Cloud-enabled Management (CeM)

Verwaltung von Endpoints in Sicherheitszonen mit Symantec Cloud-Enabled Management (CEM)

 

Endgeräte unterliegen besonderen Sicherheitsrisiken, unter anderem Angriffen, Malware, Spam und Trojanern. Am Schwierigsten gestaltet sich die Endpunktverwaltung (englisch: Endpoint Management) bei Geräten, die sich außerhalb des Unternehmensnetzwerks oder innerhalb einer Sicherheitszone befinden. Wir erzählen Ihnen, wie Sie Ihre Endgeräte trotzdem verwalten können.

Erster Fall: Verwaltung von Endpoints außerhalb des Unternehmensnetzwerkes

In diesem Fall greifen wir auf die Software von Symantec zurück: IT Management Suite (ITMS). Diese beinhaltet unter anderem ein Feature zur Verwaltung von Endpoints, welche sich nicht im Unternehmensnetzwerk befinden: Cloud-enabled Management (CeM).

Der Ursprungsgedanke war dabei die dauerhafte Verwaltung von Endpoints sicherzustellen, ohne eine aktive VPN-Verbindung zu betreiben.
Sobald sich ein Endpoint außerhalb des Unternehmensnetzwerkes befindet und eine Internetverbindung besteht, aktiviert der Agent automatisch die CeM-Funktion und somit kann dieser verwaltet werden.

Technisch wird diese Funktionalität mittels Internet Gateway realisiert. Das Internet Gateway ist ein Reverse Proxy, der zunächst den Endpoint am Server authentifiziert und dann die Kommunikation zulässt.

Der komplette Netzwerkverkehr wird via HTTPS realisiert.

Folgende Funktionen können unter Verwendung von Cloud Enabled Management für die Endpoints genutzt werden (Auszug):

  • Inventory Solution
  • Software Management (inklusive Software-Portal)
  • Patch Management
  • Deployment Solution (exklusive OS Deployment)

CEM unterstützt auch die mit ITMS Version 8.5 eingeführte persistente Verbindung (Echtzeitkommunikation).

Zweiter Fall: Verwaltung von Endpoints in Sicherheitszonen mittels CEM

Endpoints in Sicherheitszonen, zum Beispiel DMZ, müssen besonders geschützt werden.

Wen betrifft das? Das trifft vor allem auf Server zu, die bestimmte Services im Internet bereitstellen oder das Unternehmensnetzwerk nach außen absichern (z. B. Reverse Proxies) oder spezielle kaskadierte Sicherheitszonen auf Grund von Sicherheitsanforderungen.

Dabei ist es unerlässlich eine sichere Kommunikation in das Unternehmensnetzwerk sicherzustellen. Unter anderem geschieht dies durch Einsatz von Firewalls, Serverhärtung und weiteren Sicherheitsmaßnahmen, d.h. zur Minimierung von Angriffsvektoren werden nur die absolut nötigsten Kommunikationskanäle geöffnet. Dennoch müssen die Endpoints verwaltet und konfiguriert werden (zum Beispiel für das Patchmanagement).

Zur Abbildung dieses Anwendungsfalls machen wir uns die Eigenschaften von CEM zu Nutze, dies bedeutet, dass nur ein Netzwerkport benötigt wird, um damit eine Verwaltung und Konfiguration der Endpoints zu ermöglichen. Das versetzt uns in die Lage die Server zum Beispiel mit aktuellen Patches zu versorgen oder Software auszurollen. Des Weiteren können Konfigurationseinstellungen (z. B. per Skript) am Endpoint vorgenommen und aktuelle Hard- und Softwareinventardaten gesammelt werden.

Um die Hochverfügbarkeit, im Speziellen für verwaltete Server in den Sicherheitszonen, sicherzustellen, ist es möglich mehr als ein Internet Gateway bereitzustellen und damit Loadbalancing und Hochverfügbarkeit zu erreichen.

Für wen könnte die Lösung interessant sein?

  1. Unternehmen, deren Endgeräte sich außerhalb des unternehmenseigenen Netzwerkes befinden
  2. Managed service provider (MSP), die für verschiedene externe Unternehmen die Endgeräte verwalten
  3. Unternehmen mit erhöhten Sicherheitsanforderungen (Sicherheitszonen)

Haben wir Ihr Interesse an der Lösung geweckt oder haben Sie weitergehende Fragen, kommen Sie gern auf uns zu.

Zurück