Remote Access ohne VPN

Der Einsatz von VPN-Clients zur Kopplung von mobilen Geräten für den Remote Zugriff auf Unternehmensressourcen von unterwegs oder aus dem Home-Office ist keine zeitgemäße Technologie zur Erfüllung dieser Aufgabe. Der Aufwand für den Betrieb dieser VPN Verbindungen und das ungleich höhere Risiko durch die damit verbundene Netzwerkkopplung zwischen Client und dem Unternehmensnetzwerk zeigt sehr deutlich, dass dieser Lösungsansatz der Vergangenheit angehören sollte. Dazu tragen auch immer mehr in der Cloud basierende Services bei, die sich nicht mehr innerhalb der lokalen IT, an einem der Standorte des Unternehmens befinden. Zudem haben Mitarbeiter in der Regel mehr als nur ein mobiles Endgerät, was die Anzahl der VPN Verbindung entsprechend erhöht. Es braucht daher neue Lösungen die einen sicheren Zugriff ohne den Aufwand herkömmlicher VPN-Verbindung bereitstellen.

Die Verwendung von VPN Clients ist immer noch fester bestandteil des Denkens, wenn es um die Anbindung von Geräten “normaler” Anwender über unsichere Netzwerke, wie das Internet geht. Dieser Ansatz kommt aber aus einer Zeit, in der die Mehrzahl der Verbindungen noch Klartext-Protokolle nutzten und nicht, wie es schon seit Jahren üblich ist, auf verschlüsselten Verbindungen basieren. Zudem war damals die Anzahl der mobilen Geräte mehr als nur überschaubar. Auch war es zu dieser Zeit völlig undenkbar, dass Webapplikationen sich nicht mehr von den lokal installierten Versionen unterscheiden würden oder das Apps auf mobilen Geräten fester Bestandteil von Applikationen im Unternehmen sind. Alleine die hohe Anzahl der mobilen Geräte je Anwender zeigt für sich genommen schon eines der Probleme, die VPN Verbindung mitsichbringen; Notebook, Tablet und Smartphone sind keine Seltenheit, sondern der Normalfall. Im Umkehrschluss werden so je externen Benutzer schon drei VPN Verbindungen benötigt, die ausgerollt, konfiguriert, gewartet und supported werden müssen. Dazu kommt noch das eher umständliche handling der VPN Verbindungen auf Seiten des Anwenders und je nach Szenario ein entsprechend mehr oder weniger aufwändiges DNS und Routing Konstrukt auf administrativer Seite hinzu. Das alles hat hinreichend Potenzial den gesamten Aufwand für den Betrieb einer solchen Lösung in die Höhe zu treiben. Daher ist es höchste Zeit, dass man sich die Frage nach der Sinnhaftigkeit einer solchen “Lösung” stellt. An dieser Stelle darf man aber nicht nur das Problem Client-VPN betrachten, sondern auch das der Anwendungen und der Workflows bzw. Prozesse im Unternehmen, was eine neue aber auch notwendige Lösung etwas komplexer macht. Daher muss das Umdenken etwas umfangreicher ausfallen und man sollte nicht versuchen Legacy Applikationen identisch abbilden zu wollen.

Die Leser des Blogs wissen es bereits, die Artikel entstehen ausschließlich im Browser mit Google Docs oder der Word App aus O365. Aus dem Selbstversuch vor vielen Jahren ist es der Normalzustand geworden und steht dem klassischen Arbeiten in nichts nach, eher im Gegenteil, die Flexibilität ist ungleich größer und der Wechsel zwischen verschiedenen Typen von Endgeräten, Lokationen und Internetzugängen ist fließend. Es wäre unvorstellbar immer mit demselben Endgerät eine VPN Verbindung ins Unternehmen aufzubauen, um genauso einfach arbeiten zu können. Alle die jetzt einwenden, dass man ja das Dokument auch lokal hätte erstellen könnte, vergessen, den Wechsel zwischen den Geräten und das quasi jeder Tastenanschlag gespeichert und somit ein Datenverlust sehr unwahrscheinlich ist, wenn das Endgerät einmal einen Defekt haben sollte. Die Arbeit geht nicht verloren und es gibt als kleines Gimmick noch automatisiert entsprechende Revisionen des Dokuments dazu. Das wird auf jeden Fall mit einer lokalen Installation der Anwendung und einem VPN mit einer klassischen Dateiablage im Unternehmen mehr als nur “sportlich”, wenn man dies alles damit umsetzen möchte, was eine Webapplikation hier auf Basis eines  Cloud-Dienstes fertig mitbringt. Anstatt es mit sehr mäßigen Erfolg per VPN umzusetzen, ist es alles was dazu braucht ein fast beliebiger Client mit einem Browser bzw. einer App und einer Internetverbindung. Genauso einfach muss heute die Verbindung eines mobilen Endgeräts zum Unternehmen funktionieren. Aus Sicht des Benutzers muss es völlig transparent sein, wo er sich befindet, ob im Unternehmen oder unterwegs, es muss immer gleich sein und der jeweilige Standort oder das Endgerät darf keine Unterschiede in der Nutzung von Applikationen machen.

Da sich noch nicht jeder Applikation im Unternehmen auch als Webapplikation abbilden lässt, muss das Minimalziel aber trotzdem sein, auf das Client VPN zugunsten von besseren und ebenso sicheren Verbindungen zu verzichten. Unabhängig vom Typ ist ein VPN immer eine Netzkopplung des Clients zum Unternehmen, deren Absicherung mehr Aufwand erfordert und auch gleichzeitig einen Mehraufwand in der Bereitstellung an sich bedeutet, der auf alle Fälle mit in die Betrachtung mit einfließen muss. Die Endgeräte müssen mit einem VPN Client versorgt und gewartet werden. Analog gilt dies auch für das VPN Gateway, welches ebenfalls betrieben und gewartet werden muss. Weiter kommt noch dazu, dass ein VPN auch zusätzlichen Aufwand für den IT-Support bedeutet, da es ein zusätzlicher Schritt für den Anwender ist und somit auch nicht gerade der Komplexität entgegenwirkt. Natürlich könnte man jetzt entgegnen, dass es an sich ja sehr einfach ist, eine VPN Verbindung vorher aufzubauen und dann erst auf die Ressourcen zuzugreifen. Ja, für einen IT-Affinen Nutzer ist dies wohl so, aber es steht dem, wie Zugriffe heute zu funktionieren haben völlig zuwider und erhöht auch für einen IT-Affinen Nutzer die Komplexität. Das betrifft vor allem die Generation der jüngere Mitarbeiter in einem Unternehmen, denn diese sind mit Smartphones und Apps groß geworden und sie haben auch völlig recht, genau so muss heute prinzipiell der Zugriff auch auf Applikationen im Unternehmen funktionieren. Ganz trivial ist eine solche Anforderung aber nicht. Die Herausforderung liegt u.a. auch darin, diesen neuen Ansatz für Legacy Applikationen umzusetzen und dabei hilft zum Beispiel die moderne Version einer schon älteren Technik. Nach wie vor ist der Einsatz von Terminalservern für eine Vielzahl von Szenarien durchaus sinnvoll. Unter anderen Rahmenbedingungen sind es statt Terminalserver vielleicht VDI Konzepte. Was zum Einsatz kommt, hängt von vielen Faktoren ab und ist je nach Szenario entsprechend zu bewerten. Es würde jedoch den Rahmen dieses Artikels sprengen, an dieser Stelle im Detail darauf einzugehen, daher beschränkt sich dieser Beitrag auf den Einsatz von Terminalserver als passendes AddOn zu Web Applikationen und Cloud-Diensten. Microsoft bietet mit der Kombination von Terminalserver-Farmen, Session Broker und Web Gateway die dafür passende Lösung mit RDweb an. Der Zugriff darauf erfolgt über per https. Ab Windows 7 verfügt der Terminalserver Client (MSTSC) über diese Möglichkeit des Zugriffes, neuere Versionen und Apps sowieso. Der Anwender greift ohne ein VPN herstellen zu müssen mit dem Client genauso einfach auf die Ressource Terminalserver zu, wie auch mit seinem Outlook oder Smartphone auf sein Exchange Postfach – eben einfach so. Mit der passenden Kombination von Web Applikationen, Cloud Services und RDweb Umgebungen braucht es kein VPN mehr und der Anwender greift von jedem beliebigen Ort aus immer gleich auf diese Ressourcen zu. Zwar sollte der Einsatz von “echten” Webapplikationen der Vorzug gewährt werden und RDweb zur Bereitstellung der Legacy Applikationen dienen, damit langfristig das Ziel erreicht wird, ausschließlich native Web Anwendungen und Cloud-Dienste zu verwenden. Alles andere macht mit einem in die Zukunft gerichteten Blick wenig Sinn. Dazu braucht es auch nicht viel Phantasie oder große Visionen, um zu erkennen, wohin die Reise geht. Dabei ist es ganz egal, in welche Richtung man hier schaut. Bei Office- oder Microsoft 365 gibt es zwar lokal installierte Versionen von Word, Excel & Co. jedoch verbinden diese sich doch schon längst im Hintergrund per https mit Services wie OneDrive oder SharePoint. Weiter kann man bei den Web Anwendungen Slack, Teams, Jitsi, Webex, Nextcloud Talk, Salesforce, Confluence, JIRA, Trello usw. aufzählen und die Liste ließe sich beliebig fortsetzen. Alles hier aufgezählte funktioniert ohne ein VPN, auf Basis von https und benötigt noch nicht mal einen eigenen Client, sondern funktioniert im Browser. Daher ist der Weg deutlich zu erkennen, wie IT in Zukunft funktioniert. 

Das Thema Sicherheit spielt in der Welt der neuen Applikationen eine wesentliche aber auch eine völlig neue Rolle, die sich von dem gewohnten unterscheidet. Identität und Zugriffsverwaltung gehören hier zu den Herausforderungen, wie auch die Durchsetzung von Richtlinien. Das klassische Bild vom Perimeter, des trusted LAN und dem untrusted WAN funktioniert heute einfach nicht mehr, wenn sich weder alle Clients oder die Dienste selbst im lokalen LAN befinden und man sich von Remote sicher dorthin mit einem VPN verbindet. Das neue Szenario ist grundsätzlich anders, was alleine schon das klassische VPN in Frage stellt. Alle mobilen Endgeräte und der Anwender selbst, sind somit der neue Perimeter und an dieser Stelle muss der Schutz, die Cyber Security, ansetzen. Zum einem muss der Anwender sich seiner neue Rolle bewusst sein und auch um die Gefahren wissen. Daher ist eine Schulung und vor allem eine Sensibilisierung ein sehr wichtiges und mächtiges Instrument. Der Faktor Mensch ist hier nicht zu unterschätzen, wie wichtig seien Rolle für die IT Sicherheit ist. Auf der technischen Seite muss die IT die neuen Angriffsvektoren sehen und mit entsprechenden Konzepten und Maßnahmen die benötigte Sicherheit herstellen. Ein ganz wichtiger Baustein, der eigentlich auch für noch klassische VPN Verbindungen gilt, ist der Einsatz von Multi Faktor Authentifizierung (MFA), welcher wesentlich die IT Sicherheit erhöht und sollte normal eine Selbstverständlichkeit für den (Remote) Zugriffe sein. Eine MFA Lösung eliminiert auf der Stelle den Erfolg von Brute-Force Angriffen auf Logins und auch den von Diebstahl bei Passwörtern weniger gut geschützter Anbieter.

IT neu gedacht, es wird Zeit die 90’er Jahre IT loszulassen. Wenn Sie Fragen haben, stehen wir wie gewohnt zur Verfügung.