Ipswitch MOVEit: Dateien über Managed File Transfer sicher versenden

    Dateiübertragung anfordern in MOVEitDateien mit Kollegen, Geschäfts­partnern, Behörden und End­kunden auszu­tauschen, gehört in vielen Unter­nehmen zur täg­lichen Not­wen­digkeit. Wenn dabei sen­sible Daten ver­sendet werden, dann erfordern Vor­schriften wie die DSGVO sowie interne Compliance-Richt­linien einen sicheren und zentral ver­walteten Transfer.

    Höhere Sicherheits­auflagen gehen oft zu Lasten der Benutzer­freundlichkeit und Bedien­barkeit. Eine Anforderung an eine sichere Übertragung von Geschäfts­daten besteht somit darin, die Produktivität der Anwender nicht zu beein­trächtigen. Auch der Aufwand für das Management soll sich in Grenzen halten.

    Sicherheitsfunktionen von MOVEit

    Zu den Security-Features von MOVEit Transfer gehört die Authentisierung mittels Radius, LDAP und das haus­eigene WS-TRUST. Die Benutzer­anmeldung lässt sich per Multifaktor-Authentifizierung zusätzlich absichern.

    Ipswitch Moveit umfasst auch eine Option für Multifaktor-Authentisierung, um den Login abzusichern.

    Das System kann per Single-Sign-On (SSO) via SAML 2.0 im Netz integriert werden, beispiels­weise mit Microsoft ADFS. Außerdem lassen sich LDAP-Verzeichnisse und Active Directory anbinden.

    Aufbau und Funktionsweise von Ipswitch MOVEit

    Die integrierte Benutzer­verwaltung wartet mit fein­granularen Einstellungen für Sicherheit, Zugriff, Rollen und System­funktionen auf: So kann pro Benutzer festgelegt werden, wann seine Zugriffs­berechtigung abläuft, über welche Dateisystem­berechtigungen je Verzeichnis er verfügt oder welche Transfer­protokolle er nutzen darf. Dazu zählen FTP(S), SFTP bzw. SSH sowie HTTPS und SMTP.

    Admins verwalten die Software über eine Web-Oberfläche.

    Die Standard­rollen sind von Haus aus begrenzt auf Zugriffe aus dem lokalen Netz. Diese können auf IP- oder Domänen­ebene erweitert werden. Pro Benutzer und Gruppe lässt sich einstellen, wer von welcher IP mit welchem Protokoll zugreifen darf.

    Dateisicherheit

    Die übermittelten Dateien werden bei der Übertragung stets automatisch Ende zu Ende verschlüsselt. Dafür kommt FIPS 140-2-validierte AES-256-Kryptografie zum Einsatz.

    Jede hoch­geladenen Datei unterliegt diversen Kontroll- und Audit-Funktionen: Sie erhält eine ID, die Integrität wird automatisch überprüft und Manipulationen sollen so zuverlässig verhindert werden.

    Für jede Datei können Unter­nehmen im Nachhinein prüfen, wer sie eingesehen und herunter­geladen hat. Die Lösung kann zudem mit verschiedenen Systemen für Data Loss Prevention (DLP) und Viren­schutz­paketen zusammen­arbeiten.

    MOVEit aus der Benutzersicht

    Anwender melden sich über die Web-GUI an und können sofort Dateien hochladen, versenden und empfangene Files herunter­laden. Neben einem Web-Browser stehen dafür mehrere Clients zur Verfügung.

    Dazu zählen native Desktop-Clients für Windows und macOS sowie eine App für iOS und Android. Zudem kann man den populären WS_FTP-Client nahtlos mit dem MOVEit-System verwenden.

    Um eine einfache und intuitive Benutzer­erfahrung zu gewähr­leisten, gestaltet Ipswitch den Adhoc-Austausch von Dateien in der Web-Oberfläche nach dem Vorbild von E-Mail. Über den integrierten Web-Mailer können User Empfänger auswählen und Dateien anhängen. Die Datei­anhänge werden automatisch im Ipswitch-System abgespeichert.

    Anwender können Dateien über eine Art Webmailer als sogenannte Packages bequem und sicher verschicken.

    Die Empfänger erhalten einen Link, über welchen sie sich einloggen und die Dateien als "Package" herunterladen. Auch der umgekehrte Weg ist möglich: Anwender können gezielt Dateien per Mail-Nachricht anfordern, der Empfänger hängt die Dateien dann einfach an seine Antwort an.

    Für den beschriebenen Adhoc-Versand ist alternativ ein Outlook-Plugin verfügbar, welches das inter­aktive Anmelden am Ipswitch-System überflüssig macht und den Datei­versand wie eine Kommunikation per E-Mail gestaltet.

    Sind externe User noch nicht im System, wird für Adhoc-Transfers automatisch ein Konto mit eingeschränkter Gültigkeit erstellt.

    Um die Zusammen­arbeit zwischen Personen oder Teams zu ver­einfachen, können Anwender Shared Folders einrichten und an Benutzer oder Gruppen freigeben.

    Besonders praktisch dabei ist, dass das System externe User mit begrenzter Berechtigung und definierbarer Verfallsdauer automatisch erstellen kann. Dasselbe gilt dabei auch für Adhoc-Package-Transfers, bei denen die Empfänger nicht als User im Server angelegt sind.

    Transparenz über alle Transfers

    Admini­stratoren und User erhalten über die Web-Konsole je nach Rolle und Berechtigung volle Transparenz über alle Dateitransfers, abgelegten Dateien und beteiligte Personen und Systeme.

    Ausführliche Logs geben Aufschluss über alle Vorgänge. Zu jeder Datei wird ihr Integritäts­zustand angezeigt. Eine Live View genannte Ansicht visualisiert in Echtzeit die aktuell ablaufenden Transfers.

    Die Live View ist primär für Administratoren gedacht und bietet einen schnellen Überblick über alle aktuellen Transfervorgänge.

    Vorgefertigte Reports liefern nützliche Statistiken für tiefergehende Analysen und lassen sich durch eigene Abfragen anhand einer Vielzahl wählbarer Metriken erweitern.

    Über Reports erhalten Admins detaillierte Einblicke in die Aktivitäten des Systems und der User.

    Die so erstellten Berichte kann man über die GUI abrufen oder automatisch per Mail versenden.

    Verfügbarkeit und Installation

    Ipswitch unterstützt mit MOVEit Transfer drei Optionen der Bereitstellung: On-Prem-Installation auf einem Windows-Server, als Azure Instanz (IaaS) oder als Managed File Transfer (MFT) as a Service in der DSGVO-konformen Ipswitch-Cloud.

    Für eine lokale Installation genügt ein Server mit einer Dual-Core CPU und mindestens 4 GB RAM. Der Setup-Assistent installiert benötigte Komponenten wie beispielsweise die IIS oder eine Datenbank automatisch nach. Bei Letzterer kann es sich um einen vorhandenen MS-SQL Server oder eine Azure-DB handeln. Alternativ richtet das Setup einen MySQL-Server ein.

    Datenbankoptionen für Ipswitch MOVEit

    Zusätzlich fragt das Installations-Tool verschiedene Einstellungen wie den Speicherort für die Dateien ab. Dieser kann sich lokal oder auf einem NAS befinden. Lokale Installationen lassen sich bei Bedarf mittels HA und Loadbalancing hochverfügbar einrichten. Das ebenfalls optionale Ipswitch Gateway sichert Zugriffe über einen Proxy in der DMZ weiter ab.

    Im Anschluss an das Setup kann sich der Administrator über die konfi­gurierte URL per Web-GUI anmelden. Praktischer­weise wird das benötigte SSL-Zertifikat auf Wunsch direkt mitgeneriert.

    Bevor Nutzer angelegt werden können, muss der MFT-Administrator zunächst mindestens eine Organisations­einheit festlegen, weil das Ipswitch-System mandanten­fähig ist. Je Organisation bzw. Mandant lassen sich separate Sicherheits­richtlinien, Benutzer und beispielsweise URL-Setups einrichten.

    Preise

    MOVEit Transfer kann über Ipswitch-Partner erworben werden. Das System ist ab zirka 15.000 Euro erhältlich. Verschiedene kosten­pflichtige Zusatz­optionen sind verfügbar. So schlägt MOVEit Adhoc (für Package-Versand aus Outlook oder dem Web-Client) mit zirka 5.000 Euro zu Buche. Ipswitch stellt zudem eine kostenlose 30-Tage-Testversion zum Download bereit.

    Fazit

    Ipswitch MOVEit ist ein durch­dachtes und ausgereiftes System zur sicheren Übertragung von Dateien. Die Lösung bietet sich insbesondere dann an, wenn Dateien mit einer Vielzahl externer Personen ausgetauscht werden. Durch intelligente Mechanismen wie die automatische Generierung temporärer User wird der Aufwand beim Management der Umgebung minimiert.

    Zudem lassen sich mit der optionalen Automation-Komponente umfangreiche Workflow-Szenarien abbilden, welche den automatischen Dateitransfer auch direkt zwischen Systemen und Applikationen erlauben. Anwender dürften den Komfort und die Zuverlässigkeit des Systems schätzen.

    Durch die unterschiedlichen Bereitstellungs­optionen von On-Prem über Public Cloud bis hin zu einem voll verwalteten SaaS haben Unternehmen flexible Möglichkeiten der Nutzung.

    Keine Kommentare