Global Secure Access: Die moderne Antwort auf altes VPN

Modernes Arbeiten

Nicht erst seit der Corona-Pandemie entdecken immer mehr Unternehmen und damit auch Arbeitnehmer die Möglichkeit, von überall aus der Welt zu arbeiten. Diese erhöhte Flexibilität bringt allerdings auch etliche Herausforderungen mit sich:

• Flexibilität und Mobilität: Mitarbeiter arbeiten zunehmend von verschiedenen Standorten – sei es zu Hause, unterwegs oder in externen Büros.

• Sicherer Zugriff auf Daten und Anwendungen: Sensible Unternehmensdaten müssen jederzeit geschützt sein, unabhängig vom Arbeitsort.

• Bring Your Own Device (BYOD): Mitarbeiter nutzen ggf. private Geräte, was zusätzliche Sicherheitsmaßnahmen erfordert.

• Unternehmensgeräte: Die Verwaltung und der Schutz firmeneigener Geräte ist ebenso wichtig wie bei BYOD.

• Compliance und Datenschutz: Es gilt, gesetzliche Vorschriften und interne Richtlinien zum Schutz personenbezogener Daten einzuhalten.

• Standortunterschiede: Unterschiedliche geografische Standorte bedeuten unterschiedliche Sicherheitsanforderungen und vor Allem auch -risiken.

Wie hat man diese Anforderungen bisher gelöst?

Traditionelle VPN-Lösungen

Virtual Private Networks (VPNs) waren lange Zeit die Standardlösung für den Fernzugriff auf Unternehmensnetzwerke. Benutzer starten ihren VPN-Client auf dem PC und verbinden sich damit mit dem Firmennetzwerk, um über eine verschlüsselte Verbindung auf interne Ressourcen zuzugreifen. VPNs wurden häufig für den Zugriff auf lokale Ressourcen innerhalb des Unternehmensnetzwerks eingesetzt, während Proxies und VPN-Lösungen auch verwendet wurden, um den Standard-Internet-Traffic abzusichern und so zusätzliche Sicherheitsfunktionen wie Web-Filtering zu ermöglichen.

Nachteile traditioneller VPNs:

• Komplexität: Die Einrichtung und Verwaltung von VPNs ist oft aufwändig und erfordert erhebliche IT-Ressourcen. Die Notwendigkeit, sowohl den Zugriff auf lokale Ressourcen als auch das Internet abzusichern, führt oft zu einer komplexen Infrastruktur.

• Skalierbarkeit: Bei einer großen Anzahl von Benutzern stoßen VPNs schnell an ihre Grenzen. Diese Lösungen sind oft nicht darauf ausgelegt, eine große Anzahl gleichzeitiger Verbindungen effizient zu verwalten.

• Sicherheitsrisiken: Nach der Verbindung hat der Benutzer häufig Zugriff auf das gesamte Netzwerk, einschließlich lokaler Ressourcen. Im Falle eines kompromittierten Geräts kann dies ein enormes Sicherheitsrisiko darstellen. Zudem ist die Zugriffskontrolle für den Internet-Traffic, der durch Proxies oder VPNs abgesichert wird, oft schwer zu verwalten und kann zu unzureichendem Schutz führen.

• MFA-Konfiguration: Viele traditionelle VPN-Lösungen bieten nicht immer eine native, integrierte Multi-Faktor-Authentifizierung (MFA), sondern erfordern zusätzliche Konfigurationen oder externe MFA-Lösungen. Dies erhöht den Konfigurationsaufwand und die Fehleranfälligkeit, da verschiedene Sicherheitsmechanismen miteinander koordiniert werden müssen.

Die Lösung – Microsoft’s Global Secure Access

Was ist eine SSE-Lösung?

Eine Security Service Edge (SSE)-Lösung integriert grundsätzlich drei Dienste, die Unternehmen dabei unterstützen, Mitarbeitern – egal von welchem Standort aus – einen sicheren Zugriff auf Unternehmensressourcen zu ermöglichen. Im betrachteten Szenario umfassen diese Ressourcen SaaS-, Web- und private Anwendungen.

Bestandteile einer SSE-Lösung:

• Zero Trust Network Access (ZTNA): Sicherer Zugriff auf Ressourcen ohne herkömmliche VPN-Lösungen.

• Secure Web Gateway (SWG): Schutz und Überwachung des Internetverkehrs.

• Cloud App Security Broker (CASB): Kontrolle und Schutz der Nutzung von Cloud-Diensten.

Bestandteile von Global Secure Access

Microsoft Entra Private Access (ZTNA)

Microsoft Entra Private Access ermöglicht den sicheren Zugriff auf (legacy-)Anwendungen, Clouds und Unternehmensressourcen, ohne ein traditionelles VPN zu verwenden. Der Zugriff wird erst nach erfolgreicher Überprüfung der Conditional Access Regeln (z.B. auch Geräte-Sicherheitszustand) gewährt.

Quick Facts:

• Zugriff auf Private Clouds und Corporate Netzwerke: Sicherer Zugriff ohne VPN. Es werden keine eingehenden Firewall-Regeln benötigt, wodurch die Angriffsfläche von extern drastisch reduziert wird.

• Routing über Microsofts globales, privates Netzwerk: Die Daten werden über Microsofts privaten Backbone gerouted, was eine effiziente und geschützte Übertragung gewährleistet.

• GSA-Client: Installiert auf Endgeräten und unterstützt auch Continuous Access Evaluation (CAE) – auch für Anwendungen, die dies nicht nativ implementiert haben.

• Dedizierte Tunnel: Für jede Ressource und Sitzung werden separate Verbindungen aufgebaut, was die Sicherheit erhöht, da keine unnötigen Ressourcen zusätzlich erreichbar gemacht werden.

• Protokollunterstützung: Der GSA-Client unterstützt prinzipiell alle TCP- und UDP-basierten Protokolle, wie beispielsweise SMB und RDP und ist nicht wie der Entra App Proxy auf HTTP/HTTPS beschränkt.

Microsoft Entra Internet Access (SWG)

Microsoft Entra Internet Access filtert und überwacht den Internetverkehr, blockiert schädliche Inhalte und URLs und schützt Benutzer vor Malware und anderen Bedrohungen beim Zugriff auf das Internet oder SaaS-Anwendungen.

Quick Facts:

• Intelligenter Filter: Der Datenverkehr zwischen Unternehmensgeräten und dem Internet wird überwacht.

• Datenschutz und Zugriffskontrolle: Sensible Daten werden geschützt und nur autorisierte Zugriffe zugelassen.

• Unabhängig von Arbeitsort: Schützt vor Bedrohungen wie Malware und Phishing, egal von welchem Standort aus zugegriffen wird.

• Richtliniendurchsetzung: Es wird festgelegt, welche Websites oder Apps je nach Benutzerrolle oder Standort genutzt werden dürfen.

Microsoft Defender for Cloud Apps (CASB)

Microsoft Defender for Cloud Apps kontrolliert und schützt die Nutzung von Cloud- und SaaS-Diensten (z. B. Microsoft 365, Google Workspace oder Salesforce). Zu den Funktionen gehören Data-Loss-Prevention (DLP), Benutzer- und Anomalieüberwachung sowie eine sitzungsbasierte Zugriffskontrolle.

Beispiel:
Versucht ein Benutzer, eine sensible Datei in eine nicht autorisierte Cloud hochzuladen, blockiert CASB den Vorgang automatisch.

Quick Facts:

• Sicherer Umgang mit Cloud-Diensten: Überwacht und kontrolliert die Nutzung von SaaS- und Cloud-Anwendungen.

• Überwachung von Anomalien: Erkennt ungewöhnliche Aktivitäten wie abweichende Anmeldeversuche oder auffällige Datenbewegungen.

• Sitzungskontrolle in Echtzeit: Setzt Sicherheitsrichtlinien während aktiver Sitzungen unmittelbar um.

• Unterstützung bei Compliance-Anforderungen: Hilft Unternehmen, gesetzliche und regulatorische Vorgaben einzuhalten.

Voraussetzungen für die Nutzung von Global Secure Access

Global Secure Access

• Unterstützte Betriebssysteme:

  • Windows

  • Android

  • macOS

  • iOS

• Geräte-Registrierung:
  Geräte müssen als Entra ID Joined (früher Azure AD Joined) oder Hybrid Entra ID Joined registriert sein.

• Für macOS, iOS und Android:
  Diese Geräte müssen und können lediglich nur Entra ID registered sein.

Entra Private Access

• Teil der Microsoft Entra Suite

• Lizenzierung:
  Verfügbar als Einzellizenz – Voraussetzung ist zusätzlich eine Entra ID P1 bzw. P2 Lizenz (ehemals Azure AD Premium P1/P2)

• Installation:
  Der Entra Private Access Connector muss auf einem dedizierten Server in der On‑Premises‑Umgebung installiert werden.

• Netzwerk:
  Ausgehende Verbindungen über den Port 443 müssen möglich sein.

• Systemvoraussetzungen:
  Der Connector erfordert mindestens auf Windows Server 2012 R2.
  Zudem ist das .NET Framework in Version 4.7.1 (oder höher) erforderlich.
  TLS 1.2 muss aktiviert sein – hierzu können zusätzliche Registry-Anpassungen notwendig sein.

Entra Internet Access

• Teil der Microsoft Entra Suite

• Lizenzierung:
  Ebenfalls als Einzellizenz verfügbar, zusätzlich mit der Voraussetzung einer Entra ID P1 bzw. P2 Lizenz.

Beispiele aus der Praxis

Die folgenden Beispiele zeigen realistische Szenarien von Unternehmen, die eine hybride Infrastruktur betreiben. In diesen Szenarien wird der Global Secure Access Client mit Microsoft Entra Private Access genutzt – ein Ansatz, der insbesondere für Unternehmen mit hybriden Infrastrukturen interessant ist.

Beispiel-Domäne inkl. Server

• Domäne: securecloudexperts.local

• Terminal-Server: terminal.securecloudexperts.local (IP: 10.1.1.10, Port: 3389)

• File-Server: file.securecloudexperts.local (IP: 10.1.1.20, Port: 445)

• Intranet-Portal: intranet.securecloudexperts.local (IP: 10.1.1.30, Ports: 80/443)

• Legacy-Anwendung: legacy.securecloudexperts.local (IP: 10.1.1.40, Ports: 80/443)

Szenario 1 – RDP von Cloud-Geräten auf On‑Premises Server

Konfigurationsschritte:

1. Anmeldung:
   Login im Microsoft Entra Portal.

2. GSA aktivieren:
   Navigiere zum GSA-Bereich und wähle Activate GSA for your tenant, um GSA im Mandanten zu aktivieren.

3. Konfiguration:
   Gehe in den GSA-Konfigurationsbereich, klicke auf Connect und wähle Traffic forwarding.
   Aktiviere das Feature Private Access auf Mandantenebene.

4. Connector Installation:
   Installiere den Entra Private Access Connector in Deiner On‑Premises‑Umgebung.

5. Anwendung konfigurieren:
   Navigiere im Microsoft Entra ID‑Bereich zu Global Secure Access.
   Klappe den Abschnitt Applications auf, klicke auf Enterprise applications und wähle New application, um die Konfiguration zu starten.

6. Application Segment – RDP:

   • Destination Type: Wähle Remote Desktop.

   • Destination Values:

     • FQDN: rdpserver.securecloudexperts.local

     • (Optional) IP-Adresse: 10.1.1.10

     • Port: 3389

   • Kommentar: (Optional) „RDP-Zugriff auf terminal.securecloudexperts.local“

7. Zugriffssteuerung:
   Kehre zur Seite Enterprise applications zurück und öffne die neu erstellte Anwendung.
   Lege im Bereich Users and groups fest, welche Benutzer oder Gruppen Zugriff erhalten sollen.

8. Client Deployment:
   Installiere den Global Secure Access Client auf den Endgeräten – der Einsatz von Intune wird hierfür empfohlen.

9. Test:
   Starte auf einem Entra‑joined/hybrid joined Gerät den Remote Desktop Client, gib terminal.securecloudexperts.local (oder die IP 10.1.1.10) ein und authentifiziere Dich mit Deinem Entra‑ID Benutzer. Die Verbindung wird nun sicher über den GSA‑Tunnel aufgebaut.

Szenario 2 – Zugriff von Cloud-Geräten auf lokale SMB-Laufwerke

Hinweis zum Zugriff auf lokale File Shares (z. B. das Home-Laufwerk):
Auch wenn das Gerät lediglich Entra ID Joined ist und nicht in einer lokalen AD-Domäne existiert, kann der Zugriff auf lokale File Shares erfolgen – und das ohne erneute Benutzeranmeldung (SSO).

Dies wird durch den Entra Private Access Connector ermöglicht, der auf einem Member-Server des lokalen Active Directory-Domäne installiert ist, in welcher Hybrid Cloud Kerberos konfiguriert ist. Im Hintergrund wird im Auftrag des Benutzers, der sich bereits über Entra ID authentifiziert hat, ein Kerberos-Ticket vom lokalen AD angefordert. Dieses Ticket authentifiziert den Benutzer beim Zugriff auf das File Share, sodass ein nahtloser Zugriff – beispielsweise auf das Home-Laufwerk – gewährleistet ist.

Voraussetzungen:

• Der Entra Private Access Connector muss im lokalen AD konfiguriert sein und für KCD autorisiert werden.

• Im lokalen AD muss die entsprechende Delegierung für den Connector eingerichtet sein, sodass er Kerberos-Tickets für den gewünschten Service (File Share) anfordern darf.

Konfigurationsschritte:

1. Anmeldung:
   Logge Dich im Microsoft Entra Portal ein.

2. GSA aktivieren:
   Navigiere zum GSA-Bereich und wähle Activate GSA for your tenant.

3. Konfiguration:
   Gehe in den GSA‑Konfigurationsbereich, klicke auf Connect und wähle Traffic forwarding.
   Aktiviere das Feature Private Access auf Mandantenebene.

4. Connector Installation:
   Installiere den Entra Private Access Connector in Deiner On‑Premises‑Umgebung.

5. Anwendung konfigurieren:
   Navigiere zu Global Secure Access im Microsoft Entra ID‑Bereich, öffne Applications > Enterprise applications und klicke auf New application.

6. Application Segment – SMB:

   • Destination Type: Wähle TCP (File Share).

   • Destination Values:

     • FQDN: file.securecloudexperts.local

     • (Optional) IP-Adresse: 10.1.1.20

     • Port: 445

   • Kommentar: (Optional) „SMB‑Freigaben auf file.securecloudexperts.local“

7. Zugriffssteuerung:
   Kehre zur Übersicht der Enterprise applications zurück und öffne die neu erstellte Anwendung.
   Lege im Tab Users and groups fest, welche Benutzer oder Gruppen Zugriff erhalten sollen.

8. Client Deployment:
   Installiere den Global Secure Access Client auf den Endgeräten (Deployment über Intune wird empfohlen).

9. Test:
   Öffne auf einem Cloud‑Gerät den Datei‑Explorer, gib den UNC‑Pfad (z. B. \\file.securecloudexperts.local\Freigabe1) ein – der Zugriff erfolgt über den sicheren GSA‑Tunnel.

Szenario 3 – Zugriff auf interne Webportale und Legacy-Anwendungen

Konfigurationsschritte:

1. Anmeldung:
   Logge Dich im Microsoft Entra Portal ein.

2. GSA aktivieren:
   Navigiere zum GSA-Bereich und wähle Activate GSA for your tenant.

3. Konfiguration:
   Gehe in den GSA‑Konfigurationsbereich, klicke auf Connect und wähle Traffic forwarding.
   Aktiviere das Feature Private Access auf Mandantenebene.

4. Connector Installation:
   Installiere den Entra Private Access Connector in Deiner On‑Premises‑Umgebung.

5. Anwendung konfigurieren:
   Navigiere zu Global Secure Access im Microsoft Entra ID‑Bereich, öffne Applications > Enterprise applications und klicke auf New application.

6. Application Segmente konfigurieren:

   Segment A – Intranet‑Portal:

   • Destination Type: Wähle Web Access.

   • Destination Values:

     • FQDN: intranet.securecloudexperts.local

     • (Optional) IP-Adresse: 10.1.1.30

     • Ports: 80 (HTTP) und/oder 443 (HTTPS)

   • Kommentar: (Optional) „Interner Zugriff auf Intranet‑Portal“

   Segment B – Legacy‑Anwendung:

   • Destination Type: Wähle Web Access.

   • Destination Values:

     • FQDN: legacy.securecloudexperts.local

     • (Optional) IP-Adresse: 10.1.1.40

     • Ports: 80 (HTTP) und/oder 443 (HTTPS)

   • Kommentar: (Optional) „Zugriff auf Legacy‑Anwendung“

   (Hinweis: Hier besteht die Möglichkeit, entweder beide Segmente in einer gemeinsamen Anwendung zu konfigurieren oder für das Intranet und die Legacy‑Anwendung getrennte Anwendungen zu erstellen.)

7. Zugriffssteuerung:
   Kehre zu den Unternehmensanwendungen zurück, öffne die neu erstellte Anwendung und lege im Tab Users and groups fest, welche Benutzer oder Gruppen Zugriff erhalten sollen.

8. Client Deployment:
   Installiere den Global Secure Access Client auf den Endgeräten (Deployment über Intune wird empfohlen).

9. Test:
   Öffne auf einem autorisierten Gerät einen Webbrowser und gib https://intranet.securecloudexperts.local (bzw. http://intranet.securecloudexperts.local) ein, um das Intranet‑Portal aufzurufen. Wiederhole den Vorgang für legacy.securecloudexperts.local.
   Authentifiziere Dich bei Bedarf – der Zugriff erfolgt über den sicheren GSA‑Tunnel.

Fazit

Global Secure Access (GSA) ist ein Ansatz, der moderne Sicherheitsarchitekturen wie Zero Trust Network Access, Secure Web Gateway und Cloud App Security Broker integriert. Diese Lösung ermöglicht eine flexible, standortunabhängige und gleichzeitig den höchst sicheren Zugriff auf klassische Unternehmensressourcen. Insbesondere für Unternehmen mit hybriden Infrastrukturen bietet Global Secure Access in Kombination mit Microsoft Entra Private Access, Microsoft Entra Internet Access und Microsoft Defender for Cloud Apps eine moderne Sicherheitsarchitektur.