OPSWAT MetaAccess – wie Sie die Konformität von Geräten vor dem Zugriff auf das Netzwerk überprüfen können

Eine der häufigsten Lücken in den Sicherheitsrichtlinien sieht so aus: Ein Unternehmen hat strenge Regeln für den Schutz von Endgeräten – Virenschutz erforderlich, aktuelle Systeme, Festplattenverschlüsselung – aber es gibt keinen Mechanismus, um vor jeder Netzwerkverbindung zu überprüfen, ob diese Bedingungen tatsächlich erfüllt sind. Ein Gerät, das vor einem Jahr eine Prüfung bestanden hat, kann heute einen deaktivierten Virenschutz und eine dreimonatige Verzögerung bei den Updates aufweisen. OPSWAT MetaAccess ist eine NAC-Lösung (Network Access Control) der nächsten Generation, die dieses Problem löst, indem sie die Konformität der Geräte kontinuierlich überprüft.

Inhaltsverzeichnis

1. Was ist Network Access Control und warum ist es wichtig?
2. Wie funktioniert OPSWAT MetaAccess?
3. Welche Parameter werden vor dem Zugriff überprüft?
4. MetaAccess in BYOD- und Fernarbeitsumgebungen
5. Integration in bestehende Sicherheitsinfrastrukturen
6. Berichte und Compliance – was sieht der Administrator?
7. Wichtigste Schlussfolgerungen
8. FAQ
9. Zusammenfassung

Was ist Network Access Control und warum ist es wichtig?

Network Access Control (NAC) ist eine Kategorie von Lösungen, die den Zugriff von Geräten auf das Unternehmensnetzwerk auf der Grundlage ihres Sicherheitsstatus kontrolliert. Die Grundidee ist einfach: Bevor ein Gerät auf Netzwerkressourcen zugreifen kann, muss es nachweisen, dass es definierte Sicherheitsanforderungen erfüllt. Wird dieser Nachweis nicht erbracht, ist das Vertrauen im Dunkeln – und einer der wichtigsten Vektoren für den Zugang von Angreifern zum Netzwerk.

Klassische NAC-Lösungen konzentrierten sich auf die Identität (wer sich verbindet) und den Netzwerkstandort (von welchem Segment aus). OPSWAT MetaAccess erweitert diese Überprüfung um den Konformitätsstatus des Geräts – ob es alle Sicherheitsanforderungen zum Zeitpunkt der Verbindung erfüllt, nicht nur bei der ersten Registrierung. Dieser Zero Trust-Ansatz: „Niemals vertrauen, immer überprüfen“. – und überprüfen Sie bei jeder Verbindung, nicht nur beim ersten Mal.

Wie funktioniert OPSWAT MetaAccess?

MetaAccess funktioniert über einen auf den Endgeräten (Windows, macOS, Linux, iOS, Android) installierten Agenten oder im agentenlosen Modus für Geräte, die keinen Agenten hosten können. Der Agent führt vor der Verbindung einen Scan des Geräts durch und meldet die Ergebnisse an den MetaAccess-Server, der auf der Grundlage definierter Richtlinien Zugriffsentscheidungen trifft.

Die Zugriffsentscheidung kann binär (zulassen/sperren) oder granular sein. Einem Gerät, das die Anforderungen nicht vollständig erfüllt, kann ein eingeschränkter Zugriff auf das Sanierungsnetzwerk gewährt werden, wo es die Möglichkeit hat, sich automatisch zu reparieren (Updates herunterladen, Scans durchführen). Sobald es repariert ist, führt der Agent eine erneute Überprüfung durch und das Gerät erhält vollen Zugriff.

Durch die Integration mit NAC- und Endpunkt-Sicherheitslösungen entsteht eine umfassende Zugangskontrolle für lokale und entfernte Umgebungen.

Welche Parameter werden vor dem Zugriff überprüft?

MetaAccess überprüft eine breite Palette von Sicherheitsparametern für Endgeräte. Im Bereich Schutz: das Vorhandensein und die Aktivität einer Antivirenlösung (MetaAccess unterstützt über die OPSWAT-Engine mehr als 4.500 Sicherheitsprodukte), die Gültigkeit von Signaturen, den Status der Host-Firewall, das Vorhandensein einer Anti-Malware-Lösung.

Im Update-Bereich: Status der Betriebssystem-Updates (Windows Update, macOS Software Update), Vorhandensein kritischer Patches, Betriebssystemversion (Sperrung veralteter Systeme, z.B. Windows 7).

Im Konfigurationsbereich: Festplattenverschlüsselung (BitLocker, FileVault), Konfiguration des Sperrbildschirm-Passworts, Vorhandensein von nicht autorisierter Software (Schatten-IT), Konfiguration von Bluetooth und anderen drahtlosen Schnittstellen.

Im Bereich Identität und Gerät: Überprüfung des Gerätezertifikats, Domänenmitgliedschaft, MDM-Agent-Version, Hardware-Eigenschaften.

MetaAccess in BYOD- und Fernarbeitsumgebungen

Fernarbeit und BYOD-Richtlinien (Bring Your Own Device) erweitern die Angriffsfläche dramatisch – die privaten Geräte der Mitarbeiter unterliegen nicht den zentralen Konfigurationsrichtlinien und können einen beliebigen Sicherheitsstatus aufweisen. MetaAccess adressiert dieses Szenario durch den agentenlosen Modus oder einen leichtgewichtigen Agenten, der über ein Self-Service-Portal installiert wird.

Bevor er sich über VPN verbindet oder auf eine Webanwendung zugreift, durchläuft ein Benutzer mit BYOD eine MetaAccess-Konformitätsprüfung – entweder im Browser oder über eine leichtgewichtige Anwendung. Wenn das Gerät nicht konform ist (z.B. kein aktuelles Antivirenprogramm), erhält der Benutzer eine klare Meldung mit Informationen darüber, was er tun muss und wie er es tun kann. Die Kombination mit VPN-Lösungen der nächsten Generation bietet eine konsistente Überprüfung für alle Fernverbindungsszenarien.

Integration in bestehende Sicherheitsinfrastrukturen

MetaAccess ist keine Insellösung – es lässt sich über Standardprotokolle und native Konnektoren in die bestehende Infrastruktur integrieren. Die Integration mit VPN-Lösungen (Cisco ASA, Palo Alto, Fortinet, Pulse Secure und andere) ermöglicht die Durchsetzung von MetaAccess-Richtlinien als Voraussetzung für eine VPN-Verbindung. Die Integration mit 802.1X-Systemen und drahtlosen Netzwerk-Controllern ermöglicht eine Überprüfung bei der Verbindung mit dem Unternehmensnetzwerk.

OPSWAT MetaAccess lässt sich auch mit gängigen MDM-Systemen (Microsoft Intune, Jamf, VMware Workspace ONE) integrieren – es kann den Verwaltungsstatus aus dem MDM als eines der Compliance-Kriterien importieren. Die Integration mit SIEM (Splunk, Microsoft Sentinel) exportiert Prüfprotokolle für die zentrale Sicherheitsanalyse.

Berichte und Compliance – was sieht der Administrator?

Die MetaAccess-Verwaltungskonsole bietet dem Administrator einen umfassenden Überblick über den Konformitätsstatus der gesamten Geräteflotte. Das Dashboard zeigt den Konformitätsprozentsatz für jede Anforderung an – z. B. „83 % der Geräte haben einen aktuellen Virenschutz“ – und bietet die Möglichkeit, eine Liste der nicht konformen Geräte und bestimmten Benutzer aufzuschlüsseln.

Historische Berichte zeigen den Trend der Konformität im Laufe der Zeit – wichtig für Sicherheitsaudits und für den Nachweis von Fortschritten bei der Verbesserung von Endgeräten. Echtzeitwarnungen benachrichtigen Sie über Geräte, die nach dem Zugriff nicht mehr konform sind. Die Berichte lassen sich zur Einhaltung gesetzlicher Vorschriften (ISO 27001, NIS2, GDPR) in die Formate PDF/CSV exportieren.

Wichtigste Schlussfolgerungen

• OPSWAT MetaAccess überprüft die Konformität von Geräten mit Sicherheitsrichtlinien vor jeder Verbindung zum Netzwerk – nicht nur bei der ersten Registrierung.
• Die Überprüfung umfasst: Virenschutz, Firewall, Betriebssystem-Updates, Festplattenverschlüsselung, Gerätezertifikate und Hunderte von anderen Parametern.
• Der agentenlose und der Light-Agent-Modus unterstützen BYOD-Umgebungen ohne die Notwendigkeit einer vollständigen Geräteverwaltung.
• Die Integration mit VPN, 802.1X und MDM ermöglicht die Durchsetzung von Compliance-Richtlinien bei jeder Art von Verbindung.
• Die Verwaltungskonsole bietet einen Überblick über den Konformitätsstatus der gesamten Flotte mit historischen Berichten für Audits.

FAQ

Kann MetaAccess den Zugriff von mobilen Geräten blockieren? Ja – MetaAccess unterstützt iOS und Android sowohl im Agentenmodus (MetaAccess-App) als auch durch Integration mit MDM (Microsoft Intune, Jamf).

Wie unterstützt MetaAccess OT/IoT-Geräte ohne die Möglichkeit, einen Agenten zu installieren? MetaAccess bietet einen agentenlosen Modus auf der Grundlage von Netzwerk-Scans und Geräte-Fingerprinting, der den Status ohne einen Agenten auf dem Gerät sichtbar macht.

Wie lange dauert ein Compliance-Scan bis zur Verbindung? Ein MetaAccess-Scan dauert in der Regel nur wenige Sekunden – für den Benutzer ist er bei einer normalen Verbindung praktisch nicht zu bemerken.

Unterstützt MetaAccess den NIST Zero Trust Architecture Standard? Ja – MetaAccess implementiert die zentrale Zero Trust-Säule der Überprüfung des Gerätezustands und wird als ZTNA-Komponente von den wichtigsten Sicherheitsanbietern unterstützt.

Zusammenfassung

OPSWAT MetaAccess verwandelt die Sicherheitsrichtlinien für Endgeräte von einem Dokument in eine in der Praxis durchgesetzte Anforderung – jedes Gerät muss die Konformität nachweisen, bevor es auf das Netzwerk zugreift, nicht nur einmal bei der Konfiguration. Dies ist ein grundlegender Unterschied für die Sicherheit von Fernarbeits- und BYOD-Umgebungen. Wenden Sie sich an Ramsdata, um herauszufinden, wie OPSWAT die Zugriffskontrolle in Ihrem Unternehmen stärken kann.