TrustedVPN_perspektive
TrustedVPN_frontal
TrustedVPNL_frontal
TrustedVPNL_perspektive

TrustedVPN

Weltweite Vernetzung Ihrer Standorte und Mitarbeiter

Die Vernetzung von Arbeitsplätzen ist aus dem Unternehmensalltag nicht wegzudenken. VPN-Technologie (Virtual Private Network) ermöglicht den sicheren Datenaustausch sowie VoIP-basierte Telefonie zwischen entfernten Standorten über das öffentliche Internet. Damit können die Vorteile der offenen IP-Technologie mit der hohen Sicherheit der früher üblichen privaten Mietleitungen kombiniert werden.


Sicherheit zentrale Anforderung

Die Nutzung des Internets als Rückgrat für die unternehmensinterne Kommunikation bedeutet einerseits eine deutlich verbesserte Wirtschaftlichkeit durch eine effiziente Verwendung bereits vorhandener Infrastruktur aber andererseits auch ein deutlich erhöhtes Risiko in Bezug auf die Authentizität der Kommunikationsteilnehmer sowie die Vertraulichkeit und die Integrität der zu übertragenden Daten. Daher ist kompromisslose Sicherheit ein wesentliches Kriterium für VPN-Lösungen.


Die Alleinstellungsmerkmale

Die TrustedVPN-Lösung wurde auf der Basis zweier grundlegender Designziele entwickelt:

  • Kompromisslose Sicherheit und
  • Einfache Verwaltung.

TrustedVPN stellt eine umfassende state-of-the-art Security-Infrastruktur als fertige Lösung vollautomatisch bereit. Damit entfällt die Gefahr unzulänglicher Einstellungen bei der Konfiguration weitgehend.

Bei der Verwaltung des Systems kann man sich ganz auf die globalen logischen Vertrauensbeziehungen zwischen Netzen und Nutzern konzentrieren anstatt einzelne Geräte und deren Parametrisierung individuell administrieren zu müssen.


Die Architektur

Die Lösung besteht aus drei wesentlichen Komponenten:

  • Der TrustedObjects Manager ist der zentrale Server für Management, Konfiguration und Provisioning.
  • Die TrustedVPN Appliance wird in mehreren Ausprägungen dezentral als VPN-Gateway an den einzelnen Standorten eingesetzt.
  • Der TrustedVPN Softwareclient kann von mobilen Nutzern zur Einwahl in das Gesamtsystem genutzt werden.

Die VPN Appliances sind als vollständig geschlossene und nur aus der Ferne administrierbare Systeme konzipiert. Bei der Erstinbetriebnahme wird eine Basiskonfiguration für die externe Netzwerkanbindung im TrustedObjects Manager angelegt und als signierte Datei auf einen USB Stick exportiert. Außer der einmaligen Anwendung dieses USB-Sticks findet keinerlei Bedienung an der Appliance statt.

Sobald die VPN Appliance an das Netz angeschlossen ist, baut sie einen TrustedChannel zum TrustedObjects Manager auf und wird von diesem konfiguriert und permanent überwacht. Der TrustedChannel ist eine gegenseitig gesichert authentisierte Verbindung und die Management- Station überzeugt sich darüber hinaus mittels „Remote Attestation“ von der Integrität der VPN Appliance.

Die TrustedVPN Appliance stellt gemäß den Konfigurationsvorgaben des Managementsystems IPsec-Tunnel für Peer-to-Peer Verbindungen zu anderen Appliances bereit und kann gegebenenfalls im Roadwarrior-Betrieb auch von mobilen Mitarbeitern auf Basis eines IPsec-Softwareclients erreicht werden. Das Schlüsselmaterial für die Sicherung der Kommunikation wird grundsätzlich in den VPN Appliances generiert und vom Managementsystem zertifiziert.


Sicherheit in Hardware verankert

Im Managementsystem wie auch in den VPN Appliances kommt mit dem Trusted Platform Module (TPM) ein Hardware-Chip zum Einsatz, der als Sicherheitsanker dient, und bis hinauf in die Anwendungen vollständig in die Gesamtarchitektur eingebunden ist.

Konkret dient das TPM in den Appliances dazu:

  • Die privaten Schlüssel der einzelnen Appliances sicher zu speichern und zu verarbeiten. Die Schlüssel verlassen nie den Sicherheitschip und ermöglichen dadurch eine zuverlässige, manipulationsfreie Identifizierung der einzelnen Appliances durch das integrierte PKI-Verfahren.
  • Ein vertrauenswürdiges Booten durch eine Hardware-basierte Überprüfung aller wesentlichen zu ladenden Module zu garantieren.
  • Die Firmware und die dauerhaft gespeicherten Konfigurationsdaten nachhaltig zu verschlüsseln.

Das Ergebnis ist ein Gesamtsystem, das sich ständig überwacht und Manipulationen - ob lokal oder aus der Ferne - zuverlässig unterbindet.