, Smart-1, SmartCenter, SmartCenter Express, SmartCenter
Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, Smarter Security,
SmartLSM, SmartMap, SmartPortal, SmartProvisioning, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView
Status, SmartView Tracker, SMP, SMP On-Demand, SofaWare, SSL Network Extender, Stateful Clustering, Total Security, das totalsecurityLogo, TrueVector, Turbocard, UAM, UserAuthority, User-to-Address Mapping, UTM-1, UTM-1 Edge, UTM-1 Edge Industrial, UTM-1 Total
Security, VPN-1, VPN-1 Accelerator Card, VPN-1 Edge, VPN-1 Express, VPN-1 Express CI, VPN-1 Power, VPN-1 Power Multi-core, VPN-1
Power VSX, VPN-1 Pro, VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VSX,
VSX-1, Web Intelligence, ZoneAlarm, ZoneAlarm Anti-Spyware, ZoneAlarm Antivirus, ZoneAlarm ForceField, ZoneAlarm Internet Security
Suite, ZoneAlarm Pro, ZoneAlarm Secure Wireless Router, Zone Labs und das Zone Labs-Logo sind Marken oder eingetragene Marken der
Firma Check Point Software Technologies Ltd. oder ihrer Tochterunternehmen. ZoneAlarm ist ein Unternehmen von Check Point Software
Technologies Ltd. Alle anderen in diesem Dokument genannten Produktnamen sind Marken oder eingetragene Marken der jeweiligen
Rechtsinhaber. Die in diesem Dokument beschriebenen Produkte sind durch US-Patent-Nr. 5.606.668, 5.835.726, 5.987.611, 6.496.935,
6.873.988, 6.850.943 und 7.165.076 und möglicherweise durch andere US-Patente, ausländische oder angemeldete Patente geschützt.
26. Februar 2010