Arla vil bruge tynde klienter mod cyber-våbenkapløb
Mejerigiganten Arla Foods erkender, at selskabet formentligt ikke kan vinde krigen mod it-kriminelle ved at opstille traditionelle forsvarsværker omkring netværket. Slet ikke i et år hvor selskabet ligesom mange andre er blevet tvunget til at skære ned på it-budgettet.
Derfor vil Arla nu forsøge at skifte til en ny infrastrukturmodel baseret på tynde klienter i stedet for stationære pc'er og Citrix Web Access på bærbare pc'er til mobile brugere.
»Mere af det samme med firewalls vil ikke løse jobbet for os. Jeg tror ikke, at vi kan vinde, for de kriminelle har ikke et stort bagland af it-systemer, de skal slæbe med. Det har vi, og derfor vil vi altid være bagefter,« fortalte it-sikkerhedschef Jens Roed Andersen fra Arla på Dansk IT's sikkerhedskonference i København tirsdag.
Arla blev ramt af et krav om at skulle spare én milliard kroner i 2009 som følge af finanskrisen. Det betød også nedskæringer på it-budgettet. Samtidig ser Jens Roed Andersen et voksende trusselsbillede.
»Jeg tror ikke, at vi kan levere den nødvendige beskyttelse, hvis vi fortsætter med det gamle paradigme. Man må spørge sig selv, om der er en business case i at hælde flere penge i it-sikkerhedsprodukter,« sagde Jens Roed Andersen.
Derfor er Arla gået sammen med Alexandra Instituttet om at udvikle en ny model, som skal hjælpe Arla med at løse sikkerhedsproblemerne for færre penge.
Det er mundet ud i en model, som bliver baseret på tynde klienter, hvor fokus bliver flyttet fra at sikre perimeteren og til at beskytte selve de vigtigste data.
Arla har omkring 7.000 klienter, hvoraf en stor del er mobile brugere. De mobile brugere vil fremover skulle bruge et 3G-modem til at få adgang til it-systemerne, uanset hvor de befinder sig og altså også på kontoret. Hvis klienten er mobil, skal den bruge et 3G-modem.
Via 3G-forbindelsen etableres en forbindelse til Arlas systemer ved hjælp af Citrix Web Access med to-faktor-autentificering ved hjælp af Citrix' løsning til at bruge mobiltelefoner i stedet for hardwaretokens.
Den nye infrastruktur betyder, at klienterne ikke nødvendigvis kan regnes for at være sikre. Men i stedet for at forsøge at sikre klienterne 100 procent vil Arla bruge mere krudt på at sikre selve den krypterede tunnel, som bliver brugernes navlestreng til de kritiske systemer og data.
I første omgang bliver der tale om et pilotprojekt, som vil blive sat i søen i løbet af de næste måneder.
Kommentarer (8)
Den nye infrastruktur betyder, at klienterne ikke nødvendigvis kan regnes for at være sikre. Men i stedet for at forsøge at sikre klienterne 100 procent vil Arla bruge mere krudt på at sikre selve den krypterede tunnel, som bliver brugernes navlestreng til de kritiske systemer og data.
Jeg læser det som Arlas sikkerhed nu er sikret vha. stærk kryptering mellem klient-pc og server.
Sikring af klient-pc er således ikke længere vigtig?!?! Prøv at læs http://www.schneier.com/book-sandl.html og sig det igen.
En kunde viste mig for 8 år siden en fejl i Citrix Web Access. Den ligner en 2 år gammel fejl http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-6830 meget, blot var det en ActiveX klient. Citrix sessionen overlevede afslutning af Internet Explorer og selv en genstart af klient PC'en, hvis brugeren ikke først loggede af Citrix ... således skulle man ikke bruge hardware tokens for at logge på igen.
Denne fejl handlede ikke om manglende sikring af klient-pc'en, men om fejl i produktet. Kryptering mellem klient-pc og server, hjælper ej. En fremmede kunne tage Internet cafe PCen, gå i history i browseren og få adgang til kundens systemer uden login.
Et kik på [AGEE_8_1_63_7][#46466] i http://support.citrix.com/article/ctx118326 minder om ovenstående fejl for et andet produkt.
-
0 -
0
Michael ... de omtalte 7.000 klienter er mobile enheder med et 3G modem, der kobler på via Citrix Web Access ... hvilke tynde hardware klienter kan dette?
Jeg læser ordet "tynd klient" som et program der kører i en browser ... og Arla nu derfor tror de sikkert kan bruge internet cafe PCer.
-
0
-
0
Det er ikke alle der skal bruge 3g. Det er kun de mobile brugere der alt andet lige må forventes at bruge en normal laptop.
-
0
-
0
Med tynd klient menes der bogstaveligt en tynd klient for stationære pc'er. For mobile brugere vil det være Citrix (formentligt XenApp).
Fidusen er ikke, at det gør klienten sikker. Fidusen er, at sikkerheden flyttes fra klienten til datacenteret. Målet er ikke at sikre pc'erne, men at sikre de data, der er vigtige.
Du vil stadig kunne få adgang til data ved at stjæle brugerens pc og telefon, og du vil kunne aflure de data, brugeren får vist på skærmen, hvis du får installeret et spionprogram.
Men det er en forbedring i forhold til eksempelvis en VPN-forbindelse, hvor du blot skal bruge login-oplysningerne for at få fuld klientadgang til systemer og data.
-
0
-
0
Der er ofte begrebsforvirring mht. tynd klient. I det tilfælde er der tale om ægte tynde klienter, som bedst og enklest kan beskrives som en desktop eller laptop u. harddisk og brugerprogrammer. Den tynde klients eneste formål er at kunne logge et WAN/LAN, hvor brugeren via sit netlogin får/har adgang til en virtuel desktop/laptop på datacentret.
Mobile brugere uden for WAN/LAN får normalt adgang via en krypteret WEB-adgang, baseret på éngangs password, enten fra en token, hvor adgangskoden skifter hvert 30. sekund, eller sendt som SMS. Den bærbare tynde klient har udelukkende en browser aht. WEB accessen.
De tynde klienter/virtuelle desktops kan udmærket eksekverers fra en normal laptop/desktop, men så kommer man ikke rigtig udover de sikkerhedsmæssige problemstillinger med data og information uden for sit datacenter.
-
0
-
0
Jesper Stein Sandal,
Fidusen er ikke, at det gør klienten sikker. Fidusen er, at sikkerheden flyttes fra klienten til datacenteret. Målet er ikke at sikre pc'erne, men at sikre de data, der er vigtige.
Hvad sikres i data centeret i artiklen?
I artiklen går sikkerheden på at:
sikre selve den krypterede tunnel,
-
0
-
0
