dynexo Secure

Access / Zero Trust Access

Secure Access
Zero Trust Access

sichere Datenkommunikation auf einem neuen Level

Starten sie mit Zero Trust Access

Wie funktioniert es

dynexo Secure Access nutzt einen Overlay Transport Namens swarm, der alle Kommunikationen in einer sicheren Verbindung verpackt. Anders als bei VPNs, werden hier nicht die Netzwerkpakete direkt verpackt, sondern nur die Datenpakete aus den Applikationen. Die Kommunikation ist somit immer "entkoppelt", weshalb es keine Kollision zwischen gleichen Netzwerk- und IP-Segmenten geben kann.

Alle Komponenten sind in einem Stack kombiniert, der als gemeinsame Schnittstelle einen proprietären Transport verwendet.
Diese Transportschicht ermöglicht es swarm Daten mit einer Komplexität von

  • 65.536 Verbindungen,
  • für 65.536 Domains,
  • mit 4.294.967.296 Endpoints abzubilden.

Auf Basis dieser Verbindungen lassen sich weitere Protokolle darstellen, so dass die Komplexität nach belieben zunehmen kann. Durch diesen Transport erreicht swarm einen sehr hohen Entropiewert, selbst ohne den Einsatz von Verschlüsselung. Selbstverständlich sind alle swarm Kommunikationen gemäß den aktuellsten Verfahren gegen unberechtigte Zugriffe geschützt.
Dazu gehören AES-GCM, SHA-256, ECDHE und Blake3 für Verschlüsselung und Authentifizierung.
Der Transport nutzt sowohl TCP und UDP für den Datenaustausch.

image

swarm Broker

Der swarm Broker vermittelt zwischen Clients, Agents und Relays. Er stellt sicher, dass sich alle Komponenten identifizieren und finden können. In der eigentlichen Datenkommunikation übernimmt der Broker keine Rolle.
Der Broker kann daher als Shared Service genutzt werden.

swarm Controller

Die zentrale Instanz für die Verwaltung und Steuerung aller Komponenten ist der Controller. Alle Endpoints melden sich beim Controller und erhalten so die entsprechende Richtlinie und Verbindungsinformatation

Über den Controller erfolgt auch die Provisionierung, also Erst-Einrichtung neuer Clients und Agents
Die Administration erfolgt über das zentrale Dashboard des Controllers.
Ein Controller kann bis zu 64 Relays verwalten.

swarm Relay

Das swarm Relay ist der zentrale Datenknoten für alle Kommunikationen. Auf Basis der Transportschicht erfolgt über das Relay die Kommunikation zwischen Clients und Agents.
Über ein Relay können nur Clients mit Agents kommunzieren. Eine andere Art der Kommunikation ist technisch nicht möglich. Das Relay setzt hierfür das Prinzip einer Daten-Diode konsequent um.
Jedes Relay bietet Schnittstellen in beliebigen Netzwerkbereichen, sodass Zugriffe über das Internet, MPLS oder Mobile Datennetze parallel abgebildet werden können. Das Grundprinzip des Transport Agnostic Access war ein wichtiges Kriterium bei der Entwicklung des Relays.

Ein Relay kann sowohl On-Premise als auch in einer Cloud-Umgebung platziert werden. Die gemeinsame Nutzung beider Strategien im Rahmen einer Hybrid- oder Multi-Cloud-Architektur ist immer gewährleistet.
Als zentraler Datenknoten übernimmt das Relay nur rudiementäre Filter-Aufgaben, indem das Single-Pass Prinzip angewandt wird. Bei der Entwicklung wurde die langjährige Erfahrungen im Asynchronous Transfer Mode (ATM) und im Design Mobilfunk-Netzen eingebracht. Der Fokus liegt auf der Vermittlung und Weiterleitung von Daten.

swarm Client

Der swarm Client ermöglicht den Zugang zum Zero-Trust Access und wird auf dem jeweiligen Endpunkt eingesetzt.
Er steht für alle Standard-Client und Mobile-Plattformen zur Verfügung.

Für den Einsatz auf Gateways und Servern, steht der swarm Client auch als Embedded Variante zur Verfügung.

image
image
image

Der Client ist im Light und im Dark-Mode verfügbar und startet automatisch mit dem Betriebssystem.

swarm Agent

Der swarm Agent steht als Service für alle Plattformen bereit. Er kann sowohl auf Endgeräten wie PCs und Notebooks, als auch auf Servern und mobile Endgeräten eingesetzt werden. Auch der Einsatz auf Embedded Systems wird unterstützt.
Die Steuerung und Verwaltung erfolgt über das Admin Dashboard des zugewiesenen Controllers.

Kompromissloses Zero-Trust Prinzip kombiniert mit einer Daten-Diode

Secure Access / swarm wendet das Zero Trust Prinzip kompromisslos an.
Kommunikationen erfolgen IMMER von einem Client (Left) über das Relay (Middle) zu einem Agent (Right).

Zum Beispiel: Clients können niemals direkt miteinander kommunizieren, auch wenn sie sich in der gleichen Domain befinden. Abweichungen von diesem Prinzip sind technisch nicht möglich.
Das Prinzip entspricht dem einer Daten-Diode.

Durch die Identifikationsmerkmale einer jeden Verbindung, wissen Relay und Agent jederzeit, welcher, Client, mit welcher Applikation, von welchem Anwender, aktuell genutzt wird.
Alle Zugriffe werden kryptografisch sicher nach dem Block-Chain-Prinzip protokolliert.

image

Attribute-based Policy

Secure Access nutzt Attribute für die Berechtigung einer Kommunikation.
IP Adressen oder ähnliche Merkmale einer klassischen Netzwerkkommunikation werden nicht verwendet

Alle erforderlichen Attribute werden durch die Engine automatisch definiert und bei jeder Anfrage durch den Client übermittelt.
Aufgrund der Zuweisung von Applikationen zu Domains und Agents, kann eine direkte Zuweisung des Flows nach dem Zero-Trust Prinzip erfolgen.
Einzig die definierten Attribute werden dabei im Rahmen der Kommunikationsrichtlinien genutzt.

Endpoint Profiling

Jeder Client wendet aktives Endpoint-Profiling an, um den jeweiligen Endpunkt zu identifizieren.
Dabei werden verschiedene Merkmale kryptografisch sicher erfasst und verarbeitet, darunter

  • Hardware und Komponenten des Endgeräts,
  • Anwender-Informationen und biometrische Merkmale,
  • verhaltensbasierte Merkmale des Anwenders,
  • Betriebssystem-Informationen,
  • geografische Informationen,
  • verfügbare, lokale Netzwerkdienste,
  • laufende Anwendungen und sonstige Dienste

Im Rahmen des Profilings kommen Methoden des Maschinellen Lernens zur Benutzer-Identifikation zum Einsatz.

Alle personenbezogenen Informationen verbleiben auf dem Endgerät und gehen lediglich als Teil des Ergebnisses aus dem Endpoint-Profiling in einen kryptografisch sicheren Hash ein. Rückschlüsse auf konkrete Daten sind nicht möglich.
Das System berücksichtigt die besonderen Anforderungen der EU-DSGVO in vollem Maße.

Policy: Kommunikationsrichtlinien

Kommunikationsrichtlinien sind des Herzstück der Zero-Trust Policy

image

Kommunikationsrichtlinien werden als Allow-Policies implementiert.
Analog einer Firewall-Richtlinie, wählt die swarm Engine die Richtlinien von oben nach unten aus.
Quellen (Source) und Ziele (Destination) können verschiedene Objekt-Typen beinhalten.
Die Objekttypen werden in Abhängigkeit von der Kommunikation durch den Client automatisch gesetzt und für jede Anfrage abrufbar.
Im Falle des Agents sind sie durch die Policy-Engine fest vordefiniert.

Policy Objekt: Applikation

image

Applikationen werden in Form von Applikations-Objekten zusammengefasst.
Sie sind so fest definiert und können direkt wiederverwendet werden.

Policy Objekt: Applikations Profile

image

Applikations Profile bieten als Policy Optionen zusätzliche Merkmale.
Derzeit werden die Merkmale Bandbreite in Megabits (Mbps) und Latenz in Millisekunden (ms) unterstützt.

Prinzip der Security Architektur

image

Endpoint
Ein Endgerät oder eine Workstation, wie ein PC, Laptop oder mobiles Gerät

Domain
Eine Domain repräsentiert eine Menge von swarm Endpoints, die eine Gemeinsamkeit teilen.
Das kann eine Applikation, eine spezielle Rolle, ein konkretes Szenario oder ein Business-Case sein.
In einer Domain werden diese Endpoints, also Clients und Agents

Client
Ein swarm Client oder auch Swarmer, der sich auf der Sendeseite (links) einer swarm Kommunikation befindet.

Agent
Ein swarm Agent oder auch Sworker, der sich auf der Empfangsseite (rechts) einer swarm Kommunikation befindet.

Applikation
Eine Anwendung oder ein Dienst, der innerhalb der Domain verfügbar gemacht werden soll / verfügbar ist.

Unsere Secure Access Pakete

Access Paket 1

Geteilt
  • virtuelle Plattform
  • 2 Domains und 50 Endpoints
  • geteilte Bandbreite
  • geteilte Systemressourcen
  • JSON Log-Export zu einem Ziel

Access Paket 2

Garantiert
  • virtuelle Plattform
  • 10 Domains und 150 Endpoints
  • eigenständige Instanz
  • garantierte Bandbreite
  • garantierte Ressourcen
  • Log-Export zu 2 Zielen

Access Paket 3

Exklusiv
  • dedizierte Plattform
  • 50 Domains und 500 Endpoints
  • eigenständige Instanz
  • beliebige Log-Exports
  • auch als On-Premise Option

Kontaktieren Sie uns für ein individuelles Angebot