Einige verwaltete Geräte befinden sich dauerhaft außerhalb des Hauptnetzwerks (z. B. Computer in regionalen Unternehmensniederlassungen, Kiosks, Geldautomaten, an verschiedenen Point-of-Sales installierte Terminals, Computer im Home-Office von Angestellten). Einige Geräte bewegen sich von Zeit zu Zeit außerhalb des Perimeters (z. B. Laptops von Benutzern, die regionale Niederlassungen oder das Büro eines Kunden besuchen).
Auch von solchen mobilen Geräten muss der Schutz überwacht und verwaltet werden, d. h. es muss möglich sein, aktuelle Informationen über den Schutzstatus der Geräte abzurufen und die auf ihnen installierten Sicherheitsanwendungen aktuell zu halten. Dies ist beispielsweise wichtig für den Fall, in dem ein solches Gerät kompromittiert wird, während es sich außerhalb des Hauptnetzwerks befindet. In der Folge kann das Gerät beim erneuten Verbinden mit dem Hauptnetzwerk zu einer Plattform sich ausbreitender Bedrohungen werden. Sie können zwei Methoden verwenden, um mobile Geräte mit dem Administrationsserver zu verbinden:
Schema des Datenverkehrs: Administrationsserver im LAN, verwaltete Geräte im Internet, Verbindungs-Gateway wird verwendet.
Schema des Datenverkehrs: Administrationsserver in DMZ, verwaltete Geräte im Internet
Ein Verbindungs-Gateway in der DMZ
Eine empfohlene Methode zum Verbinden von mobilen Geräten mit dem Administrationsserver besteht darin, eine DMZ im Netzwerk des Unternehmens zu organisieren und ein Verbindung-Gateway in der DMZ zu installieren. Externe Geräte verbinden sich mit dem Verbindungs-Gateway und der Administrationsserver innerhalb des Netzwerks initiiert die Verbindung zu den Geräten über das Verbindungs-Gateway.
Im Vergleich zu der anderen Methode ist diese sicherer:
Außerdem erfordert ein Verbindungs-Gateway nicht viele Hardware-Ressourcen.
Der Konfigurationsprozess dieser Methode ist jedoch komplexer:
So fügen Sie einem zuvor konfigurierten Netzwerk ein Verbindungs-Gateway hinzu:
Administrationsserver in der DMZ
Eine andere Methode ist die Installation eines einzelnen Administrationsservers in der DMZ.
Diese Konfiguration ist weniger sicher als die andere Methode. Um in diesem Fall externe Laptops zu verwalten, muss der Administrationsserver Verbindungen von jeder Adresse im Internet akzeptieren. Es werden weiterhin alle Geräte im internen Netzwerk verwaltet, jedoch erfolgt dies aus der DMZ. Daher kann ein kompromittierter Server trotz der geringen Wahrscheinlichkeit eines solchen Ereignisses einen enormen Schaden verursachen.
Das Risiko wird erheblich geringer, wenn der Administrationsserver in der DMZ keine Geräte im internen Netzwerk verwaltet. Eine solche Konfiguration kann beispielsweise von einem Dienstanbieter verwendet werden, um die Geräte von Kunden zu verwalten.
Möglicherweise möchten Sie diese Methode in den folgenden Fällen verwenden:
Auch diese Lösung birgt mögliche Schwierigkeiten: