Dit document is gemaakt naar aanleiding van een klantvraag om leveranciers op een veilige gecontroleerde manier toegang te verlenen tot een applicatie server voor support doeleinden. In dit referentie ontwerp wordt eerst de oplossing in grove lijnen uitgezet. Hiertoe wordt een illustratie gebruikt met een aantal stappen welke daarna uitgelicht worden. Tenslotte worden er extra maatregelen beschreven om nog meer controle te verkrijgen.
Uitgangspunten
In dit referentie ontwerp wordt uitgegaan van het principe dat een leverancier nooit zonder toestemming van de Technisch Applicatie beheerder (TAB) of Functioneel Applicatie Beheerder (FAB) direct toegang kan verkrijgen tot een applicatieserver. Tevens wordt een leverancier ten alle tijden gecontroleerd in het uitvoeren van zijn acties.
Vereist
Voor deze oplossing zijn de volgende componenten vereist:
- Een IPsec / SSL VPN oplossing;
- Een Directory Service (Active Directory);
- Een aparte (virtuele) Windows server in een afgeschermd VLAN (niet perse DMZ);
- RDS licenties om toegang te krijgen tot de “Stepping Stone Server”.
De oplossing
De oplossing bestaat uit enkele losse oplossingen, te weten:
- Veilige toegang;
- ‘Stepping stone’ server;
- Gecontroleerd toegang verlenen.
In de illustratie hieronder wordt de oplossing kort samengevat.
In de illustratie zijn 5 stappen aangegeven (nummers 1-5). Deze stappen zijn hieronder verder beschreven.
Stap 1: De leverancier maakt via IPsec een verbinding met een VPN Endpoint, of er wordt gebruik gemaakt van een SSL VPN oplossing. De leverancier logt hiermee in met zijn eigen credentials.
Stap 2: Over deze veilige verbinding kan de leverancier via RDP of ICA (in het geval van een Citrix gebaseerde oplossing) alleen en uitsluitend toegang krijgen tot de “Stepping stone Server” Vanaf hier kan er gekozen worden voor stap 3, of stap 5 (Afhankelijk van de situatie).
Stap 3: De Functioneel of Technisch Applicatie Beheerder maakt via RDP een verbinding naar de Applicatie Server. Hij of zij maakt hierbij gebruik van zijn of haar eigen credentials.
Stap 4: De leverancier maakt gebruik van Microsoft Remote Assistance om mee te kijken op de RDP sessie van de FAB/TAB. Gedurende deze mee-kijk sessie kan een FAB/TAB ook de controle afgeven aan de leverancier voor het uitvoeren van acties. Dit is echter een keuze voor de FAB/TAB.
Stap 5: Dit is een afwijkende stap. Vanaf de “stepping stone server” kan de leverancier rechtstreeks contact leggen met de PC of het systeem waarmee bijvoorbeeld een klimaatbeheersing wordt gedaan. Dit kan via RDP maar ook HTTP(S) is een optie.
Geen opmerkingen:
Een reactie posten