Der Schutz kritischer Anwendungen ist nicht mehr nur eine Vorsichtsmassnahme, sondern eine strategische Notwendigkeit. Ein Schweizer Unternehmen aus dem Transportsektor muss den Zugriff auf eine sensible Geschäftsanwendung, die über ein Citrix-Portal zugänglich ist, besser absichern. Da diese Lösung sowohl von internen Mitarbeitern als auch von externen Dienstleistern genutzt wird, stellt sie hohe Anforderungen an die Identitätskontrolle und den reibungslosen Ablauf der Nutzung. Qim info antwortet auf diese Problematik mit einem massgeschneiderten System zur doppelten Authentifizierung, das Citrix, Red Hat SSO und Keycloak kombiniert.
Den Zugriff auf eine kritische Geschäftsanwendung sichern
In diesem Unternehmen aus der Transportbranche ist eine sensible Geschäftsanwendung, auf die über ein Citrix-Portal zugegriffen werden kann, ein Schlüsselinstrument für die tägliche Arbeit der Teams. Da sie sowohl von internen Mitarbeitern als auch von externen Dienstleistern genutzt wird, konzentriert sie kritische Daten und erfordert eine strenge Zugriffskontrolle.
Bis dahin hatten alle Nutzer über eine einmalige Authentifizierung auf die Anwendung zugegriffen, unabhängig von ihrem Hintergrund oder der Sicherheitsstufe. Diese Funktionsweise war zwar einfach zu verwalten, hatte aber mehrere Einschränkungen:
- Eine grosse Anfälligkeit bei kompromittierten Benutzerkennungen,
- Eine fehlende Unterscheidung zwischen internen und externen Benutzern,
- Eine begrenzte Nachverfolgbarkeit der Verbindungen.
Um diesen Herausforderungen gerecht zu werden, beauftragte das Unternehmen Qim info mit der Entwicklung eines Systems zur Zwei-Faktor-Authentifizierung, das die Zugriffssicherheit erhöht, ohne die tägliche Nutzung noch komplizierter zu gestalten.
Ziele der Sicherheitsvorkehrungen festlegen
Die Organisation strebt daher eine Verbesserung der Sicherheit ihrer Geschäftsanwendungen bei gleichzeitiger Gewährleistung einer reibungslosen Benutzererfahrung für alle Anwender an. Das erwartete System muss mehrere Anforderungen erfüllen:
- Anpassung des Authentifizierungsniveaus an interne und externe Profile,
- Stärkung der Rückverfolgbarkeit der Verbindungen,
- Zentralisierung der Identitätsverwaltung über interoperable Tools,
- Nahtlose Integration in die bestehende technische Umgebung.
Qim info hat die Aufgabe, eine robuste Lösung zu entwickeln, die den unterschiedlichen Profilen gerecht wird und gleichzeitig einen sicheren und reibungslosen Zugang gewährleistet.
Eine massgeschneiderte Lösung mit Citrix, Red Hat SSO und Keycloak implementieren
Um das Projekt erfolgreich abzuschliessen, mobilisierte Qim info einen DevOps-Experten, der auf Identitätsmanagement und Zugriffssicherung spezialisiert war und 15 Tage pro Jahr damit beschäftigt war, das System zu steuern, zu warten und weiterzuentwickeln.
Ein Sicherheitsdispositiv einsetzen, das den geschäftlichen Herausforderungen angepasst ist
Die Intervention beruht auf fünf Schwerpunkten, die mit den vom Unternehmen geäusserten Bedürfnissen vollkommen übereinstimmen:
- Zugriffsfilterung: Einrichtung einer granularen Zugriffskontrolle auf die Zielanwendung über Citrix Gateway, gestützt auf Red Hat SSO, das in SAML als Identity Provider (IdP) konfiguriert ist.
- Rechteverbreitung: Definition von Zugriffsregeln auf der Grundlage von Active Directory-Gruppen, mit Synchronisierung über Red Hat SSO, um eine automatische Berechtigungsvergabe zu gewährleisten.
- Multi-Faktor-Authentifizierung (MFA): Obligatorische Aktivierung der MFA für externe Dienstleister, um die sensibelsten Zugriffe zu sichern und gleichzeitig eine reibungslose Erfahrung für interne Mitarbeiter aufrechtzuerhalten.
- Einsatz der Lösung: Produktionsstart in den Zielumgebungen mit benutzerdefinierten Konnektoren, die unter Keycloak entwickelt wurden, einer Open-Source-Lösung, die sich dem Identitäts- und Zugriffsmanagement widmet.
- Kompetenztransfer und Support: Begleitung der internen Teams durch gezielte Schulungen, ergänzt durch einen Level-3-Support, der sich auf die Behandlung komplexer Vorfälle und die erweiterte Wartung der SSO-Komponenten konzentriert.
Den Authentifizierungsweg mit Citrix, Red Hat SSO und Keycloak verstehen
Das System basiert auf einer flüssigen und strukturierten Authentifizierungskette, die darauf ausgelegt ist, das Sicherheitsniveau an das Profil jedes Nutzers anzupassen. Hier sind die wichtigsten Schritte im Ablauf:
1. Citrix-Portal
Der Benutzer, sei es ein interner Mitarbeiter oder ein externer Dienstleister, greift zunächst auf ein sicheres Citrix-Portal zu. Dieser Einstiegspunkt ist die erste Kontrollschranke zur Zielanwendung.
2. Umleitung zu Red Hat SSO
Citrix leitet den Benutzer automatisch zu Red Hat SSO um, das als Identity Provider (IdP) im SAML-Modus konfiguriert ist. Dieser Dienst sorgt für eine zentrale, den Sicherheitsstandards entsprechende Authentifizierung.
3. Active Directory-Verzeichnis
Red Hat SSO fragt das Active Directory (AD) ab, um die Identität des Benutzers zu validieren und seine Attribute abzurufen: Gruppenmitgliedschaft, Rolle, interner oder externer Status.
4. Anpassung des Authentifizierungsniveaus
Je nach erkanntem Profil werden zwei Wege ausgelöst:
- Interne Mitarbeiter greifen über eine Standardauthentifizierung auf die Anwendung zu.
- Externe Dienstleister müssen sich mit einem zweiten Faktor authentifizieren, z. B. mit einem Einmalcode oder einer mobilen Anwendung.
5. Rechteverwaltung mit Keycloak
Zugriffsberechtigungen werden anhand von Regeln überprüft, die in Keycloak definiert sind. Diese werden automatisch mit den Active Directory-Gruppen synchronisiert, um eine konsistente Rechtevergabe zu gewährleisten.
6. Endgültiger Zugriff auf die Anwendung
Wenn alle Prüfungen validiert sind, greift der Benutzer auf die Geschäftsanwendung in einem sicheren, unterbrechungs- und reibungslosen Rahmen zu, der den internen Sicherheitsrichtlinien entspricht.
Die Vorteile der Zwei-Faktor-Authentifizierung messen
In der von Qim info implementierten Lösung wird die Multi-Faktor-Authentifizierung (MFA) speziell auf externe Dienstleister angewendet, um die Zugriffssicherheit für diese Nutzer zu erhöhen. Dieser Mechanismus beruht auf der Kombination mehrerer Identifikationsfaktoren, wie z. B. einem Passwort in Verbindung mit einem temporären Code oder einer mobilen Anwendung. Interne Mitarbeiter hingegen profitieren von einem reibungslosen Zugriffsweg, der den Sicherheitsrichtlinien des Unternehmens entspricht.
Dieser differenzierte Ansatz ermöglicht es, die Sicherheit zu erhöhen, ohne die Ergonomie zu beeinträchtigen oder unnötige Hindernisse zu schaffen. Das System erfüllt somit die Anforderungen an Sicherheit, Compliance und Effizienz.
Laut einer von Microsoft Research im Jahr 2023 veröffentlichten Studie reduziert die Implementierung von MFA das Risiko der Kompromittierung von Konten um bis zu 99,22% und selbst im Falle eines Passwortlecks um bis zu 98,56%. Diese Zahlen bestätigen die konkrete Wirksamkeit dieser Art von Vorkehrungen in einer Umgebung mit hohem Sicherheitsrisiko.
Die betrieblichen Vorteile sind vielfältig:
- Ein verstärkter Schutz sensibler Zugänge,
- Eine bessere Nachverfolgbarkeit der Verbindungen,
- Eine Zentralisierung der Zugriffsregeln,
- Eine Harmonisierung der Sicherheitspraktiken über alle Profile hinweg.
Das gesamte System lässt sich auf natürliche Weise in die bereits vorhandenen Tools integrieren, ohne dass die Anwendungsumgebung neu gestaltet werden muss.
Um die Gesamtwirksamkeit der Sicherheitsstrategie zu erhöhen, ist es wichtig, dass diese technischen Maßnahmen durch einen menschlichen Ansatz ergänzt werden. Lesen Sie unseren Artikel: Sensibilisierung Ihres Teams für Cybersicherheit, um zu erfahren, wie Sie Ihr Team effektiv schulen können, um das Risiko menschlicher Fehler zu verringern und eine gemeinsame Sicherheitskultur zu schaffen.
Nutzen Sie die Fachkenntnisse von Qim info in den Bereichen Cloud & DevOps
Innerhalb seiner Abteilung Cloud & DevOpsQim info entwirft robuste Cybersicherheitsvorkehrungen, die auf die tatsächlichen Anforderungen der Organisationen abgestimmt sind. Von der Zugangssicherung bis zum Identitätsmanagement, unsere Experten arbeiten an kritischen Projekten mit bewährten Technologien.
Dieser Ansatz vereint technische Anforderungen, Einhaltung gesetzlicher Vorschriften und Benutzerfreundlichkeit für sichere und leistungsfähige Anwendungsumgebungen. Qim info ist in Genf, Lausanne, Zürich, Basel, Annecy und Lyon vertreten und bietet skalierbare, massgeschneiderte und marktkonforme Lösungen für Cybersicherheit.
Möchten Sie Ihre sensiblen Zugänge verstärken? Unsere Cloud- und DevOps-Spezialisten unterstützen Sie bei der Entwicklung einer maßgeschneiderten Lösung. Um ein besseres Verständnis der mobilisierten Kompetenzen zu erhalten, lesen Sie unseren Artikel: Alles über den Beruf des Ingenieurs für Cybersicherheit.
Entdecken Sie unsere Abteilung Cloud & DevOps Solutions
Entwickeln Sie Ihre Infrastruktur mit agilen und sicheren Cloud-Lösungen weiter, die auf Ihre geschäftlichen Herausforderungen zugeschnitten sind.
