Sicherer Zugriff auf Unternehmensressourcen mit dem F5 Access Policy Manager
Heute möchte ich mit dem ersten technischen Beitrag in meinem Blog über den Access Policy Manager (APM) berichten und diesen mit seinen Vorzügen vorstellen. Zugegeben das ganze erstmal High-Level. Ans „Eingemachte“ machen wir uns dann später.
Das APM-Modul gibt es als Standalone-Lösung auf der 1600'er Platform oder als so genanntes Edge-Gateway in der Kombination mit dem WAN-Optimisation Modul (WOM) und dem Webacceleration-Modul (WAM) und als klassisches Add-On Modul zum Local Traffic Manager (LTM). Eine oft gewählte Variante ist das Tripplet bestehend aus LTM/APM/ASM. ASM (Application Security Modul) ist die WebApplication Firewall (WAF) von F5.
Wofür verwendet man nun aber das APM-Modul? APM kümmert sich um die Zugangskontrolle zu Ressourcen, wie Applikationen oder Netzbereiche. Hierbei ist es wichtig zu erwähnen, dass dies enorm flexibel in Abhängigkeit unterschiedlichster Kriterien erfolgen kann. Einige Beispiele sind hierbei sicher die Client-IP-Adresse, User-Zertifikat, Gruppenzugehörigkeit des Users, Antivirus-Status des sich verbindenden Rechners, Betriebssystem, Browser usw. .
Aus diesen und weiteren Kriterien kann entschieden werden, auf welche Ressourcen ein Nutzer zugreifen darf. Also welche Applikationen ihm zur Verfügung stehen oder vielleicht auf welche URLs einer Applikation er unter diesen Bedingungen zugreifen darf oder eben nicht. Es kann aber auch bestimmt werden, welche Anwendungen dem Nutzer in seiner Citrix-VDI Umgebung angezeigt werden sollen. APM kann somit auch als ICA-Proxy arbeiten.
Für Nutzer von Applikationen ist es wichtig, dass diese sich idealerweise nur einmal an einem System anmelden und anschliessend, mit Hilfe von Single-Sign-On Mechanismen des Authentifizierungsgateways, dies nicht mehr tun müssen, wenn Sie auf weitere Applikationen zugreifen. Auch darum kümmert sich das APM-Modul. Hier können die Authentisierungsmethoden auf der Clientseite auch durchaus anders sein, als auf der Serverseite. Methoden wie HTTP Basic, HTTP Form, HTTP Header, NTLM (v1,v2), Kerberos, OAM, Cookie, SAML, RSA Token, Zertifikat,... werden dabei unterstützt.
Hilft APM nur bei HTTP-Anwendungen?
Nein, natürlich nicht. Auch wenn man sagen kann, dass etwa 80% aller Netzwerk-Applikationen inzwischen auf HTTP(S)basieren, gibt es eine Menge weitere Protokolle, die ebenfalls Verwendung finden und APM seine Flexibilität dabei nutzen kann.
Vorhin habe ich das Beispiel Citrix in VDI-Umgebungen (Xenapp/Desktop) genannt. Ebenso kann APM aber auch mit Microsoft RDP oder VMware View umgehen. Oder denken wir an ActiveSync oder Outlook Anywhere.
Hier kann man eine Menge weitere Beispiele anfügen, aber gerne möchte ich noch ein weiteres Aufgabenfeld des Access Policy Managers ansprechen.
Remote Access (SSL-VPN)
Der Zugang zu Netzwerkressourcen kann ebenfalls konfiguiert werden. Hierbei wird ein Layer 3 Tunnel über ein SSL-VPN genutzt. Über diesen kann dann der Client auf das interne Netzwerk zugreifen. Selbstverständlich können auch hier wieder die unterschiedlichen Authentifizierungsmethoden zum Einsatz kommen. Natürlich auch mehrmals, um eine sogenannte Mehrfachauthentifierung zu realisieren.
Ein einfaches Beispiel dazu: Der Client verbindet sich mit dem APM über den sogenannten Edge-Client. Das ist ein Stück Software zum Errichten des VPN Tunnels. Dieses Tool ist, nebenbei erwähnt, keine zwingende Vorraussetzung. Dazu aber in späteren Artikeln mehr. Nun, zunächst wird der Rechner des Users überprüft, ob eine aktive Firewall sowie ein aktueller Virenschutz vorhanden ist. Das ist in unserem Beispiel eine zwingende Voraussetzung, um überhaupt in unser Netzwerk zu dürfen. Aber natürlich ist dies nicht ausreichend, schliesslich wollen wir sicher gehen, dass der Nutzer entsprechende Credentials (Username, Passwort) hat, mit denen er sich gegenüber dem Active Directory (AD) authentifizieren muss. Sind diese valide, befragen wir das AD noch nach den Gruppenzugehörigkeiten, um eine entsprechende Authorisation durchzuführen. Ist der User in der Administratorengruppe, darf er nämlich auf ganz andere Netzwerkbereiche zugreifen als der „normale“ Nutzer. Anschliessend wird der Tunnel in das Firmennetz errichtet und der User kann von remote auf die Applikationen oder Netzwerke zugreifen.
Dies ist natürlich nur ein einfaches Bespiel, gibt vielleicht aber schon eine Idee, wie flexibel das APM-Modul ist. Insbesondere, wenn man weiss, dass solche Regelwerke sehr schön graphisch über einen sogenannten Visual Policy Editor (VPE) erstellt werden können.
Ich hoffe, ich konnte Ihnen einen ersten Überblick über den F5 Access Policy Manager (APM) Modul geben. In den nächsten Beiträgen möchte ich dann beginnen einige Konfigurationen zu besprechen.