NATO AEW&C Programme Management Agency: Sicherer Fernzugriff mit SINA

Die NAPMA ist die NATO-Agentur, die Modernisierungsprogramme für die AWACS-Flotte der NATO plant und durchführt sowie die technische Luft­tüchtigkeit der Flotte sicherstellt. Als integraler Bestandteil der IT-Infrastruk­tur der NAPMA war eine sichere Fernzugriffsfunktion (Secure Remote Access, SRA) erforderlich, um mit denselben Funktionalitäten wie intern arbeiten zu können und gleichzeitig die NATO IT- und IT-Sicherheitsricht­linien einzuhalten. CONET hat die SRA-Fähigkeit der NAPMA basierend auf einer SINA-Lösung implementiert und unterstützt diese weiterhin im Betrieb.

[Hinweis: Diese Referenz wurde ins Deutsche übersetzt. Der Originaltext ist hier in der englischen Version veröffentlicht.]

Ausgangssituation: Das NAPMA-IT-System

Die NAPMA hat ihren Sitz im niederlän­dischen Brunssum und beschäftigt rund 120 Mitarbeiter aus 16 Nationen. Die Agentur betreibt eine angepasste IT-Umgebung für die Büroautomatisierung. Die wichtigsten Dienste, die den Be­nutzern zur Verfügung gestellt werden, sind E-Mail (Exchange), Dokumenten­management (SharePoint) und ein Enterprise Resource Planning System (SAP).

Das NAPMA-IT-System ist vom NATO Office of Security (NOS) akkreditiert und bis einschließlich NATO RESTRICTED (NR) zugelassen. Die NAPMA-Anforde­rung an eine SRA-Fähigkeit bestand darin, ausgewählten Mitarbeitern die Möglichkeit zu geben, aus der Ferne mit der gleichen Funktionalität und einem ähnlichen Antwortverhalten zu arbeiten wie auf den internen NAPMA-NR-Workstations.

Die Herausforderung bestand darin, einen Service zu implementieren, der nicht nur die Benutzeranforderungen er­füllt, sondern auch in die Rahmen­bedingungen der NAPMA hinsichtlich IT-Sicherheit, Preis, Service-Qualität und Implemen­tierungszeit erfüllt.

Eine erste SRA-Fähigkeit war bei der NAPMA bereits seit 2012 vorhanden, musste jedoch 2015 ersetzt werden. Daher führte die NAPMA eine internatio­nale Ausschreibung durch. Der Auftrag zur SINA-Unterstützung wurde schließlich an die CONET Services GmbH vergeben.

Um die interne Zusammenarbeit tech­nisch zu verbessern und Geschäftspro­zesse mobiler und agiler zu gestalten, hat die NAPMA Anfang 2018 die Anforde­rungen an mobile Geräte funktional überprüft und in der Folge die SINA-Lösung erweitert und die Anzahl der Laptops verdreifacht.

Lösung: Erweiterung der SRA-Fähigkeit mit SINA-Lösung

Die erste von CONET im Jahr 2015 etablierte Lösung umfasste 30 Laptops. Den Benutzern wurden da­bei zwei streng voneinander ge­trennte Arbeitsbereiche zur Ver­fügung gestellt:

1. Ein geschützter Arbeitsbe­reich für NAPMA-Prozesse wie auf jeder anderen Work­station (NATO RESTRICTED)
2. Ein weniger geschützter Ar­beitsbereich, der uneinge­schränktes Surfen im Internet ermöglicht (z. B. kein Inhalts­filter für den Internetzugang, um das Einchecken bei Flü­gen zu ermöglichen usw.)

CONET unterstützte nun auch die Erweiterung der SRA-Fähigkeit der NAPMA: 92 Laptops sind seit Herbst 2018 im Einsatz. Um die zusätzlichen Geräte verwalten zu können, wurde das alte Backend durch eine leistungsfähigere neue Version ersetzt. Die bestehenden SINA-Boxen werden dabei wieder­verwendet: eine als so genanntes Trusted Network Device und eine, um eine sichere Verbindung zu einem anderen NATO-Netzwerk herzustellen.

Die CONET Services GmbH unter­stützt auch weiterhin im Betrieb die Wartung und Verwaltung der SRA-Fähigkeit der NAPMA.

Nutzen: 70% der NAPMA-Mitarbeiter mit einem SINA-Laptop ausgestattet

Durch die Erweiterung mit neuen SINA-Laptops und sichere Smart­phones sind mittlerweile rund 70% der NAPMA-Mitarbeiter mit einem SINA-Laptop ausgestattet.

Die Netzwerk- und Systemadmini­stratoren profitieren von einer nahtlosen Integration des Backends und der Geräte in die vorhandene IT-Infrastruktur. Die Verwendung derselben Software-Images auf den SINA-Geräten und den verbleiben­den Desktop-Computern reduziert den Wartungsaufwand erheblich.

Ein positives Feedback stellt auch das IT-Sicherheitspersonal aus, das die strikte Trennung des ein­geschränkten Geschäftsarbeitsbe­reichs von den weniger geschützten Sitzungen mit offenem Internet-Zugang begrüßt.

Durch den mit CONET abgeschlos­senen Support-Vertrag wird einer­seits dem Bedarf an zusätzlichen personellen Ressourcen und Fach­kenntnissen sowie andererseits den besonderen Anfor­derungen der NAPMA hinsichtlich der Hoheit über Prozesse und der Kontrolle über die eigenen Informationen Rechnung getragen.

Die Tatsache, dass die NAPMA in drei Jahren mit 30 SINA-Geräten lediglich 12 Support-Tickets öffnen musste, spricht für sich.

Auf einen Blick: Sicherer Fernzugriff mit SINA

Kunde:

NAPMA – NATO Airborne Early Warning & Control Programme Management Agency

Lösung:

Sichere Inter-Netzwerk-Architektur (SINA)

Wichtigste Anforderungen:

• sicherer Zugriff auf die NAPMA-Domäne
• Informationsverarbeitung bis einschließlich NATO RESTRICTED
• integraler Teil der IT-Infrastruktur der NAPMA
• Bearbeitung on-/off-site und on-/offline
• gleiche Funktionen und ähnliche Performanz wie lokale Workstations
• Akkreditierung durch das NATO Office of Security (NOS)

Wichtigste Nutzenaspekte:

• sicherer Fernzugriff
• technisch verbesserte interne Zusammenarbeit
• strikt getrennte Arbeitsbereiche:
  • (1) kontrollierter NAPMA-Arbeitsbereich
  • (2) Arbeitsbereich mit uneingeschränktem Internet-Zugriff

Technische Informationen:

• 2x SINA L3 Box S 1G
• 2x SINA L3 Box S 30M
• 30x ThinkPad T540p
• 62x ThinkPad T470s
• Windows 10, LinuxLite