Sicherer Desktop- und Applikationszugriff für optimale Forschung

Leibniz-Institut für Katalyse E.V. (LIKAT Rostock)
Über 70 Jahre Know-how bildet die Basis des Leibniz-Instituts für Katalyse e.V. (LIKAT Rostock). Im Jahr 1952 als erstes ausschließlich der Katalyse gewidmete Forschungsinstitut in Europa gegründet, ist es heute eines der größten öffentlich geförderten Forschungsinstitute im Bereich der angewandten Katalyse. Seine Expertisen sind sowohl methodisch als auch stofflich ausgerichtet.
Herausforderung
Mit VMware Horizon war beim LIKAT bereits eine moderne Plattform zur sicheren Bereitstellung virtueller Desktops und Anwendungen im Einsatz. Diese war zwar nach extern angebunden, so dass weltweite Nutzer darauf zugreifen konnten, aber mit Version 7 etwas veraltet und vor allem nicht ausreichend geschützt. Neben einer Modernisierung war das Ziel daher die Implementierung einer sicheren Multifaktor-Authentifizierung (MFA) ohne Einsatz weiterer Third-Party-Lösungen. Außerdem sollte die Benutzerfreundlichkeit im Fokus stehen – so sollte etwa VPN vermieden und der Zugriff aus einem bekannten Unternehmensstandort heraus ohne MFA möglich sein.
Lösung
Das Konzept der SVA Experten sah zunächst einen Proof of Concept für VMware Horizon Version 8 vor sowie eine Produktevaluierung für die Multifaktor-Authentifizierung. Letztere führte zur Empfehlung Microsoft Azure MFA, die dann auch integriert wurde. Somit konnten neue Features getestet und dabei die alte Plattform weiterhin genutzt werden. Anschließend wurden die Desktops schrittweise auf die neue Horizon-8-Plattform überführt und die alte Umgebung unternehmensweit abgelöst. Die bisherigen sogenannten Security Server wurden durch VMware Unified Access Gateways ersetzt, wodurch der Schritt zur Multifaktor-Authentifizierung mittels SAML 2.0 und einer damit verbundenen, benutzerfreundlichen Single-Sign-On-Anmeldung ermöglicht wurde.
Als Identity Provider für Anmeldungen am Unified Access Gateway wurde Azure AD implementiert und zur Absicherung der externen Logins an der virtuellen Desktop-Umgebung Azure MFA aufgebaut. Diese herstellerunabhängige Lösung bietet viele Authentifizierungsmöglichkeiten wie Hardware Token, Software Token, Microsoft Authenticator App, SMS oder Telefonanruf. Eine Absicherung der LIKAT gegenüber Cyber-Angriffen wird nun einerseits durch den Einsatz von Conditional Access & Azure MFA gewährleistet, da sie die Angriffsfläche der extern bereitgestellten Desktop-Umgebung um ein Vielfaches verkleinert. Zudem wurde auch der gesamte Microsoft 365 Tenant mit Hilfe von Conditional Access & Azure MFA abgesichert.
Optimierter und sicherer Zugriff
Für die ca. 350 weltweit verteilten Benutzer ist der externe Zugriff auf die Desktops nun orts- und geräteunabhängig mit MFA abgesichert, der interne Zugriff auf die Desktops kann aber weiterhin ohne diese genutzt werden. Durch den Einsatz der Microsoft Conditional Access Policies wurden die Zugriffe auf die Desktop-Services weiter abgesichert und somit die Benutzerfreundlichkeit nicht nur durch die flexibleren Arbeitsmöglichkeiten gesteigert.
Auch die Administration wurde mit der neuen Lösung erleichtert und zukunftssicherer: Mit Hilfe der Horizon-Funktionalität TrueSSO (Seamless Single Sign-On) können Benutzer sich mit ihren bestehenden Anmeldedaten einmalig authentifizieren, es ist keine weitere Anmeldung erforderlich für den virtuellen Desktop. Künftige Lösungen, die über MFA abgesichert werden sollen, können problemlos an die bestehende cloud-basierende Azure AD angedockt werden, die automatisch mitskaliert.
Neben VMware Horizon wurde im Anschluss des Projekts die Funktionalität Azure Application Proxy aufgebaut. Hierüber werden diverse lokal gehostete Webapplikationen der LIKAT remote/extern bereitgestellt und über die bestehende Conditional Access & Azure
MFA abgesichert. Kombiniert mit Seamless Single Sign-On ist hier eine weitere flexible, sichere und benutzerfreundliche Lösung für den externen Zugriff auf Unternehmensanwendungen entstanden.