ECOS SECURE BOOT STICK · OpenVPN oder https. ... Entsprechende Rechte vorausgesetzt, können...
Transcript of ECOS SECURE BOOT STICK · OpenVPN oder https. ... Entsprechende Rechte vorausgesetzt, können...
Hochsicher Budgetschonend Alles auf einem Stick
Hochsicherer Zugriff auf Daten und Anwendungen
ECOS SECUREBOOTSTICK
Datenfernzugriff einfach, flexibel, hochsicher
Behrden, Einrichtungen und Unternehmen verzeichnen gleichermaen einen zunehmenden Bedarf fr Heim- oder mobile Arbeitspltze. Sei es im Rahmen einer Flexibilisierung von Arbeitszeit und Arbeitsort, internationaler Aktivitten oder der Schaffung von Notfallarbeitspltzen die Anforderungen sind immer hnlich: Mit begrenztem Budget, geringem Aufwand fr die IT und hchsten Anforderungen an Daten-schutz und Datensicherheit sollen mglichst viele Anwender ausgestattet werden.
Hochsicher ins Behrden-/UnternehmensnetzDer ECOS SECURE BOOT STICK ermglicht einen hochsicheren
Zugang zu einer Terminalserver- oder Virtual-Desktop-Infra-
struktur und Webanwendungen aus einer gesicherten und ge-
kapselten Umgebung heraus. Mit dem Stick bootet ein beliebiger
PC oder Mac das speziell gehrtete ECOS Secure Linux-Betriebs-
system. Die interne Festplatte bleibt ausgeschaltet, so dass eine
mgliche Schadsoftware auf dem Rechner nicht aktiviert wird.
Damit wird eine 100%ige Trennung zwischen der beruf lichen
und der privaten Nutzung des PCs sichergestellt. Smt liche
Firmware und Applikationen befinden sich auf dem Behrden-
oder Firmen-Stick. Der private PC dient damit nur noch als pri-
vate Peripherie.
Varianten - Fr hohe und hchste Anforderungen Der ECOS SECURE BOOT STICK wird seit ber 12 Jahren hchs-
ten Anforderungen der IT-Security gerecht. In der neuen SECURE
BOOT STICK [FX]-Variante wird das Sicherheitsniveau nochmals
gesteigert, durch die zustzliche Absicherung per Smartcard und
PIN-Eingabe direkt auf dem Stick.
Einfache Implementierung und AdministrationDer ECOS SECURE BOOT STICK terminiert gegen ein beliebi-
ges bestehendes VPN-Gateway unter Verwendung von IPsec,
OpenVPN oder https. Dies ermglicht eine schnelle Integration
in eine bereits vorhandene Infrastruktur. Je nach Bedarf stehen
auch ein NCP-Client, Cisco AnyConnect-Client und Java fr
einen Clientless VPN-Zugang via Browser zur Verfgung. Mit
dem ECOS Easy Enrollment lsst sich auch eine groe Anzahl an
Zugngen innerhalb krzester Zeit ausrollen. Dabei erhlt jeder
Anwender einen identisch vorkonfigurierten Stick. Das zentrale
Management generiert fr berechtigte Anwender ihre persnli-
chen Aktivierungscodes. Mit der Aktivierung erfolgt die perma-
nente Kopplung von Benutzer und Stick, die die Basis fr eine
sichere Multi-Faktor-Authentisierung bildet. Dank des zentralen
Einsatzszenario ECOS SECURE BOOT STICK
VPN-ClientRDP-Client
Citrix Workspace-App/ReceiverVMware Horizon-Client
Web-Browser
Firewall
ECOS Secure Linux
Multi-Faktor- Authentisierung
mit PIN + Smartcard [FX]
Internetzugangber LAN,
WLAN,UMTS, LTE
oder HotSpot
Citrix Virtual Apps undDesktops
Microsoft Terminalserver (RDSH)
VMware HorizonWeb-Anwendungen
VPN VPN
PC oder MacECOS SECURE BOOT STICK VPN-Gateway Applikationen
ECOS System Management lassen sich alle Sticks zentral ver-
walten und remote aktualisieren.
Maximale KompatibilittMit der Einbindung privater Endgerte steigen die Anforder-
ungen an die Kompatibilitt. So sind auf dem ECOS SECURE
BOOT STICK die Treiber fr alle marktgngigen PCs und Macs
implementiert. Dies umfasst Grafiktreiber, LAN-, WLAN-,
UMTS- und LTE-Treiber sowie einen Browser zur Anmeldung am
Hot Spot. Fr eine optimale bertragung von Audio- und Video-
signalen, im Speziellen auch in Verbindung mit Microsoft Skype
for Business, wurde die Citrix HDX RealTime Media Engine inte-
griert. In Verbindung mit RDP sorgt Microsoft RemoteFX fr eine
bestmgliche Audio qualitt. Der Stick enthlt die notwendigen
Clients fr einen hochsicheren Zugriff auf Microsoft Terminal-
server (RDSH), Citrix Apps und Desktops, VMware Horizon
(RDP, PCoIP oder BLAST), PCs mit Remotedesktop-Freigabe
und Webanwendungen. Fr die internationale Nutzung sind die
Tastaturtreiber fr ber 90 Sprachen und Lnder auf dem Stick
enthalten.
Aufbau des ECOS SECURE BOOT STICKDer Stick unterteilt sich in mehrere Partitionen. Smtliche
Komponenten, wie der Bootloader fr UEFI und BIOS, Kernel,
Firmware sowie smtliche Applikationen, welche fr den hoc h-
sicheren Zugang auf die Infrastruktur bentigt werden, sind auf
schreibgeschtzten Partitionen abgelegt. Hinzu kommt eine ver-
schlsselte Partition fr die Ablage von Zugangsinformationen,
Rechten und Benutzereinstellungen. Eine weitere Partition kann
zur Ablage von Dokumenten genutzt werden. In der [FX]-Vari-
ante ist diese als Datensafe ausgelegt, in Form eines separaten,
hardware-verschlsselten Laufwerks, abgesichert per Smartcard
und PIN-Eingabe. Datenablage und Datensafe beim [FX], lassen
sich unter Windows und MacOS X als normales Laufwerk nut-
zen. Entsprechende Rechte vorausgesetzt, knnen Dokumen-
te aus einer Server-Session heraus in der Datenablage oder im
Datensafe abgelegt werden, um diese offline zu bearbeiten.
Absicherung per SmartcardDer ECOS SECURE BOOT STICK [FX] verfgt ber einen inte-
grierten Smartcard-Reader fr Smartcards im SIM-Karten-For-
mat ID-000. Die Smartcard dient damit als Besitzkomponente
fr eine starke Multi-Faktor- Authentisierung. Smtliche Prozes-
se sind per Smartcard abgesichert, vom Rollout, ber die An-
meldung am Gateway, bis hin zur Aktualisierung des Sticks. Per
PC-/SC- Forwarding lsst sich die Smartcard fr weitere Funk-
tionen nutzen, z.B. zum Signieren, Verschlsseln oder Windows
Smartcard-Logon.
SicherheitsszenarienDer ECOS SECURE BOOT STICK zeichnet sich durch eine Kaska-
dierung zahlreicher Sicherheitsmanahmen aus, welche fr smt-
liche Bedrohungsszenarien einen maximalen Schutz darstellen.
verschlsselt + signiertsigniert verschlsselt read-only read/write
Firmware,Clients,Browser
KernelBIOS-Boot-loader
UEFI-Boot-loader
Verbindungs-parameter,
User-Einstellungen
Dokumenten-ablage/-safe
Aufbau des ECOS SECURE BOOT STICK
ECOS SECURE BOOT STICK
Schutz vor infiziertem PCDurch das Booten des (Gast-) PC aus einer gekapselten und
gehrteten Linux-Umgebung heraus wird eine mgliche Schad-
software auf der internen Festplatte nicht aktiviert. Zustzlich
bernimmt das ECOS Secure Linux-Betriebssystem die Hoheit
ber die angeschlossene Peripherie, so dass selbst eine Schad-
software im BIOS oder im UEFI keine Bedrohung darstellt.
Schutz vor SpionageAls Grundlage fr eine sichere Authentifizierung der Anwender
dient eine starke Multi-Faktor-Authentisierung. So erfordert die
Anmeldung am Gateway oder der Zugriff auf den Datensafe
nicht nur das Wissen um die persnliche PIN, sondern auch den
Besitz der zugehrigen Smartcard und des zugehrigen ECOS
SECURE BOOT STICK. Die Verbindung zwischen dem Endgert
und dem Gateway erfolgt auf Basis einer gesicherten VPN-Ver-
bindung, welche erst nach der erfolgreichen Authentifizierung
aufgebaut wird. Als Schutz vor mglichen Trojanern auf Web-
sites, z.B. bei der Anmeldung an einem HotSpot, befinden sich
smtliche relevanten Teile der Firmware auf einer schreib-
geschtzten Partition. Darber hinaus sind smtliche Bestand-
teile der Firmware und Applikationen digital signiert, so dass
jeglicher Versuch der Manipulation zu einem sofortigen Ab-
bruch der Anwendung und zum Shutdown des Rechners fhrt.
Schutz vor Online-AngriffenBeim ECOS Secure Linux-Betriebssystem handelt es sich um ein
sehr schlankes System, welches nur diejenigen Komponenten
umfasst, die zum Betrieb der Lsung bentigt werden. Damit
wird das Potential mglicher Sicherheitslcken deutlich redu-
ziert. Zudem wurde das Betriebssystem speziell gehrtet und
eigens kompiliert, so dass es hchsten Sicherheitsanforderun-
gen gerecht wird. Der ECOS SECURE BOOT STICK verfgt ber
eine eigene Fire wall als Schutz vor Angriffen aus dem gleichen
Netz, sei es durch Hacker oder ber einen infizierten PC. Diese
blockiert zudem smtliche TCP/IP- und Ping-Anfragen, so dass
ein mglicher Angreifer, zum Beispiel im Hotel oder im ICE, wo
man sich mit fremden Nutzern im selben Netz befindet, den
Rechner erst gar nicht aufspren kann.
Schutz vor ManipulationDer Schreibschutz fr die gesamte Firmware und die Anwen-
dungen in Kombination mit der Verschlsselung von Firmware
und Konfigurationsdaten sorgt fr ein hohes Sicherheitsniveau.
Darber hinaus sind alle Daten und Programme digital signiert.
In einer Chain of Trust berprfen sich Bootloader, Kernel und
Applikationen gegenseitig durch einen sich permanent wieder-
holenden Prozess. Jegliche Manipulation des Filesystems oder
der Austausch von Sourcecode macht den Stick sofort un-
brauchbar und fhrt im laufenden Betrieb zu einem unmittelba-
ren Shutdown des Rechners. Damit wird jegliche Manipulation
wirkungsvoll verhindert.
Schutz vor Aushebelung durch AnwenderVor Ausfhrung der Firmware erfolgt eine Prfung, ob der Stick
in einer virtuellen Maschine gebootet wurde. Dies verhindert,
dass die Schutzmanahmen des Sticks unterlaufen werden und
beispielsweise ein Keylogger oder Trojaner auf dem Hostsystem
Bildschirminhalte oder Tastaturanschlge protokolliert.
ECOS SECURE BOOT STICK [FX]
Schutz vor manipulierten UpdatesSobald vom Stick eine Verbindung zum zentralen Management
besteht, erfolgt eine Prfung auf mgliche Updates und berech-
tigte Anwender. Liegen diese vor, so wird im Hintergrund ein
neues Image geladen. Dabei wird sowohl der richtige Ursprung
als auch die Integritt des Update-Images verifiziert. Nach er-
folgreichem Download und Verifikation wird beim nchsten
Booten des Sticks das neue Image ausgefhrt.
DatenschutzVor unbefugtem Einsehen des Bildschirms schtzt ein speziel-
ler Instant-Logout-Prozess. Mit Abziehen des Sticks fhrt der
PC in Sekundenschnelle runter. Abhngig von dem eingestellten
Timeout kann der Anwender nach erneutem Aufbau der Ver-
bindung an gleicher Stelle weiterarbeiten. Mit seiner Multi-Fak-
tor-Authentisierung, der granularen Rechtevergabe, der Ver-
meidung jeglicher lokaler Datenspeicherung, dem Ausschluss
von Trojanern und der gesicherten VPN-Verbindung erfllt der
ECOS SECURE BOOT STICK alle technischen Anforderungen ge-
m Art. 32 DSGVO.
Einfach und flexibel fr AnwenderDie Nutzung des ECOS SECURE BOOT STICK ist fr die An-
wender denkbar einfach. Nach Einschalten und Eingabe der PIN
bootet der PC oder Mac und fhrt die Nutzer zu einer Auswahl
der freigegebenen Systeme oder Anwendungen. Beim Betrieb
am WLAN erfolgt die Eingabe des Schlssels genauso einfach
wie beim Smartphone und wird fr die knftige Anmeldung ver-
schlsselt abgespeichert. Nach der Auswahl des gewnschten
Systems oder der gewnschten Anwendung befindet sich der
Anwender in der vertrauten Umgebung.
WirtschaftlichkeitsbetrachtungIn der Gesamtkostenkalkulation ergibt sich durch den ECOS
SECURE BOOT STICK ein Einsparungspotential von bis zu 80%
im Vergleich zur Ausgabe von Behrden-/Firmennotebooks.
Dies beruht zum einen auf den deutlich geringeren Investitio-
nen und den niedrigeren Betriebskosten, zum anderen auf dem
deutlich reduzierten Supportaufwand.
Zentrales ManagementMit der ECOS SYSTEM MANAGEMENT APPLIANCE lassen
sich alle Zugnge zentral verwalten und aktualisieren. So lsst
sich sehr granular festlegen, welche Benutzer oder welche Be-
nutzergruppen Zugang zu welchen Zielsystemen haben, wer
Daten ggf. aus einer Sitzung heraus im Datensafe oder einem
sonstigen freigegebenen Gert speichern oder Dokumente zu
Hause ausdrucken darf. Die System Management Appliance
erlaubt eine Kopplung mit dem Active Directory oder sonsti-
gen Verzeichnisdiensten und damit eine Synchronisierung von
Benutzern und Rechten. Die ECOS SYSTEM MANAGEMENT
APPLIANCE beinhaltet eine eigene CA zum Erstellen von Zer-
tifikaten sowie zum Ausrollen und Verwalten von Smartcards,
kann aber auch mit einer vorhandenen PKI gekoppelt werden.
Das Ausstellen, Verlngern und Sperren von Sticks erfolgt ber
das Token Lifecycle-Management und das Easy Enrollment, bei-
des Teile der Management Appliance. Im Falle eines verloren
gegangenen Sticks kann der Zugang zentral gesperrt und die
bestehende Lifetime-Lizenz auf einen Ersatzstick bertragen
werden. Darber hinaus beinhaltet die System Management
Appliance ein detailliertes Reporting mit einer breiten Auswahl
vordefinierter Reports sowie einem Report-Editor, ber den sich
beliebige Auswertungen erstellen und abspeichern lassen.
Die ECOS SYSTEM MANAGEMENT APPLIANCE ist eine virtuel-
le Appliance, lauffhig unter VMware, Microsoft Hyper-V, Citrix
XenServer, Oracle Virtualbox oder Linux KVM.
Vorteile auf einen Blick: + Gehrtetes ECOS Secure Linux-Betriebssystem + 100%ige Trennung berufliche/private Nutzung + Smtliche Software auf dem Stick + Zertifikatsbasierte 2-Faktor-Authentisierung + Multi-Faktor-Authentisierung per Smartcard [FX] + Integrierte Firewall + Zentrales Management + Remote-Aktualisierung + Datensafe zur Ablage von Dokumenten [FX]
ECOS TECHNOLOGY GMBHSant-Ambrogio-Ring 13aD-55276 Oppenheim
Telefon: +49 (6133) 939200E-Mail: [email protected]: www.ecos.de
136.
PB.2
018/
12.D
E.01
.1
ECOSSECUREBOOTSTICK ist eine Marke der ECOS Technology GmbH
Leistungsmerkmale ECOS SECURE BOOT STICK
Applikationen+ RDP-Client, Citrix Receiver, VMware Horizon, Firefox, mit/ohne Java-Untersttzung, VNC, NoMachine, TeamViewer+ Citrix HDX RealTime Media Engine, Citrix HDX RealTime Media Engine for Microsoft Skype for Business, Microsoft RemoteFX fr Audio+ Integrierter VPN-Client fr IPsec und SSL+ Opt.: NCP-Client, Cisco AnyConnect und Java fr einen Clientless VPN-Zugang via Browser (ggf. sind zustzliche Hersteller-Lizenzen erforderlich)
Untersttzte Zielsysteme+ Microsoft Terminalserver (RDSH), Citrix Apps und Desktops, VMware Horizon (RDP, PCoIP, BLAST) oder Webserver
VPN+ Anbindung an beliebiges Gateway ber IPsec oder https
Administration+ Profile zum Zugriff auf unterschiedliche Applikationen/-Server auf User-, Gruppen- oder Rollen-Ebene+ Nutzung lokaler Ressourcen nach Freigabe durch den Admin (externe USB-Speicherdevices, lokale Drucker)+ Berechtigungsvergabe fr externe Gerte gebunden an die Hersteller-ID oder die Seriennummer des Gerts+ Remote-Aktualisierung smtlicher Applikationen und Firmware
Kompatibilitt+ Anbindung an beliebiges Gateway ber IPsec, Open VPN oder https+ Verbindung ber Proxyserver konfigurierbar + Integrierter Smartcard-Reader fr Smartcards mit CardOS 5.3 im Format ID-000 [FX]+ Treiber fr alle gngigen 64-bit-basierten Intel/AMD PCs, x86-basierte Tablets sowie alle gngigen Macs+ UEFI Secure Boot-Untersttzung+ Tastaturtreiber fr mehr als 90 Sprachen und Lnder+ Multi-Monitor-Support+ Verbindungsaufbau per LAN, WLAN, UMTS, LTE inkl. Browser zur Anmeldung an einem HotSpot+ Software in Deutsch und Englisch (voreinstellbar)
Weitere Funktionen+ Signieren, Verschlsseln, Windows Smartcard-Logon durch PC-/SC- Forwarding+ Forwarding externer USB- und LAN-Devices, z.B. fr den Anschluss eines IP-Telefons
Datenablage | Datensafe [FX]+ 2 GB, nutzbar zur sicheren Ablage von Dokumenten+ Hardwareverschlsselung mittels AES 256, abgesichert per 2-Faktor-Authentisierung, Smardcard plus PIN [FX]+ Installationsfreie Nutzung als USB-Laufwerk unter Windows, Linux und Max OS X
Sicherheit+ Zertifikatsbasierte 2-Faktor-Authentisierung + Multi-Faktor-Authentisierung ber Smartcard und PIN-Eingabe in der Boot-Phase [FX]+ Integrierte Tastatur zur sicheren Eingabe der PIN [FX]+ Schreibgeschtzte und signierte Partitionen fr Bootloader und Kernel+ Schreibgeschtzte, verschlsselte und signierte Partition fr Formware und Applikationen+ Separate, verschlsselte Partition zur Ablage der User-Parameter+ Gehrtetes ECOS Secure Linux-Betriebssystem+ Digital signierte Bootloader, Firmware und Applikationen; Verifikation der Signatur im Chain of Trust-Verfahren+ Absicherung smtlicher Prozesse per Smartcard wie z.B. Easy Enrollment, Anmeldung am Gateway, Aktualisierung [FX]+ Integrierte Firewall (Schutz vor Angriffen im gleichen Netz, Blockieren von TCP/IP- und Ping-Anfragen)+ Verhinderung der Nutzung in einer virtuellen Umgebung+ Instant-Logout beim Abziehen des Sticks+ Abgesicherter Prozess zur Aktualisierung von FirmwareApplikationen; Prfung auf Integritt und korrekte Update-Server
Abmessungen und Gewicht+ 12 x 22 x 4 mm | 3g + 27,5 x 84,8 x 12,7 mm | 68g [FX]
Liederumfang+ Stick, Trageband+ Stick, 3 Anschklusskabel fr USB (A, C und Micro), Trageband [FX]