1
VPN Verbindung Kunden
Hallo Zusammen,
da dies mein erster Beitrag hier im Forum ist, und ich eventuell die ein oder andere Kleinigkeit übersehen habe, bitte ich schon einmal vorab um Entschuldigung.
Ich möchte einmal euren Rat zur folgenden Situation hören.
Grundinfo:
Ich arbeite derzeit in einem Systemhaus, welches ca. 50 Mittelständige Unternehmen (<50Mitarbeiter) betreut.
Wir übernehmen für 80% der Kunden die komplette IT-Infrastruktur.
Um unsere Kundenserver zu betreuen, haben wir zu jedem Kunden eine VPN Verbindung. Diese wird über Lancom hergestellt.
Da nun die Cyberangriffe immer größer werden, haben wir uns gefragt, ob unsere Verbindung zu den Kunden überhaupt "tragbar" ist.
Unser Setup sieht wie folgt aus:
Jeder Admin von uns hat ein Notebook(Bitlocker aktiv), mit dem er sich auf einen bei uns am Standort stehenden Server verbindet.
Dort haben wir die sogenannten "Wartungsmaschienen". Auf diesen Maschienen sind diverse VPN Profile in diverse VPN Launchern abgespeichert. Die Maschienen befinden sich hinter einer Lancom Firewall.
Die Daten um sich schlussendlich beim Kunden anzumelden, lagern wir in einem Passwortmanager. Die Kennwörter haben alle min 32 Zeichen. Der Zugang für den PW Manager ist mit 3 Faktoren abgesichert.
Nun sind wir am überlegen, wie wir den Bereich besser absichern können.
Wir haben unteranderem die Docker Methode ins Auge gefasst, haben aber damit keinerlei Berührungspunkte.
Wie handhaben das andere Systemhäuser oder Firmen ? Ich möchte hier keine Rechtsberatung etc. sondern lediglich eure Erfahrungswerte bzw. Fachliche Einschätzung was ihr ggf. noch ändern würdet.
Lieben Gruß
da dies mein erster Beitrag hier im Forum ist, und ich eventuell die ein oder andere Kleinigkeit übersehen habe, bitte ich schon einmal vorab um Entschuldigung.
Ich möchte einmal euren Rat zur folgenden Situation hören.
Grundinfo:
Ich arbeite derzeit in einem Systemhaus, welches ca. 50 Mittelständige Unternehmen (<50Mitarbeiter) betreut.
Wir übernehmen für 80% der Kunden die komplette IT-Infrastruktur.
Um unsere Kundenserver zu betreuen, haben wir zu jedem Kunden eine VPN Verbindung. Diese wird über Lancom hergestellt.
Da nun die Cyberangriffe immer größer werden, haben wir uns gefragt, ob unsere Verbindung zu den Kunden überhaupt "tragbar" ist.
Unser Setup sieht wie folgt aus:
Jeder Admin von uns hat ein Notebook(Bitlocker aktiv), mit dem er sich auf einen bei uns am Standort stehenden Server verbindet.
Dort haben wir die sogenannten "Wartungsmaschienen". Auf diesen Maschienen sind diverse VPN Profile in diverse VPN Launchern abgespeichert. Die Maschienen befinden sich hinter einer Lancom Firewall.
Die Daten um sich schlussendlich beim Kunden anzumelden, lagern wir in einem Passwortmanager. Die Kennwörter haben alle min 32 Zeichen. Der Zugang für den PW Manager ist mit 3 Faktoren abgesichert.
Nun sind wir am überlegen, wie wir den Bereich besser absichern können.
Wir haben unteranderem die Docker Methode ins Auge gefasst, haben aber damit keinerlei Berührungspunkte.
Wie handhaben das andere Systemhäuser oder Firmen ? Ich möchte hier keine Rechtsberatung etc. sondern lediglich eure Erfahrungswerte bzw. Fachliche Einschätzung was ihr ggf. noch ändern würdet.
Lieben Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 91748446387
Url: https://administrator.de/contentid/91748446387
Printed on: April 28, 2024 at 10:04 o'clock
1 Comment
Moin,
Im Summe recht hoher Aufwand, was aber einfach unseren Sicherheitsanforderungen (Auditing, Minimal-Prinzip, etc.) und Nachweispflicht bei möglichen Schäden durch IT-Dienstleister geschuldet ist (Hack des DLs). Wir reden hier von weit aus mehr als 1000 MAs von IT-Dienstleistern.
Gruß,
Dani
Wie handhaben das andere Systemhäuser oder Firmen ?
In unseren Fall sind wir ein Unternehmen, für welches verschiedene IT-Dienstleister tätig sind.Wie handhaben das andere Systemhäuser oder Firmen ?
- Bei uns gibt ausschließlich VPN C2S.
- Jeder MA des IT-Dienstleisters hat einen dedizierten Account, welcher mit MFA gesichert ist.
- Die IT-Dienstleister sind angehalten, den VPN Client in einer dedizierten VM für den MA zu betreiben. Ein Mutliuser Server/Client ist nicht erlaubt. Sollten wir das feststellen, wird der Zugang deaktiviert. Rechtlich ist das über den Vertrag abgesichert.
- Die VPN Clients erhalten eine statische IP-Adresse. Damit ggf. an Firewalls dedizierte Rules eingerichtet werden können.
- Die Zugangsdaten für unsere Server, Applikationen, etc. werden zentral durch ein PAM (BeyondTrust) bereitgestellt. Die Personen sehen nur die Einträge im PAM, welche für ihre Arbeit relevant ist. Somit können wir auch problemlos unsere PWs ändern, ohne das der MA des IT-Dienstleisters etwas zu tun hat.
Im Summe recht hoher Aufwand, was aber einfach unseren Sicherheitsanforderungen (Auditing, Minimal-Prinzip, etc.) und Nachweispflicht bei möglichen Schäden durch IT-Dienstleister geschuldet ist (Hack des DLs). Wir reden hier von weit aus mehr als 1000 MAs von IT-Dienstleistern.
Gruß,
Dani
