FAQ für macmon SDP

Ressourcen können alles sein. Der Schutz erfolgt entweder durch ein vorgelagertes Gateway (lokal oder auch in der Cloud) oder durch eine hochwertige Single Sign On-Authentifizierung per SAML oder OpenID. In den Richtlinien können daher sowohl einzelne Applikationen freigegeben werden, als auch z.B. Netzbereiche, einzelne IPs, bestimmte Protokolle / Ports, etc.

Die Anmeldung bei SDP und VPN unterscheidet sich grundlegend für den Benutzer erstmal nicht. Es gibt jeweils einen Agenten, an dem der Benutzer sich authentifizieren muss. Der macmon SDP-Agent prüft jedoch nicht nur die Benutzerdaten, sondern auch die Identität und den Sicherheitsstatus des Endgerätes. Diese Informationen werden dann im Hintergrund an den Controller übermittelt und geprüft. Ergänzend bietet die GUI des SDP-Agenten mit der Darstellung der verfügbaren Ressourcen in Form von Kacheln und Links mehr Komfort als eine VPN-Lösung.

Wir von macmon verwenden unter anderem WireGuard als aktuell neueste VPN-Technologie und kombinieren das mit einer selbst entwickelten Steuerung, wer und was den Tunnel verwenden darf. Damit können wir mit erheblich geringeren „Altlasten“ agieren. Weiterhin können wir gerade für die Anbindung von Ressourcen in private Clouds den Weg erheblich verkürzen und den Verbindungsumweg über die lokale Infrastruktur eliminieren. Hier liegt also der Vorteil vor allem in der direkteren Anbindung ohne eventuelle Engpässe durch begrenzte lokale Bandbreiten.

Die Reduzierung der Verbindungsmöglichkeiten auf genau die Ressourcen, die jeder einzelne Benutzer für seine Arbeit benötigt, reduziert gleichzeitig die Angriffsfläche für einen Angreifer. Sollte z.B. jemand einen Laptop und die Zugangsdaten eines Mitarbeiters „erbeuten“ und damit Verbindung zum Unternehmen aufbauen, so kann dieser Angreifer nicht gleich auf das ganze Netzwerk zugreifen. Durch die erweiterte Reduzierung auf bestimmte Ports wird dieser Schutz nochmal erhöht. Ein Angreifer könnte also das CRM nur über die Webseite (https) erreichen, aber nicht den darunterliegenden Server zusätzlich mit einem PortScan auf Sicherheitslücken abchecken, um ihn zu übernehmen und so weitere Zugriffsmöglichkeiten ins Netzwerk zu erhalten. Auch Viren, Würmer und Trojaner verteilen sich gerne selbständig in einem Netzwerk. Sind jedoch die anderen Clients und auch die Server gar nicht erreichbar, sondern eben nur die Webseiten der jeweiligen Applikationen, kann sich auch eine Malware nicht so einfach weiterverbreiten. Diese Maßnahme fällt unter den Begriff der Mikrosegmentierung.

macmon secure ist ein bewährter Hersteller für Netzwerksicherheit. Wie schon bei unserer NAC-Lösung, haben wir den Fokus auf eine einfache Bedienung und Nutzung gelegt. Gerade durch das Angebot als Cloud Service werden den Administratoren viele Aufwände abgenommen und eine Inbetriebnahme ist einfacher und schneller als bei jeder klassischen VPN-Lösung.

Der macmon SDP-Agent ist eine „Cross-Plattform-Lösung“ und kann auf Endgeräten mit den Betriebssystemen Windows, mac OS, Linux, Android und iOS betrieben werden. Grundsätzlich arbeitet der Agent dabei „transparent“, kommuniziert mit dem Cloud-Controller und stellt nach erfolgreicher Authentifizierung die gesicherten Verbindungswege bereit.

Eine Anmeldung reicht, um alle Tunnel aufzubauen – also die Verbindung zu lokalen Ressourcen und zu Ressourcen in Private Clouds. Ressourcen in Public Clouds erfordern die Nutzung der Single Sign On-Technologie, welche aktuell eine Anmeldung im Browser erfordert.

Es gibt verschiedene Strategien bei der Einführung, um möglichst schnell von den Mehrwerten profitieren zu können. Zum Beispiel kann im ersten Schritt die bestehende VPN-Lösung einfach ersetzt werden – in der Regel sind dafür lediglich wenige Regeln, das Verteilen der Agenten und die Inbetriebnahme des Gateways erforderlich. Da auch ein Parallelbetrieb mit einem klassischen VPN kein Problem ist, kann so sehr sanft migriert werden. In Summe ist ein Wechsel in wenigen Stunden zuzüglich der Agentenverteilung gemacht. Darauf aufbauend können dann nach und nach Ressourcen ergänzt werden.

Genaugenommen kommt hier einer der größten Vorteile der cloudbasierten SDP-Lösung zum Tragen. Zum Beispiel kann mit einem Gateway gestartet werden, wenn die Ressourcen intern bereits verfügbar sind. Zur Erhöhung der Verfügbarkeit und Reduzierung des Traffics können dann weitere Gateways je Standort mit IT-Ressourcen in Betrieb genommen werden. Cloudbasierte Ressourcen und Applikationen sind direkt über macmon-eigene Cloud-Gateways erreichbar, so dass hier seitens des Kunden keine Aufwände entstehen.

Die Agenten besitzen bereits eine Build-In Authentifizierung, bei der die Identität des Endgerätes genau geprüft wird. Für die Verbindungen zu den Gateways kommt eine transparente verschlüsselte Kommunikation auf Basis von je Verbindung wechselnden Shared Secrets zum Einsatz – eine eigene PKI wird also nicht benötigt.

Ja, unser Ansatz ist multimandantenfähig. Sie können also Mandanten/Kunden oder Auftraggeber bedienen, ohne dass diese gegenseitigen Einblick in ihre Daten, Benutzerverwaltung etc. haben.

Die Richtlinien werden individuell im SDP-Controller auf Benutzer- und Geräteebene festgelegt.

Das Gateway wird zur Vereinfachung als OVF (Open Virtualization Format) also als virtuelle Appliance angeboten. Auf Anfrage steht aber auch ein Debian Package bereit, welches auf einer dedizierten Hardware mit einem vorinstallierten Debian Linux installiert werden kann. Die Konfigurationsschritte sind dann naturgemäß ein wenig mehr, da wir sie nicht, wie bei der virtuellen Appliance, schon vorab übernehmen können. Selbstverständlich können wir aber bei der Inbetriebnahme unterstützen, so dass dies kein Problem ist.

Ja, das SSO von macmon SDP wird für alle SAML-fähigen Applikationen unterstützt. Mittels Azure Active Directory (Azure AD) als Identity Provider in macmon SDP können sich zum Beispiel Benutzer durch macmon SDP mit Single Sign On oder per Multifaktor-Authentifizierung an Microsoft Azure und Office365 Anwendungen anmelden. 

Tutorial ansehen 

Ja, es bestehen verschiedene Möglichkeiten, mit SDP eine starke Authentifizierung (MFA/2FA) durchzuführen. Neben der Anbindung von Swivel Secure oder der Alternative, dass der macmon SDP-Agent als zweiten Faktor für eine Authentifizierung genutzt werden kann. Unterstützen wir alles, was auf den Standard FIDO2 aufsetzt. Dazu zählen zum Beispiel Authenticator Apps von Microsoft oder Google, YubiKey -Security-Token der Firma Yubico und Windows Hello. Zusätzliche Informationen können Sie in unserem Whitepaper zu diesem Thema nachlesen.

Prinzipiell ja, jedoch besteht gemäß der Nutzungsbedingungen ein monatliches Limit pro User. Wird dieses überschritten, so wird eine weitere Lizenz je User, der das Limit überschreitet benötigt. Die jeweils aktuellen Fassungen der macmon Lizenz- und Nutzungsbedingungen können Sie unter https://www.macmon.eu/legal einsehen. Die Frage wirft jedoch eine grundsätzliche weitere Frage bzgl. der geplanten Nutzung auf – der Ansatz von ZTNA ist ja, explizit zu definieren welcher Traffic durch einen Tunnel geht und dass nur bestimmte Ressourcen erreichbar sein sollen. Das erhöht die Sicherheit und minimiert auch gleichzeitig den Traffic, so dass das Erreichen des Limits höchst unwahrscheinlich ist, da alles andere eben direkt ins Internet gehen kann und nicht durch ein Cloud-Gateway muss.

Beide Produkte können vollkommen eigenständig und unabhängig voneinander genutzt und betrieben werden. Zukünftig wird es diverse Integrationen geben, zu denen aber noch keine weiteren Details kommuniziert werden können.

macmon SDP ist im MSP-Modell verfügbar. Tatsächlich wurde macmon SDP sogar vordringlich als Service geplant, bei dem wir als Hersteller die Infrastruktur stellen, aber Managed Service Provider die Dienstleistungen wie die Verwaltung und Administration erbringen. Die umfangreiche Mandantenfähigkeit erlaubt dabei eine granulare Steuerung wer Zugriff bekommt und entsprechende Konfigurationen erbringen kann - und damit auch der MSP.

Mehr zu macmon SDP as a Service

macmon SDP wird weltweit nur indirekt vertrieben. Das bedeutet, dass die Lösung nicht direkt von der macmon secure GmbH bezogen wird, sondern über einen unserer Partner, die auch beratend beim Test, der Lizenzierung und der Einführung zur Seite stehen. Für Partner erfolgt der Bezug über unsere Distribution.

Jetzt macmon kontaktieren

Sie haben verschiedene Möglichkeiten, sich genauer mit macmon zu beschäftigen. Hier können Sie eine Testanfrage starten. Unsere Mitarbeiter werden sich innerhalb weniger Stunden mit einer Demoversion bei Ihnen unverbindlich melden.

macmon SDP testen

Für weitere Informationen zu macmon SDP und die Funktionsweise empfehlen wir Ihnen unsere Produktseiten.

Auf unserem YouTube-Kanal finden Sie viele hilfreiche Tutorial zu macmon SDP.

Aktuelle Webinare finden Sie hier. Zur Anmeldung