abra whitepaper - Westcon Security
Transcription
abra whitepaper - Westcon Security
Check Point-Whitepaper Check Point Abra: ein virtueller sicherer Arbeitsbereich Technisches Whitepaper Check Point Abra: ein virtueller sicherer Arbeitsbereich Inhalt Herausforderungen für Mitarbeiter… ……………………………………… 3 Bedrohungen und Gefahren für mobile Arbeitskräfte……………………… 4 Abra hat die Lösung…………………………………………………………… 4 Abra-Technologie……………………………………………………………… 6 Einsatzmöglichkeiten für die Abra-Technologie… ………………………… 7 Am Arbeitsplatz… ………………………………………………………… 7 Zuhause… ………………………………………………………………… 8 Unterwegs… ……………………………………………………………… 8 Zusammenfassung… ………………………………………………………… 8 © 2010 Check Point Software Technologies Ltd. Alle Rechte vorbehalten. Klassifizierung: [Unbeschränkt] – Für alle Benutzer | 2 Check Point Abra: ein virtueller sicherer Arbeitsbereich Herausforderungen für Mitarbeiter In den letzten Jahren konnten Unternehmen eine beträchtliche Zunahme ihrer mobilen Arbeitskräfte verzeichnen. Mitarbeiter greifen heute täglich von zuhause aus via VPN auf das Firmennetzwerk zu, nutzen WLAN-Hotspots an Flughäfen und erhalten auf ihren Smartphones arbeitsbezogene E-Mails. Diese Mobilität hat zu einer beispiellosen Produktivitätssteigerung für Unternehmen geführt, denn Mitarbeiter können kontinuierlich in Verbindung bleiben – egal, wo sie sich aufhalten. Mehr und mehr Firmen haben sich nun auch formell dem Konzept der Telearbeit als gangbare Alternative für ihre Mitarbeiter verschrieben. Manche Angestellte arbeiten tageweise von zuhause aus, andere sind sogar Vollzeit-Telearbeiter. Laut einer Umfrage von World at Work ermöglichten im Jahr 2008 42 % aller US-Arbeitgeber ihren Mitarbeiter die Arbeit von zuhause aus – im Vorjahr lag dieser Wert bei 30 %. Diese Mitarbeiter loggen sich entweder von einem firmeneigenen Laptop oder ihrem Heimcomputer aus über eine VPN-Direktverbindung ein. DIE ZAHLEN: n 42 % aller Arbeitgeber in den USA gestatten Telearbeit n 34 Millionen Angestellte arbeiten mindestens 1 Tag pro Monat von zuhause n 43 % Anstieg der Anzahl der Telearbeiter (in Mio) 35 30 25 1 20 15 2 10 3 5 2001 2002 2003 2004 2005 2006 2007 2008 1 „Telearbeiter gesamt“ mindestens 1 Tag pro Monat (Mio) 2 „Freiberufliche Telearbeiter“ mindestens 1 Tag pro Monat (Mio) 3 „Festangestellte Telearbeiter“ mindestens 1 Tag pro Monat (Mio) Abbildung 1. Trends in der Telearbeit Quelle: Telework Trendlines 2009, WorldatWork. Darüber hinaus sehen sich Unternehmen vor die Herausforderung gestellt, ihren freiberuflichen Mitarbeitern und Partner kontrollierten und sicheren Zugriff zu gewähren. Laut einer Studie des Ponemon Institute sind in diesem Jahr mehr als 44 % aller Verletzungen der Datensicherheit auf Fehler von Dritten zurückzuführen. Die Bereitstellung von Zugriff auf das Firmennetzwerk für mobile Mitarbeiter nimmt in vielen Unternehmen eine immer zentralere Bedeutung ein. Die Verfügbarkeit von Breitbandzugriff, gekoppelt mit der Effizienz moderner Kommunikationsmethoden, hat das Tempo des heutigen Geschäftslebens drastisch beschleunigt. Dadurch sind immer höhere Erwartungen an einen kontinuierlichen Zugriff auf Ressourcen erforderlich. FAKT: Wachsende Anzahl mobiler Mitarbeiter führt zu erhöhten Sicherheitsrisiken © 2010 Check Point Software Technologies Ltd. Alle Rechte vorbehalten. Klassifizierung: [Unbeschränkt] – Für alle Benutzer | 3 Check Point Abra: ein virtueller sicherer Arbeitsbereich Bedrohungen und Gefahren für mobile Arbeitskräfte Auf der einen Seite bietet der sichere Remotezugriff auf das Firmennetzwerk für Angestellte, freiberufliche Mitarbeiter und Partner enorme Vorteile im Hinblick auf Produktivität und Effizienz, auf der anderen Seite entstehen dabei jedoch beträchtliche Sicherheitsrisiken für das Unternehmen. Laptops mit sensiblen Firmen- oder Kundendaten können verloren gehen oder gestohlen werden; Kennwörter, LoginBerechtigungen und vertrauliche Dateien können auf nicht vertrauenswürdigen Geräten zurückbleiben und so von Unbefugten eingesehen werden. Darüber hinaus besteht die Gefahr, dass Mitarbeiter, die sich remote einloggen, einen nicht vertrauenswürdigen Computer oder einen mit bösartiger Software infizierten Rechner verwenden, der einen direkten Port zum Firmennetzwerk öffnet und es damit einer breiten Palette an Sicherheitsbedrohungen gegenüber anfällig macht. Ausnutzen von Schwächen DATENVERLUST IST EINE ECHTE BEDROHUNG: n Nicht vertrauens- würdige und nicht verwaltete PCs n Bösartige Software n Keylogger NetzwerkSpoofing HardwareDiebstahl Screengrabbing Vetrauliche Dateien Angriffsziele Malware LoginBerechtigungen Keylogging Abbildung 2. Angreifer zielen mit einer Vielzahl von Methoden auf sensible Daten ab Aus diesen Gründen benötigen mobile Benutzer unbedingt zusätzliche Sicherheitsebenen, die von herkömmlichen Endpoint-Lösungen alleine nicht geliefert werden können. Abra hat die Lösung Abra ist ein hardwareverschlüsselter USB-Stick mit eingebetteter Sicherheitssoftware. Abra verschlüsselt Daten auf dem USB-Stick und bietet sicheren Remote-Zugriff mit Durchsetzung von Sicherheitsrichtlinien sowie einen sicheren virtuellen Arbeitsbereich für Dokumente und Anwendungen. Alle sensiblen Benutzerdaten werden auf dem USB-Stick verschlüsselt, damit Benutzerberechtigungen, in Dokumenten enthaltene Informationen und andere vertrauliche Daten selbst bei einem Verlust von Abra geschützt bleiben. Wenn Abra in den USB-Port eines PCs eingesteckt wird, erscheint ein neuer Windows-Desktop, der alle Shortcuts und Dokumente des Benutzers enthält. Abra nutzt die auf dem Host-PC installierte Software, um Anwendungen wie Microsoft Word und Microsoft Excel auszuführen, aber die Dokumente des Benutzers verbleiben in der Abra-Umgebung – ein separater sicherer Arbeitsbereich, der parallel zur Hostumgebung läuft. Abra öffnet einen sicheren Kanal zu den Anwendungen auf dem Host und ermöglicht damit deren Nutzung, ohne dass Daten vom oder zum Host-PC übertragen werden. ABRA, DIE DREIFACHLÖSUNG: n Sichere Virtualisierung n n Sichere Verbindung Mobil, Plug-and-Play © 2010 Check Point Software Technologies Ltd. Alle Rechte vorbehalten. Klassifizierung: [Unbeschränkt] – Für alle Benutzer | 4 Check Point Abra: ein virtueller sicherer Arbeitsbereich Mitarbeiter nutzen oft nicht vertrauenswürdige Rechner, wie zum Beispiel Heimcomputer oder Computer in einem Hotel- oder Airport-Businesscenter. Es gibt keine Garantie, dass auf diesen Systemen die neueste Antivirus-Software mit den aktuellsten Signaturen installiert ist oder dass sie nicht mit bösartiger Software infiziert sind. Damit sind Firmen potenziellen Sicherheitsbedrohungen schutzlos ausgeliefert. Aus diesem Grund bietet Abra einen virtuellen sicheren Arbeitsbereich: eine spezielle Umgebung, die direkten Zugriff auf das Firmennetzwerk bietet, aber in einem abgegrenzten und sicheren Bereich. Kein einziger Prozess des Hostsystems kann Zugriff erlangen und nach Abschluss der Session bleiben auf dem Hostsystem keine Spuren zurück. LEISTUNGSMERKMALE VON ABRA: n Plug-and-Play- Betrieb n Sicherer virtueller Arbeitsbereich n Standardmäßige WindowsBenutzerumgebung n Integrierte VPN- Konnektivität n Hardware- und Softwareverschlüsselung Abbildung 3. Abra steuert, welche Anwendungen ausgeführt werden dürfen und welche nicht Um eine zusätzliche Sicherheitsebene zu schaffen, kann das Unternehmen Sicherheitsrichtlinien implementieren, die bestimmen, welche Anwendungen auf Abra laufen dürfen und wie mit abgesicherten Dateien verfahren werden soll. Adminstratoren können darüber hinaus zusätzliche Einstellungen konfigurieren, die verhindern, dass Benutzer Dateien über den Host-PC drucken oder anderweitig darauf zugreifen. PC-Ordner sind von Abra aus nicht zugänglich* Abra-Ordner sind vom PC aus nicht zugänglich* Alle Dateien und Ordner sind Hardware- und Software-verschlüsselt Umschalten zwischen Abra-Umgebung und Host-PC Drucken von Abra aus ist blockiert* Im RAM bleiben keine Spuren zurück Kontinuierliche n Dateiübertragungs- kontrolle n Anwendungskontrolle n Benutzer- authentifizierung n Zentrale Verwaltung SICHERHEIT DURCH ZUGRIFFSKONTROLLE: n Differenzierte Beschränkung des Zugriffs auf den Host-PC n * Diese Optionen können vom Administrator konfiguriert werden Drucken von Abra aus kann blockiert werden Abbildung 4. Sicherheit durch Abgrenzung © 2010 Check Point Software Technologies Ltd. Alle Rechte vorbehalten. Klassifizierung: [Unbeschränkt] – Für alle Benutzer | 5 Check Point Abra: ein virtueller sicherer Arbeitsbereich Abra-Technologie Wenn der Abra-USB-Stick in einen PC oder Laptop eingesteckt wird, wird ein spezielles Programm gestartet, das den Zugriff auf die Firmware des USB-Sticks erhält, auf dem alle sensiblen Daten gespeichert sind. Der Benutzer sieht einen Anmeldebildschirm und wird zur Eingabe seiner Login-Informationen aufgefordert. Nach erfolgreichem Einloggen wird im sicheren virtuellen Arbeitsbereich von Abra eine neue Instanz der Explorer.exe geöffnet. Alle nachfolgenden Prozesse werden als Child-Prozesse dieser neuen Explorer-Instanz gestartet. So behält Abra im sicheren Arbeitsbereich die volle Kontrolle über alle Anwendungen. Die Microsoft Windows Dynamic Link Library (NTDLL) fungiert als Barriere zwischen der Benutzerumgebung und dem Systemkernel. Abra hakt sich in diesen Grenzbereich ein und fängt die Codeausführung der sicheren Anwendung ab, bevor sie die NTDLL erreicht. Das Unternehmen kann spezielle Sicherheitsrichtlinien durchsetzen, wie etwa das Verbot, Dateien von Abra auf den Host-PC zu kopieren oder umgekehrt. Alle Datei- und Registry-I/O-Aufrufe für die sichere Anwendung, die innerhalb von Abra ausgeführt wird, werden auf den USB-Stick umgeleitet. Mit anderen Worten: Anwendungen, die auf dem Abra-Desktop ausgeführt werden (einschließlich der neuen Explorer-Instanz), operieren in einem virtuellen Datei- und Registry-System. Die virtuellen Dateien und alle Registry-Daten werden sofort auf den USB-Stick geschrieben und dort umgehend verschlüsselt. Anwend.ebene Gesicherte Ebene Anwendung (Word, Browser) SICHERER VIRTUELLER ARBEITSBEREICH: n Nutzt das Host- Betriebssystem – keine separate Lizenz erforderlich n Nutzt zugelassene Anwendungen auf dem Host-PC n Verschlüsselte Speicherung Normale Anwendung Hooks zu sicherem Arbeitsbereich NTEbene SICHERE ARCHITEKTUR: NTDLL.DLL Abra-verschlüsselter Speicher Abbildung 5. Abra-Architektur Echtes Registryund Dateisystem Durch Trennen des Benutzerarbeitsbereichs vom Host-PC werden sensible Benutzerdaten inhärent geschützt. © 2010 Check Point Software Technologies Ltd. Alle Rechte vorbehalten. Klassifizierung: [Unbeschränkt] – Für alle Benutzer | 6 Check Point Abra: ein virtueller sicherer Arbeitsbereich Wenn die Anwendung die Erstellung einer Datei in der Abra-Umgebung anfordert, wird die Funktion CreateFile der Win32 API aufgerufen. Abra fängt den API-Aufruf ab und die Datei wird im Dateisystem des USB-Sticks erstellt. Bei Bedarf kann die Dateierstellung in der Abra-Umgebung auch per Richtlinie untersagt werden. SCHUTZMECHANISMEN: n Da dieses Einhaken keine Treiberinstallation durch Abra erfordert, werden potenzielle Konflikte zwischen Abra und den Softwareanwendungen auf nicht verwalteten Computern beträchtlich reduziert. Bei dieser Architektur sind die Speicherbereiche von unter Abra laufenden Anwendungen und die von normalen Anwendungen auf dem Host-PC nicht voneinander getrennt, was Speicherkonflikte ebenso verhindert. Neben NTDLL hakt Abra auch in eine Reihe weiterer Windows-DLLs ein und bietet so zusätzliche Sicherheit. Virtuelle Tastatur zum Einloggen als Schutz vor Keyloggern n Kontrolle über Anwendungen und Programme Abra enthält außerdem einen Anti-Keylogger, um Anwendungen im sicheren AbraArbeitsbereich vor bösartiger Software auf dem Host-PC zu schützen, die heimlich Tastenanschläge aufzeichnet. Mit solcher Malware könnten Kriminelle die LoginInformationen des Benutzers abfangen und sich so unbefugten Zugriff auf das Firmennetzwerk verschaffen. Einsatzmöglichkeiten für die Abra-Technologie Mit Abra können Unternehmen ihren Angestellten, freiberuflichen Mitarbeitern und Partnern einen einheitlichen, kontrollierten, verschlüsselten und sicheren virtuellen Arbeitsbereich zur Verfügung stellen, der vom Hostcomputer unabhängig ist. Sicherheitsadministratoren können durch obligatorische Zugriffskontrolle für alle Dateien, die in einer hardwareverschlüsselten und kennwortgeschützten Partition gespeichert sind, für die Einhaltung von Datenschutzbestimmungen sorgen. Am Arbeitsplatz Abra ist mobil und kann überall mitgeführt werden. Die gesamte Arbeitsumgebung – Sicherheitseinstellungen, Lesezeichen, Dokumente, Shortcuts und VPNKonnektivität – ist immer gleich, egal welcher Host-PC verwendet wird. Mithilfe von Abra erhalten Partner und Gäste leichten Zugriff und freiberuflichen Mitarbeitern, die ihren eigenen Computer benutzen, kann problemlos vorübergehend Zugang gewährt werden. Weder freiberufliche Mitarbeiter noch Gäste brauchen Software auf ihrem Computer zu installieren, was Anschaffungs- und Supportkosten deutlich senkt. FAKT: Abbildung 6. Einfacher Zugriff für freiberufliche Mitarbeiter und Gäste Eine Lösung, zahlreiche Einsatzmöglichkeiten © 2010 Check Point Software Technologies Ltd. Alle Rechte vorbehalten. Klassifizierung: [Unbeschränkt] – Für alle Benutzer | 7 Check Point Abra: ein virtueller sicherer Arbeitsbereich Zuhause Es besteht eine negative Korrelation zwischen der Anzahl an Mitarbeitern, die außerhalb der Firewall tätig sind, und der Kontrolle, die das Unternehmen über seine Daten besitzt. Je mehr Angestellte von zuhause aus arbeiten, desto höher ist das Potenzial eines möglichen Sicherheitsverstoßes. Ein einfacher Schneesturm kann dafür sorgen, dass Mitarbeiter tagelang an ihr Haus gebunden sind. Eine weltweite Pandemie kann Leute wochenlang an ihr Haus ketten. Um die Produktivität aufrechtzuerhalten, ist daher eine praktische und sichere RemoteVerbindung absolut ausschlaggebend, aber ohne dabei die Sicherheit zu beeinträchtigen. EINSATZMÖGLICHKEITEN: n Mobile Arbeitskräfte n Zugriff für Partner, freiberufliche Mitarbeiter und Gäste n Katastrophenplanung Abbildung 7. Abra bietet die Möglichkeit, im Falle einer Naturkatastrophe von zuhause zu arbeiten Unterwegs Mitarbeiter, die von unterwegs und von zuhause aus arbeiten, können den Abra-USBStick problemlos mit sich führen und in einen beliebigen PC einstecken, anstatt einen Laptop mitzunehmen. Bei Bedarf können sie Abra auch auf ihrem eigenen Laptop verwenden. In beiden Fällen ist ein Höchstmaß an Sicherheit gewährleistet. DIE IDEALE LÖSUNG: Mit Abra haben Sie Ihr Büro in Ihrer Tasche. Abbildung 8. Abra bietet einen mobilen Arbeitsbereich Zusammenfassung Abra bietet sicheren Zugriff auf das Firmennetzwerk und verhindert gleichzeitig Datenverluste sowie bösartige Aktivitäten durch Remote-Systeme – und zwar zu deutlich geringeren Kosten als bei traditionellen Endpoints. © 2010 Check Point Software Technologies Ltd. Alle Rechte vorbehalten. Klassifizierung: [Unbeschränkt] – Für alle Benutzer | 8 Über Check Point Software Technologies Ltd. Check Point Software Technologies Ltd. (www.checkpoint.com), weltweit führend im Bereich Internetsicherheit, ist der einzige Anbieter, der komplette Sicherheitslösungen für Netzwerke, Daten und Endpoints bietet. Check Point bietet seinen Kunden kompromisslosen Schutz vor Bedrohungen aller Art, reduziert die Sicherheitskomplexität und senkt die Gesamtbetriebskosten. Mit FireWall-1 und der patentierten „Stateful Inspection“-Technologie war Check Point ein Vorreiter in der Sicherheitsbranche. Heute setzt Check Point mit der Software Blade-Architektur neue Impulse. Die dynamische Software Blade-Architektur ist eine sichere, flexible und einfache Lösung, die exakt an die Sicherheitsanforderungen einer Firma oder Umgebung angepasst werden kann. Zu den Kunden von Check Point zählen Zehntausende von Firmen und Organisationen aller Größenordnung, darunter alle Fortune 100-Unternehmen. Die vielfach ausgezeichneten ZoneAlarm-Lösungen von Check Point schützen Millionen von Verbrauchern vor Hackern, Spyware und Identitätsdiebstahl. NIEDERLASSUNGEN VON CHECK POINT Internationaler Hauptsitz 5 Ha’Solelim Street Tel Aviv 67897, Israel Tel.: 972-3-753 4555 Fax: 972-3-624-1100 E-Mail: info@checkpoint.com US-Hauptsitz 800 Bridge Parkway Redwood City, CA 94065 Tel: 800-429-4391 ; 650-628-2000 Fax: 650-654-4233 URL: http://www.checkpoint.com Central Europe Fraunhofer Straße 7 85737 München, Deutschland Telefon Deutschland: 49-89-999819-0 Telefon Österreich: 43-1-99460-6701 Telefon Schweiz: 41-44-316-64-44 E-Mail: info@checkpoint.com URL: http://www.checkpoint.com/contactus © 2010 Check Point Software Technologies Ltd. Alle Rechte vorbehalten. Check Point, AlertAdvisor, Application Intelligence, Check Point Endpoint Security, Check Point Endpoint Security On Demand, Check Point Express, Check Point Express CI, das Check Point-Logo, ClusterXL, Confidence Indexing, ConnectControl, Connectra, Connectra Accelerator Card, Cooperative Enforcement, Cooperative Security Alliance, CoreXL, CoSa, DefenseNet, Dynamic Shielding Architecture, Eventia, Eventia Analyzer, Eventia Reporter, Eventia Suite, FireWall-1, FireWall-1 GX, FireWall-1 SecureServer, FloodGate-1, Full Disk Encryption, Hacker ID, Hybrid Detection Engine, IMsecure, INSPECT, INSPECT XL, Integrity, Integrity Clientless Security, Integrity SecureClient, InterSpect, IPS-1, IQ Engine, MailSafe, NG, NGX, Open Security Extension, OPSEC, OSFirewall, Pointsec, Pointsec Mobile, Pointsec PC, Pointsec Protector, Policy Lifecycle Management,Power-1, Provider-1, PureAdvantage, PURE Security, das puresecurity-Logo, Safe@Home, Safe@Office, SecureClient, SecureClient Mobile, SecureKnowledge, SecurePlatform, SecurePlatform Pro, SecuRemote, SecureServer, SecureUpdate, SecureXL, SecureXL Turbocard, Security Management Portal, Sentivist, SiteManager-1, Smart-1, SmartCenter, SmartCenter Express, SmartCenter Power, SmartCenter Pro, SmartCenter UTM, SmartConsole, SmartDashboard, SmartDefense, SmartDefense Advisor, Smarter Security, SmartLSM, SmartMap, SmartPortal, SmartProvisioning, SmartUpdate, SmartView, SmartView Monitor, SmartView Reporter, SmartView Status, SmartView Tracker, SMP, SMP On-Demand, SofaWare, SSL Network Extender, Stateful Clustering, Total Security, das totalsecurityLogo, TrueVector, Turbocard, UAM, UserAuthority, User-to-Address Mapping, UTM-1, UTM-1 Edge, UTM-1 Edge Industrial, UTM-1 Total Security, VPN-1, VPN-1 Accelerator Card, VPN-1 Edge, VPN-1 Express, VPN-1 Express CI, VPN-1 Power, VPN-1 Power Multi-core, VPN-1 Power VSX, VPN-1 Pro, VPN-1 SecureClient, VPN-1 SecuRemote, VPN-1 SecureServer, VPN-1 UTM, VPN-1 UTM Edge, VPN-1 VSX, VSX-1, Web Intelligence, ZoneAlarm, ZoneAlarm Anti-Spyware, ZoneAlarm Antivirus, ZoneAlarm ForceField, ZoneAlarm Internet Security Suite, ZoneAlarm Pro, ZoneAlarm Secure Wireless Router, Zone Labs und das Zone Labs-Logo sind Marken oder eingetragene Marken der Firma Check Point Software Technologies Ltd. oder ihrer Tochterunternehmen. ZoneAlarm ist ein Unternehmen von Check Point Software Technologies Ltd. Alle anderen in diesem Dokument genannten Produktnamen sind Marken oder eingetragene Marken der jeweiligen Rechtsinhaber. Die in diesem Dokument beschriebenen Produkte sind durch US-Patent-Nr. 5.606.668, 5.835.726, 5.987.611, 6.496.935, 6.873.988, 6.850.943 und 7.165.076 und möglicherweise durch andere US-Patente, ausländische oder angemeldete Patente geschützt. 26. Februar 2010