Microsoft Azure wirkungsvoll absichern
Mehr Datensicherheit dank Multi-Faktor-Authentifizierung
Um Prozesse zu beschleunigen und somit effizienter zu arbeiten, ist die Verfügbarkeit von Remote-Diensten über das Internet heute unabdingbar. Doch dies birgt beispielsweise bei fehlender Verschlüsselung höhere Risiken für das Unternehmen. In der klassischen Konfiguration wird oft nur auf Benutzername und Passwort zur Anmeldung gesetzt, während die Verbindung zwischen Endnutzer und Rechenzentrum nicht gesichert ist. Häufig befinden sich die Remote-Desktop-Sitzungshosts und virtuellen Desktops aber mitten im Herzen des eigenen Rechenzentrums oder einer in die Cloud ausgelagerten Infrastruktur. Ein unbefugter Zugriff darauf hätte sehr schnell fatale Folgen für die IT, die Daten oder das Geschäft. Zur Absicherung konnten IT-Verantwortliche bisher externe Authentifizierungs-Provider nutzen. Mit Microsoft Azure ist nun die Bereitstellung von Remote-Desktops sowie die Authentifizierung aus einer Hand möglich.
- Multi-Faktor-Authentifizierung in der Praxis
Server-Manager: RDS Deployment nach Installation aller Rollen. - Multi-Faktor-Authentifizierung in der Praxis
Server-Manager: Installation der Zertifikate. - Multi-Faktor-Authentifizierung in der Praxis
Azure Portal: Erstellen eines Anbieters für Multi Factor Authentication. - Multi-Faktor-Authentifizierung in der Praxis
Azure Portal: Startseite zur Konfiguration des MFA Service. - Multi-Faktor-Authentifizierung in der Praxis
RD Gateway: Umstellung der Authentifizierung auf einen zentralen NPS. - Multi-Faktor-Authentifizierung in der Praxis
RD Gateway: RADIUS Konfiguration in der Konsole des NPS. - Multi-Faktor-Authentifizierung in der Praxis
MFA Server: Einrichtung des Synchronisierungsjobs. - Multi-Faktor-Authentifizierung in der Praxis
Outlook: Willkomms-E-Mail mit Start PIN. - Multi-Faktor-Authentifizierung in der Praxis
MFA User Portal: Startseite nach dem Login eines Benutzers. - Multi-Faktor-Authentifizierung in der Praxis
RD Webaccess: Initiierung einer Remote Desktop Verbindung. - Multi-Faktor-Authentifizierung in der Praxis
Smartphone: Mobile App zur Authentifizierung (Hinweis zur Authentifizierung kommt als Push Nachricht aufs Handy). - Multi-Faktor-Authentifizierung in der Praxis
Smartphone: Eine weitere Möglichkeit der Authentifizierung ist ein Anruf durch den MFA Service. - Multi-Faktor-Authentifizierung in der Praxis
Smartphone: Eine weitere Möglichkeit stellt die Authentifizierung über Kurznachrichten dar. - Multi-Faktor-Authentifizierung in der Praxis
RD Webaccess: Nach der Bestätigung von 11, 12 oder 13 wird die Verbindung zum Remote Desktop Sitzungshost aufgebaut.
Seit der grundlegenden Überarbeitung der Remote-Desktop-Dienste mit Windows Server 2012 und dem stetigen Ausbau von Microsoft Azure gibt es zahlreiche Nutzungsszenarien, auch für große Unternehmen. In vielen Fällen sind dafür nicht einmal zusätzliche Citrix-Lizenzen erforderlich, um die gestellten Anforderungen zu erfüllen. Die Dienste können heute sehr flexibel betrieben werden, von On-Premise über hybride Szenarien bis hin zu rein Cloud-basierten Lösungen. Besonders einfach ist es beispielsweise, Remote-Desktop-Sitzungshosts (klassische Terminalserver) und virtuelle Desktops per Internet für die Endanwender des Unternehmens bereitzustellen. Auch für Dienste, die dem Datenschutz unterliegen, ergeben sich, nach der Ankündigung von Microsoft, Azure Dienste direkt aus deutschen Rechenzentren beziehen zu können, demnächst neue Möglichkeiten.
Neuer Ansatz für Remote-Desktop-Dienste
Die ersten Remote-Desktop-Dienste gab es bereits 1970 auf Mainframes und ohne Internet. Heute nehmen sie, egal ob Microsoft mit oder ohne Citrix, oder auf einer ganz anderen Plattform, beim IT-Betrieb eine zentrale Rolle ein. Denn im Gegensatz zu Virtual Private Networks (VPN) bleibt die eigentliche Ressource im Rechenzentrum. Nur das Abbild samt den Ein- und Ausgaben wird über die Leitung geschickt. Eine gesicherte Veröffentlichung jedoch war zu Beginn nur gegen Aufpreis mit dem Microsoft-eigenen Firewall Produkt ISA Server (später TMG) möglich. Gerade in kleinen Unternehmen und im Mittelstand kam es deshalb mitunter vor, dass das unsichere Remote Desktop Protokoll (RDP) per NAT direkt im Web veröffentlicht wurde.
Mit Windows Server 2008 bestand erstmals die Möglichkeit der sicheren Veröffentlichung von Remote-Desktop-Ressourcen über das Remote-Desktop-Gateway als Teil des Betriebssystems. Sichere Veröffentlichung bedeutet die Kapselung des RDP in HTTP. Seitdem wurde die gesamte Technologie stark weiterentwickelt und mit Windows Server 2012 auf ein neues Level gehoben. Während die Konfiguration früher mühsam war, übernehmen heute Assistenten den Großteil der Arbeit. Server-Manager können heute als "Single Point of Administration" auch komplexe Remote-Desktop-Farmen im Überblick behalten.
Aus technischer Sicht spielt es keine Rolle mehr, ob die Dienste On-Premise, in einer Cloud oder sogar in beidem zu Hause sind - die gestellten Anforderungen sind nahezu identisch. Das Ziel: Remote-Ressourcen sollen möglichst kostengünstig, sicher und von überall erreichbar sein.