Access Point ist eine Sicherheits-Appliance der Schicht 7, die normalerweise in einer demilitarisierten Netzwerkzone (DMZ) installiert ist. Access Point wird verwendet, um sicherzustellen, dass nur Datenverkehr in das Datencenter des Unternehmens gelangt, der zu einem sicher authentifizierten Remotebenutzer gehört.
Eine der Konfigurationseinstellungen für Access Point betrifft die Anzahl der zu verwendenden virtuellen NICs (Network Interface Cards). Wenn Sie Access Point bereitstellen, wählen Sie eine Bereitstellungskonfiguration für Ihr Netzwerk aus. Sie können eine, zwei oder drei NICs festlegen, die mit „onenic“, „twonic“ oder „threenic“ angegeben werden.
Eine Verringerung der Anzahl der offenen Ports in den einzelnen virtuellen LANs und eine Trennung der verschiedenen Typen von Netzwerkdatenverkehr kann eine signifikante Verbesserung der Sicherheit bewirken. Die Vorteile ergeben sich hauptsächlich durch das Trennen und Isolieren der verschiedenen Typen von Netzwerkdatenverkehr im Zuge einer Defense-in-Depth-Sicherheitsstrategie für die DMZ. Dies kann entweder durch die Implementierung von separaten physischen Switches in der DMZ, durch mehrere virtuelle LANs in der DMZ oder durch eine vollständig durch VMware NSX verwaltete DMZ erreicht werden.
Typische DMZ-Bereitstellung mit einer NIC
Die einfachste Bereitstellung von Access Point erfolgt mit nur einer NIC, bei der der gesamte Netzwerkdatenverkehr in einem einzigen Netzwerk kombiniert ist. Datenverkehr von der Internet-seitigen Firewall wird an eine der verfügbaren Access Point-Appliances geleitet. Access Point leitet den autorisierten Datenverkehr dann durch die innere Firewall an Ressourcen im internen Netzwerk. Access Point blockiert nicht autorisierten Datenverkehr.
Trennung von nicht authentifiziertem Benutzerdatenverkehr von Back-End- und Verwaltungsdatenverkehr
Besser als eine Bereitstellung mit einer NIC ist eine Bereitstellung mit zwei NICs. Die erste NIC wird weiterhin für Internet-seitige nicht authentifizierte Zugriffe verwendet, der authentifizierte Back-End-Datenverkehr und der Verwaltungsdatenverkehr befinden sich jedoch separat in einem anderen Netzwerk.
In einer Bereitstellung mit zwei NICs muss der Datenverkehr, der durch die innere Firewall in das interne Netzwerk gelangt, durch Access Point autorisiert werden. Nicht autorisierter Datenverkehr gelangt nicht in dieses Back-End-Netzwerk. Verwaltungsdatenverkehr wie die REST-API für Access Point befindet sich ausschließlich in diesem zweiten Netzwerk.
Wenn ein Gerät, z. B. der Lastausgleichsdienst, im nicht authentifizierten Front-End-Netzwerk kompromittiert wurde, dann ist es in einer Bereitstellung mit zwei NICs nicht möglich, das Gerät so umzukonfigurieren, dass Access Point umgangen wird. Firewall-Regeln der Schicht 4 sind mit der Access Point-Sicherheit der Schicht 7 kombiniert. Ähnlich verhält es sich, wenn die Internet-seitige Firewall dahingehend falsch konfiguriert wurde, dass TCP-Port 9443 geöffnet ist. In diesem Fall wird die REST-API für die Verwaltung von Access Point nicht für Internetbenutzer verfügbar. Bei einem Defense-in-Depth-Prinzip kommen mehrere Sicherheitsstufen zum Einsatz, wodurch ein einzelner Konfigurationsfehler oder Systemangriff nicht zwingend zu einer allgemeinen Gefährdung führt.
In einer Bereitstellung mit zwei NICs befinden sich zusätzliche Infrastruktursysteme, wie DNS-Server oder RSA SecurID-Authentifizierungsmanager-Server in der Regel im Back-End-Netzwerk innerhalb der DMZ, sodass diese Server im Internet-seitigen Netzwerk nicht sichtbar sind. Wenn sich Infrastruktursysteme in der DMZ befinden, schützt dies vor Angriffen der Schicht 2, die aus dem Internet-seitigen LAN von einem kompromittierten Front-End-System stammen, und sorgt für eine effektive Verringerung der Gesamtangriffsfläche.
Der größte Teil des Access Point-Netzwerkdatenverkehrs betrifft die Anzeigeprotokolle für Blast und PCoIP. Mit einer einzigen NIC wird der Anzeigeprotokolldatenverkehr in das und aus dem Internet mit dem Datenverkehr in die und aus den Back-End-Systemen kombiniert. Wenn zwei oder mehr NICs verwendet werden, wird der Datenverkehr auf die Front-End- und Back-End-NICs und -Netzwerke verteilt. Dies beseitigt den potenziellen Engpass einer einzigen NIC und bietet Leistungsvorteile.
Access Point unterstützt eine weitere Trennung, indem auch der Verwaltungsdatenverkehr in ein spezifisches Verwaltungs-LAN verlagert werden kann. HTTPS-Verwaltungsdatenverkehr an Port 9443 kann dann nur aus dem Verwaltungs-LAN stammen.