Citrix betritt Security-Terrain

Wolfgang Miedl arbeitet Autor und Berater mit Schwerpunkt IT und Business. Daneben publiziert er auf der Website Sharepoint360.de regelmäßig rund um Microsoft SharePoint, Office und Social Collaboration.
Der Name Citrix stand bisher für Terminal-Server und Thin Clients. Mit seiner "Access Suite 4.0" positioniert sich der Hersteller nun samt Hardware und VPN-Technik auch als Anbieter für sichere Zugriffslösungen.

Mit der Access Suite bleibt Citrix im Kern seinen Wurzeln treu. So stellt der "Presentation Server 4.0" eine überarbeitete und erweiterte Version des bewährten Terminal-Servers dar. Neu hingegen sind die vielfältigen Erweiterungen in Sachen Fernzugriff, mit denen sich Citrix nun in die Riege der Security-Anbieter einreiht. Dabei erscheint dieser Schritt durchaus logisch, wurde doch bereits in der Vergangenheit der Presentation Server in vielen Firmen wegen seiner Sicherheitsfunktionen eingesetzt. Diese stellen quasi ein Nebenprodukt des Thin-Client-Prinzips dar: Weil sich die Kommunikation zwischen Terminal-Server und Client auf verschlüsselte Maus- und Tastatureingaben sowie Bilddaten der Benutzeroberfläche beschränkt, verlassen kritische Daten zu keinem Zeitpunkt das Firmennetz. Allerdings hat diese Technik auch Nachteile, indem sie beispielsweise ausschließlich das Citrix-eigene ICA-Protokoll anbietet.

Deutlich flexibler

Die Access Suite 4.0 geht darüber hinaus und verspricht in jeder Situation einen Zugang ins Firmennetz - und zwar völlig unabhängig davon, welche Anwendung, welches Endgerät oder welches Protokoll im Unternehmen verwendet werden soll. Typische Beispielszenarien für eine Universallösung wären etwa ein Außendienstmitarbeiter, der via UMTS-Laptop auf die CRM-Anwendung seiner Firma zugreift (Browser/HTTP), eine Sekretärin, die im Home Office ihre Outlook-Termine und Mails synchronisiert (MAPI-Protokoll) oder der Geschäftsführer, der von unterwegs aus Excel-Berichte vom Abteilungs-Server abgreift (SMB-Protokoll).

Um diese Vielfalt an Kommunikationsmechanismen auf möglichst einfache und sichere Weise bereitzustellen, hat Citrix die Access Suite um eine neue Hardware-Appliance erweitert. Beim "Access Gateway Enterprise" handelt es sich um eine SSL-VPN-Appliance im 19-Zoll-Rack-Format, deren Technik von der kürzlich übernommenen Firma Net6 stammt. Wie Brad Peterson, Director Business Development bei Citrix, betont, unterscheide man sich damit technisch von den vielen etablierten Appliance-Anbietern am Markt: "Die bisher üblichen Security-Lösungen für Fernzugriff basieren entweder auf IPsec-VPN- oder SSL-VPN-Technik. Anwender müssen bei diesen Techniken etliche Kompromisse in Kauf nehmen, während unsere Universal-SSL-VPN-Appliance die Vorteile beider Ansätze kombiniert."

Die Gateway-Appliance wird als Schaltstelle für den ein- und ausgehenden Datenverkehr in der DMZ (Demilitarisierte Zone) platziert - also in der Pufferzone zwischen dem internen Netz und dem Internet. Seine volle Funktion entfaltet das Gerät erst in Verbindung mit einer kleinen Softwarekomponente, die auf den Clients installiert werden muss. Diese ist für das Routing und die Überwachung von Sicherheitsrichtlinien zuständig. Die Installation ist jedoch einfach, jeder neu hinzugekommene PC kann den Zusatz über das Netz laden und installieren.

Aus Sicht der Anwender ergeben sich mit der Access Suite 4.0 insbesondere in zwei Bereichen spürbare Vorteile - Citrix nennt sie "Smart Access" und "Smooth Roaming". Smart Access beruht auf dem mittlerweile geläufigen Endpoint-Security-Prinzip. Bei dieser Art des Fernzugriffs prüft das Gateway zunächst die Vertrauenswürdigkeit des Benutzers sowie den Sicherheitsstatus seines Computers. Erfüllt der Client die Richtlinien, indem er etwa mit aktuellem Virenscanner und den neuesten System-Patches versehen ist, und verfügt der Anwender über ausreichende Benutzerrechte, so erhält er Vollzugriff auf das System.

Anwendungen einbezogen

Eine raffinierte Detaillösung bildet auch die Integration von Anwendungsfunktionen in dieses Sicherheitskonzept. So lassen sich beispielsweise Office-Anwendungen wie Word oder Excel vom Server aus "an die Leine" legen. Je nachdem, wie sicher das Access Gateway die externe Client-Umgebung einstuft, stellt es dem Benutzer mal mehr, mal weniger Editierfunktionen zur Verfügung. Beendet er die Sitzung, werden alle Datenspuren etwa am öffentlichen Rechner beseitigt.

Mit Smooth Roaming verbessert Citrix die Möglichkeiten, von unterschiedlichen Orten aus auf den persönlichen Desktop zuzugreifen. Eine der zentralen Funktionen ist das "Einfrieren" einer Sitzung. Wechselt der Anwender den Standort, kann er genau an dem Punkt weiterarbeiten, wo er zuvor aufgehört hat. Neu ist auch "Proximity Printing". Mobilen Benutzern steht dabei jederzeit automatisch der am nächsten gelegene Drucker zur Verfügung, eine umständliche Auswahl des richtigen Geräts entfällt. "Hot Desktop Single Sign-on" schließlich vereinfacht den Logon an der Arbeitsstation und den jeweiligen Firmenanwendungen. Auf Basis der Access-Suite-Komponente "Password Manager" stellt es an jedem beliebigen Zugriffspunkt die zentral gespeicherten Passwörter automatisch zur Verfügung. (ue)