Die Alternative zu VPN: Externer Zugriff mit Zero Trust

6. Oktober 2022

Ortsunabhängiger Zugriff

In Firmen gibt es unterschiedlichste Ansätze, die internen Systeme sicher für die eigenen Mitarbeiter:innen verfügbar zu machen. Eine der bekanntesten Verfahren ist VPN: Hier wird eine Verbindung zum Firmennetzwerk aufgebaut, sodass die Systeme wie im Büro genutzt werden können. Ein Nachteil von VPN ist, dass ein Admin diesen Zugang einrichten und bei jedem Handy- oder Computerwechsel dieser Zugang neu konfiguriert werden muss.

Eine Alternative in Firmen, die ihre Anwendungen bereits browserbasiert bereitstellen, ist Zero Trust. Es gibt verschiedene Arten von Zero Trust, wir konzentrieren uns im Folgenden auf den Schutz von http-/https-Seiten.

Viele Anwendungen, insbesondere im Open-Source-Bereich, sind über Webseiten erreichbar. Das gilt nicht nur für administrative Seiten, sondern auch für Webseiten für Benutzer:innen. So können beispielsweise die Zeiterfassung sowie Rechnungs- und Ticketsysteme über den Browser aufgerufen werden.

Übrigens: Ein weiteres System, das wir intensiv einsetzen, ist Nextcloud. In Nextcloud können außerdem Dokumente (Word, Excel, etc.) direkt im Browser bearbeitet werden.

Von großem Nutzen ist Zero Trust auch deshalb, da interne Webseiten, die nicht mehr den neuesten Sicherheitsstandard erfüllen, über Zero Trust geschützt werden können.


Welches System ist das beste für Ihre Firma?

Bei uns können Sie sich zwischen 2 Modellen entscheiden:

1) Cloudflare Zero Trust

2) Open Source mit oauth2proxy und traefik


1) Cloudflare Zero Trust

Cloudflare bietet eine einfach einzurichtende und flexible Lösung für Zero Trust.

Vorteile:

  • schnell und einfach konfiguriert
  • kostenlos für kleine Firmen
  • zusätzlicher Schutz vor Bot- und DDOS-Angriffen

    • Nachteile:

  • kein europäisches Unternehmen, da es aus den USA kommt (für viele ein NoGo wegen der DSGVO)
  • Beschränkung von Uploads auf 100MB

    • Cloudflare ist nicht der einzige Anbieter, von „Content Delivery Networks“ (CDN), allerdings gibt es aktuell keinen europäischen, uns bekannten Anbieter, der Zero Trust anbietet und sich mit dem eigenen Authentifizierungsprovider (Keycloak) verbinden kann.


    2) Open Source mit oauth2proxy und traefik

    Wir bieten überdies eine Lösung an, die sowohl bei uns im Rechenzentrum als auch beim Kunden installiert werden kann.

    Hier wird Zero Trust mit mehreren Open-Source-Lösungen umgesetzt:

  • traefik als Reverse Proxy
  • oauth2proxy um zu prüfen, ob der/die Benutzer:in in Keycloak angemeldet ist
  • Keycloak zur Benutzerverwaltung (wird auch bei Cloudflare verwendet)

    • Vorteile:

  • alle Daten beim Hoster und/oder beim Kunden, keine 3 Unternehmen
  • keine Upload-Beschränkung wie bei Cloudflare
  • alles in Europa/Deutschland

    • Nachteile:

  • etwas mehr Verwaltungsaufwand
  • kein DDOS- und Botnetzschutz

    • Ein DDOS- und Botnetzschutz kann allerdings durch das Dazuschalten eines europäischen CDNs behoben werden.

    Beispiele:

  • Myra Security GmbH (Deutschland)
  • Leaseweb (Niederlande)
  • KeyCDN (Schweiz)
  • Bunny (Slowenien)
  • und viele weitere europäische Anbieter


    • Die Umsetzung mit Zero Trust im Überblick

    Zero Trust mit und ohne Cloudflare

    Die Entscheidung, welche Lösung genutzt wird, überlassen wir nach einer kurzen Beratung ganz unseren Kund:innen.


    Eure
    Textor & Team IT Service GmbH

    Kontaktiere uns gerne für weitere Informationen.

    Hier gehts zum Kontakt →