tom's networking guide
 
Anzeige
VideoWeb erschließt Internet-Radio für HD-Fernseher  >
< Palo Alto Networks erweitert Next-Generation-Firewall um Cloud-Engine und RAS-Schutz für iDinger
16.11.11 20:20 Alter: 9 Jahre
Kategorie: Produkt-News, Internet-Intranet, Internetdienste, Office Connectivity, Cloud Computing, Groupware, Server-Software, Virtualisierung, VPN, Sicherheit
Von: Arno Kral / Nina Eichinger

Cryptocard Blackshield Cloud

Entscheidend ist die richtige Authentifizierung, Authentifizierung Zwei Faktoren der Blackshield Cloud, die durch Integration und Automatisierung drastisch den Verwaltungs- und Administrationsaufwand reduziert


Cryptocard-Logo

Cryptocard-Logo

München – Wenn die Sprache auf Cloud-Computing kommt, spielt immer auch die richtige Authentifizierung eine Rolle. Denn Internet Service Provider, Anbieter von E-Mail-Diensten oder ein Dienstleister für Saas-Services (Software as a Service) muss seine Kunden korrekt identifizieren können – und seien es Millionen. 

Die SaaS-Lösung Blackshield Cloud von Cryptocard, die zur Authentifizierung auf Abruf ohne hohe Vorabkosten für Hardware, dient, eignet sich wegen der schnellen Migrationsfähigkeit mehrerer Tausend Nutzer ideal für Service-Provider und soll gleichzeitig den Verwaltungsaufwand gegenüber herkömmlichen Lösungen um bis zu 90 Prozent zu reduzieren. Ausschlaggebend dafür sind zwei Faktoren: 

1. Die Blackshield- & LDAP-Integration

LDAP-Integration mit Cryptocard-Synchronisationsagenten – die Integration eines Benutzerverzeichnisses reduziert den Verwaltungsaufwand für Benutzerwechsel in verschiedenen Standorten drastisch. Die einzigartige Vorab-Authentifizierungs-Funktionalität von Cryptocard liefert zudem eine leistungsfähige Autorisierung und Zugriffskontrolle für die gesamte LDAP-Benutzerbelegung.

Es ist ein wesentlicher Vorteil der Benutzerverzeichnis-Integration (beispielsweise LDAP- respektive SQL-Quellen), dass keine Notwendigkeit mehr besteht, Benutzerkonten in BlackShield zu erstellen oder zu verwalten. Stattdessen werden alle Änderungen an einem Benutzerkonto in LDAP sofort in BlackShield übernommen. Dies bedeutet gleichzeitig, dass keine Änderungen an den Arbeitsabläufen der Benutzerverwaltung durch BlackShield erforderlich sind. Cryptocard erreicht diese Integration durch den Einsatz eines Synchronisations-Agenten, der automatisch die BlackShield Cloud mit den relevanten Nutzerdaten aus einer dieser Quellen füllt.

Aber Cryptocard geht noch einen Schritt weiter als bei einer einfachen Benutzerübernahme: Bevor Blackshield einen Benutzer endgültig authentifiziert, überprüft die Software zuerst dessen LDAP-Attribute in einem Prozess namens PreAuth. Falls die Anmeldedaten nicht ausreichen, wird der Nutzer nicht authentifiziert und der Zugriff geblockt. Beispiel: Sollte das Benutzerkonto in LDAP gesperrt sein, wird Blackshield den Nutzer nicht authentifizieren.

BlackShields einizigartige PreAuth demonstriert aber auch richtige Durchschlagskraft in komplizierten Situationen. Beispiel: Betrachten wir zwei Benutzer mit jeweils einem Token, von denen einer ein LDAP-Gruppenmitgliedschafts-Attribut für VPN und Sharepoint, der andere aber nur für Sharepoint, hat. Unter Verwendung der LDAP PreAuth könnte BlackShield nun beide Benutzer authentifizieren, aber auf Grund unterschiedlicher Attribute, nur unter verschiedenen Bedingungen. Der Benutzer mit dem VPN-und Sharepoint Attribut würde den VPN-Zugang beim Login via VPN oder Sharepoint bekommen, während beim anderen Benutzer ein Zugriffsversuch via VPN-Protokoll verhindert werden würde.

Diese Funktionalität ist natürlich nicht auf den Check der LDAP-Attribute beschränkt: Die Zugriffserlaubnis kann auch über die IP-Adresse des Netzwerk-Zugriffspunktes ermittelt werden. Dies käme dann zum Zuge, wenn die Zugriffe von internen und externen Nutzern auf geschützte Ressourcen differenziert werden müssen. Beispielsweise würde der Zugriff eines Nutzers aus dem Internet eine starke Authentifizierung erfordern, wogegen ein Nutzer aus dem internen Netzwerk die Authentifizierung umgehen könnte.

Entscheidend ist, dass BlackShield die LDAP Umgebung nicht verändert und auch keinerlei Veränderungen an den LDAP Benutzerkonten vornehmen kann.

BlackShield ist nicht auf LDAP beschränkt. Natürlich haben Unternehmen auch externe Nutzer, die über kein LDAP-Konto verfügen, wie Lieferanten oder Vertragspartner, die ebenfalls die 2-Faktor-Authentifizierung nutzen sollen. Zusätzlich zum LDAP-Support bietet BLACKSHIELD hier eine interne Datenbank in der diese Art von Nutzer angelegt und verwaltet werden können. Somit kann BLACKSHIELD einen Authentifizierungsservice für alle Arten von Nutzern bereitstellen. Das bedeutet auch, dass die Verwendung von LDAP keine Voraussetzung zur Nutzung von BlackShield darstellt.

2. Selbst-Registrierungsprozess

Der Selbst-Registrierungsprozess erhöht durch eine sichere, einfache und automatisierte Bereitstellung, sowie durch integrierte Warnmeldungen und einem „Management durch Ausnahmen", die sich in den Prüfberichten niederschlagen, die Sicherheit und reduziert den Verwaltungsaufwand.

  • Durch diesen Prozess können die Token auf einem sicheren elektronischen oder auch physikalischen Weg (Kurier, Post) an die Nutzer verschickt werden. Der Token kann erst durch den Abschluss des Selbst-Registrierungsprozesses des Nutzers aktiviert werden. Die Authentifizierung erfolgt also erst durch die Aktivierung des rechtmäßigen Nutzers.
  • Die Erteilung der Token erfolgt über wenige Mausklicks, was wiederum die Admin-Zeit um ein erhebliches minimiert.
  • Sobald der Token zugewiesen wurde, muss sich der Admin nicht mehr weiter darum kümmern, da BlackShield nun automatisiert den Abschluss des Registrierungsprozesses durch den Nutzer überwacht und Warnmeldungen ausgibt, falls die Registrierung nicht in der vorgegebenen Zeit oder mit anderen Parametern durchgeführt wurde.
  • Die Berichte von BlackShield können über das Browser Management Interface erstellt werden, das den Status aller Token-Registrierungsprozesse anzeigt.

Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

CeBIT 2018 - ein holpriger Neustartversuch

CeBIT Logo

"Die CEBIT 2018 wird ein Business-Festival für Innovation und Digitalisierung", sagte Oliver Frese...

[mehr]

Trend Micro trauert um Günter Untucht

Günter Untucht (Bild: Trend Micro)

Der europäische Chefjustiziar von Trend Micro, Günter Untucht, ist Ende Januar überraschend...

[mehr]

Corel VideoStudio Ultimate 2018 mit neuen Funktionen verfügbar

Corel Logo (Grafik: Logo)

Erste Wahl für anspruchsvolle Gelegenheitsanwender – diesen Anspruch erfüllt das...

[mehr]

Argus 2 - kabellose Überwachungskamera für Akku- und Solarbetrieb

Die Argus 2 ist für innen und außen geeignet. (Bild: Reolink)

Reolink stellt mit der Argus 2 seine neueste Kamera vor. Die innovative Überwachungskamera...

[mehr]

Meltdown und Spectre: MSI liefert BIOS-Updates für Z370-Mainboard

MSI Logo

Mit den Updates will MSI mögliche SIcherheitslücken im aktuellen Intel-Microcode schließén. Updates...

[mehr]

CES 2018: Acer lässt Gamer-Herzen höher schlagen

Acer Nitro 5 (Bild: Acer)

Ob für Gamer, Kreative oder Business-Nutzer - auf der CES in Las Vegas stellt Acer für jeden etwas...

[mehr]
Anzeige
Anzeige