TrustedVPN

Die Alleinstellungsmerkmale

Die TrustedVPN-Lösung wurde auf Basis zwei grundlegender Designziele entwickelt:

  • Kompromisslose Sicherheit und
  • ​Einfache Verwaltung

TrustedVPN stellt eine umfassende State-of-the-Art Security-Infrastruktur als fertige Lösung vollautomatisch bereit. Die Gefahr unzulänglicher Einstellungen bei der Konfiguration entfällt somit weitgehend. Bei der Verwaltung des Systems kann man sich ganz auf die globalen logischen Vertrauensbeziehungen zwischen Netzen und Nutzern konzentrieren anstatt einzelne Geräte und deren Parametrisierung individuell administrieren zu müssen.

Die Architektur

Die Lösung besteht aus drei wesentlichen Komponenten: Der TrustedObjects Manager ist der zentrale Server für Management, Konfiguration und Provisioning. Die TrustedVPN Appliance wird in mehreren Ausprägungen dezentral als VPN-Gateway an den einzelnen Standorten eingesetzt. Der TrustedVPN Softwareclient kann von mobilen Nutzern zur Einwahl in das Gesamtsystem genutzt. Die VPN Appliances sind als vollständig geschlossene und nur aus der Ferne administrierbare Systeme konzipiert.

Bei der Erstinbetriebnahme wird eine Basiskonfiguration für die externe Netzwerkanbindung im TrustedObjects Manager angelegt und als signierte Datei auf einen USB-Stick exportiert. Außer der einmaligen Anwendung dieses USB-Sticks findet keinerlei Bedienung an der Appliance statt. Sobald die VPN Appliance an das Netz angeschlossen ist, baut sie einen TrustedChannel zum TrustedObjects Manager auf und wird von diesem konfiguriert und permanent überwacht.

Der TrustedChannel ist eine gegenseitig gesicherte authentisierte Verbindung und die Management- Station überzeugt sich darüber hinaus mittels „Remote Attestation“ von der Integrität der VPN Appliance. Die TrustedVPN Appliance stellt gemäß den Konfigurationsvorgaben des Managementsystems IPsec- Tunnel für Peer-to-Peer Verbindungen zu anderen Appliances bereit und kann gegebenenfalls im Roadwarrior-Betrieb auch von mobilen Mitarbeitern auf Basis eines IPsec-Softwareclients erreicht werden. Das Schlüsselmaterial für die Sicherung der Kommunikation wird grundsätzlich in den VPN Appliances generiert und vom Managementsystem zertifiziert.

Sicherheit in Hardware verankert 

Mit dem Trusted Platform Module (TPM) kommt, wie auch im Managementsystem und in den VPN Appliances, ein Hardware-Chip zum Einsatz, der als Sicherheitsanker dient und bis hinauf in die Anwendungen vollständig in die Gesamtarchitektur eingebunden ist. Konkret dient das TPM in den Appliances dazu, die privaten Schlüssel der einzelnen Appliances sicher zu speichern und zu verarbeiten. Die Schlüssel verlassen nie den Sicherheitschip und ermöglichen dadurch eine zuverlässige, manipulationsfreie Identifizierung der einzelnen Appliances durch das integrierte PKI-Verfahren.