Mobile Geräte besser verwalten

EMM verbessert die Entscheidungsbasis für die Netzwerkzugangskontrolle

04.02.2014 von Christof Baumgärtner
Network Access Control (NAC)-Systeme sind ohne detaillierte Informationen über den jeweiligen Endpoint eindeutig suboptimal. Das gilt besonders in einer Smartphone- oder Tablet-Infrastruktur. Die enge Verzahnung von NAC-Systemen mit einem Enterprise Mobility Management (EMM)-System kann die Entscheidungsbasis bei der Netzwerkzugangskontrolle entscheidend verbessern.
Beim Schutz der Netzinfrastruktur vor Angriffen arbeiten NAC und EMM Hand in Hand.
Foto: Maksim Kabakou, Fotolia.com

Sicherheit setzt Sichtbarkeit voraus, das gilt ganz besonders für "Bring-your-own-Device"-Infrastrukturen. Die Sichtbarkeit bezieht sich zum einen auf das einzelne Mobilgerät als Endpoint, zum anderen auf das gesamte Unternehmensnetz, an das sich die einzelnen Mobilgeräte andocken. Insofern ist es ratsam, die beiden Komponenten mobiler Endpoint und Unternehmensnetz in puncto Sicherheit und Compliance als Einheit zu sehen.

Das gilt sowohl technisch als auch organisatorisch: Technisch bringt die enge Verzahnung der jeweiligen Managementsysteme Mobile Device Management / Enterprise Mobility Management (MDM/EMM) und Network Access Control (NAC) bessere Informationen für eine fundierte Entscheidung beim Netzwerkzugang, organisatorisch erhöht das Zusammenwirken der Kompetenzteams im Mobilbereich mit den traditionellen Netzwerkern nicht nur die Sicherheit und Compliance, sondern senkt auch den Verwaltungsaufwand und damit die Kosten.

Network Access Control und Enterprise Mobility Management sind insofern Technologien, die weitgehend komplementär sind. Während die EMM-Lösung dafür sorgt, dass ein Mobilgerät mit den richtigen Einstellungen (Netzwerkname, SSID, Benutzername, Passwort oder Zertifikat sowie Proxy- und Einwahleinstellungen) versehen wird, sind NAC-Lösungen dazu da, die Geräte, die ans Netz andocken wollen, auf die Korrektheit ihrer Sicherheitseinstellungen (Virenschutz etc.) oder die Identität des Benutzers hin zu überprüfen. Je nach Prüfergebnis wird dann das Gerät zugelassen oder abgewiesen; oder es werden für die Zulassung bestimmte Korrekturmaßnahmen verlangt beziehungsweise nur ein eingeschränkter Netzzugang erlaubt. Einem Endgerät, das keinen aktuellen Virenschutz hat, wird man beispielsweise den Zugriff auf die Unternehmensdatenbank verweigern, den Zugang zum Internet aber vielleicht erlauben.

NAC-Systeme haben im Mobilbereich Nachholbedarf

Während NAC-Systeme im Desktop / Laptop-Bereich ausreichend effizient sind, haben sie in der Welt der Smartphones und Tablets noch einiges zu lernen. So mag im Mobilbereich ein NAC-System zwar (über die MAC-Adresse) erkennen, dass beispielsweise ein Apple-Gerät ins Netz will. Über eine Agentensoftware, die den DHCP-Verkehr beziehungsweise die Browsereingaben überwacht, identifiziert es vielleicht sogar den Mobilgerätetyp (Smartphone oder Tablet).

Gleichwohl bleiben viele blinde Flecken: Das NAC-System ist etwa nicht in der Lage, Betriebssystemmanipulationen wie Jailbreaking oder Rooting zu erkennen. Fehlanzeige ist auch bei der Erkennung von sicherheitsproblematischen Apps zu konstatieren. Auf diesem Terrain verfügt dagegen ein leistungsfähiges EMM-System über sehr genaue Informationen. Mehr noch: diese wichtigen Informationen müssen in der Regel nicht händisch vom Benutzer eingegeben werden, sondern werden automatisch aus dem Unternehmens-Directory entnommen. Änderungen sind dadurch leicht möglich und lassen sich auch bei sich ständig ändernden Benutzeridentitäts-Daten leicht aktuell halten.

MDM-Gartner
Gartners Magic Quadrant
18 Lösungen für Mobile Device Management (MDM) hat Gartner in seine diesjährige Magic Quadrant-Studie aufgenommen. Unsere Bilderstrecke zeigt, wo die Analysten die Anbieter einstufen und wie sie ihre Stärken und Schwächen eingeschätzen.
Marktführer: Citrix
<b>Stärken: </b>Gartner streicht das starke und breite Angebot in allen wichtigen MDM-Gebieten und die integrierten Produkt-Lösungen heraus. Zudem sei Citrix einer der wenigen Anbieter, die sichere Container für Smartphones, Tablets, Macs und PCs anbieten. <br/><br/> <b>Schwächen: </b>Cloud kommt zuerst, On-Premise hinkt hinterher. Kleine und mittlere Firmen stehen nicht im Fokus, der Support für von Mitarbeitern mitgebrachte Consumer-IT ist ausbaufähig. Zudem gibt es XenMobile nur als alleinstehende MDM-Lösung oder als Teil einer ganzen Suite unter anderem im Paket mit MAM. Eine Zusammenstellung nach Wahl ist nicht möglich.
Marktführer: SAP
<b>Stärken: </b>Die Walldorfer Stärken sind vielfältig. Sie reichen laut Gartner von der langfristigen Mobility-Roadmap über die umfassende app-neutrale mobile Container-Strategie bis hin zum umfangreichen Netzwerk an Partnern weltweit. Afaria ist zudem über lange Zeit gereift. Synergien durch Integration mit SAP BusinessObjects oder SAP Hana erscheinen vielversprechend. <br/><br/> <b>Schwächen: </b>Das Kernproblem ist, dass Afaria bisher vorwiegend als ein Element eines SAP-Systems zu haben ist. Gartner erwartet, dass SAP das Tool künftig stärker als Stand-Alone-Lösung vermarkten wird - auf Cloud-Basis und mit niedrigen Per-Device-Tarifen, um Zugangsschranken abzubauen.
Visionär: Symantec
<b>Stärken: </b>Gartner konzediert ein breites integriertes MDM-Angebot, das alle kritischen Komponenten von MDM unterstützt. Hinzu kommen ein großes App-Angebot und integrierte Security-Features wie mobiler Schutz vor Datenverlust sowie Identity & Access Management. Weil Symantec im Consumer-Markt gut aufgestellt ist, ist der Anbieter laut Gartner ein besonders geeigneter Partner für BYOD-Initiativen. <br/><br/> <b>Schwächen: </b>In der breiten Angebotspalette gibt es nach Gartner-Einschätzung Überschneidungen, die manchmal verwirrend sind. Die Preise liegen über dem Durchschnitt. Im MDM-Segment hat Symantec seine Expertise noch nicht so umfassend nachweisen können wie für PCs und Laptops.
Nischenspieler: Sophos
<b>Stärken: </b>Sophos kommt bekanntlich von der klassischen Endpoint-Security-Seite. Gartner betont, dass sich mit ähnlichem Hintergrund nur insgesamt fünf Anbieter im Magic Quadrant positionieren konnten. Auch als MDM-Neuling genieße man da einen Vertrauensvorschuss bei den Kunden. Bereits entwickelt hat Sophos eine ganzheitliche File Sharing Utility mit transparenter Verschlüsselung von Dokumenten auf PCs und mobilen Endgeräten. <br/><br/> <b>Schwächen: </b>Im Vergleich zur Konkurrenz fehlt es an MAM-Funktionen. Im Bereich Zertifikate unterstützt Sophos bisher nur die Microsoft Certificate Services.
Nischenspieler: Trend Micro
<b>Stärken: </b>Das administrative User Interface ist herausragend und extrem übersichtlich aufbereitet. Berichte und Analysen sind pro User erhältlich. Der Enterprise App Store biete eine gemeinsame Sicht inklusive Status-Berichten über iOS und Android-Apps. <br/><br/> <b>Schwächen: </b>Laut Gartner bietet Trend Micro keine Container-Lösungen an. Es hapert an der Kooperation mit externen Zertifizierungsstellen. Überdies werde Datensicherheit als reine Data Loss Prevention-Baustelle begriffen. Deshalb muss man sich eigens für SafeSync anmelden, um File Sharing zu nutzen. Zudem fehlen laut Gartner geeignete Suchfilter zum Beispiel für kritische Emails.

Im Prinzip kann ein mobiles Endgerät durch das NAC-System für den Betrieb im Netzwerk provisioniert werden. In der Regel ist es aber besser, diese Provisionierung über das EMM-System vorzunehmen. Wie bereits erwähnt, muss das NAC-System für wichtige Sicherheitsinformationen wie Jailbreaking und Rooting oder Problem-Apps sowieso auf das EMM-System zurückgreifen. Da sich überdies mit letzterem auch E-Mail-Einstellungen festlegen und Apps installieren lassen, ist es schon deshalb eleganter und effizienter, die Netzwerkeinstellungen gleich zusammen mit der Nutzer-Registrierung beim EMM-System zu erledigen.

Gerade für im BYOD-Modus betriebene Mobilgeräte sind im EMM-System wichtige Richtlinien festgelegt, die man etwa beim Einsatz von Mobilgeräten im Krankenhaus benötigt. In diesem Sektor gibt es strenge gesetzliche Regelungen, was die Einhaltung des Persönlichkeitsschutzes der Patienten betrifft. So sind etwa weder Bildschirmaufnahmen noch Cloud-Filesharing zugelassen, weil Patientendaten auf diesen Wegen möglicherweise die sichere Umgebung verlassen.

EMM-Intelligenz für das gesamte Netzwerk

Im Allgemeinen docken NAC-Komponenten über eine Programmier-Schnittstelle (API) an das EMM-System an. Das NAC-System erkennt beim Andocken eines Mobilgeräts in das Funknetz den Hardware-Identifikator dieses Geräts und fragt daraufhin das EMM-System nach weiteren und detaillierteren Informationen zu dem neuen Gerät. Mindestens will das NAC-System dabei wissen, ob das Gerät nach den Maßstäben des EMM-Systems die vorgegebenen Sicherheitsrichtlinien erfüllt. Auf der Basis der eruierten Daten wird der Netzzugang gewährt, gänzlich oder teilweise abgelehnt, oder es werden Quarantäne- oder Nachbesserungsmaßnahmen angeordnet.

Durch eine Verzahnung von EMM- und NAC-System, die deutlich über die API-Möglichkeiten hinausgeht, erhält das NAC-System zusätzliche Informationen und damit eine weitaus belastbarere Entscheidungsgrundlage. So hat beispielsweise der WLAN-Manager dank der Inventarinformationen von EMM- und NAC-System eine sehr detaillierte Kenntnis über die einzelnen Komponenten im Netz, beispielsweise über die Art und die Sicherheitsqualität der auf dem Gerät installierten Apps.

Profitieren kann die Netzzugangskontrolle auch von den Abwehrmechanismen gegen bewusst oder fahrlässig herbeigeführte Datenabflüsse. Hier sind EMM-Systeme mit entsprechenden Data-Loss-Prevention- (DLP-) Modulen ausgestattet, die als vertraulich klassifizierte Daten nicht an beliebige Kanäle verschickt werden können beziehungsweise dass bei einem Versand der entsprechende Versender genau protokolliert wird.

Enge EMM-NAC-Verzahnung versus API-Lösung

Die Verbindung über die jeweilige API bei EMM- und NAC-System ist mit einigem programmiertechnischen Anpassungsaufwand immer möglich. Angesichts der Synergie-Möglichkeiten zwischen EMM- und NAC-System gibt es mittlerweile aber auch deutlich engere Verzahnungen. So spielt etwa die EMM-Plattform von MobileIron eng mit den NAC-Systemen von Cisco, Enterasys, ForeScout, Aruba und Bradford Networks zusammen. Oft geht die Integration mit Netzwerkherstellern auch noch über die reine NAC-Seite hinaus, so beispielsweise bei MobileIron und Juniper. Hier integriert sich die EMM-Plattform nicht nur eng in die NAC, sondern auch in den Junos Pulse VPN Client. Des Weiteren arbeitet ein WLAN-Sicherheitshersteller wie AirPatrol mit den Informationen von MobileIron, um auf der Basis von Lokalisierungsdaten bestimmte Aktionen zu unterbinden. Beispielsweise kann AirPatrol ein Mobilgerät sofort im Netz sperren, wenn sein Eigentümer in den streng vertraulichen Datenraum eines Unternehmens oder in den Operationssaal eines Krankenhauses eintritt.

Generell gilt: eine API-basierte Verbindung zwischen NAC und EMM ist gut, eine enge spezifische Verzahnung ist weitaus besser. Je besser nämlich das Datenmaterial ist, über das die NAC verfügt, desto fundierter wird die entsprechende Entscheidung bezüglich des Netzwerkzugangs sein. (mb)

* Christof Baumgärtner ist Director Zentral- und Osteuropa bei MobileIron.