Einführung in das beem Basic Security Edition Playbook
Dieses Handbuch richtet sich an IT-Administratoren, technische Projektleiter und Partner, die an der Einführung und Migration zu beem Basic Security Edition beteiligt sind.
Dieses Handbuch führt Sie durch die Migration einer bestehenden Umgebung zu beem Basic Security Edition und die Einbindung Ihres dedizierten Mandanten. Es verwendet modulare Bausteine mit klaren Schritten für die Aktivierung, Konfiguration und Migration sowohl bestehender als auch neuer Umgebungen. Verwenden Sie die Bausteine, um einen reibungslosen Übergang und eine effektive Nutzung der Funktionen von beem Basic Security Edition zu gewährleisten.
Was sind Bausteine?
Bausteine bieten einen modularen Ansatz für die Implementierung von beem Basic Security Edition. Jeder Baustein kann in unterschiedlicher Reihenfolge angewendet werden, um den Zielen und der Umgebung Ihres Unternehmens gerecht zu werden.
Die Ausgangsbedingung ist die Grundlage für alle Bausteine. Von dort aus können Sie die Bausteine in der Reihenfolge anordnen, die Ihren Anforderungen am besten entspricht.
Bausteine können auch iterativ verwendet werden, sodass Sie Schritte bei der Verfeinerung oder Verbesserung von Prozessen wiederholen können. Diese Flexibilität gewährleistet, dass der Onboarding- und Migrationsansatz an jede Situation angepasst werden kann.
Ausgangsbedingung
Bevor Sie beem Basic Security Edition bestellen, müssen Sie entscheiden, wie der Onboarding-Prozess abgewickelt werden soll. Sie haben drei Optionen:
- Swisscom Center of Excellence: kostenpflichtige Servicepakete mit fachkundiger Begleitung während der gesamten Planung und Migration. Ideal, wenn Sie strukturierte Unterstützung wünschen.
- Partner: Onboarding unter der Leitung eines zertifizierten Partners. Empfohlen, wenn Sie bereits mit einem vertrauenswürdigen Partner zusammenarbeiten oder externes Fachwissen benötigen.
- Do It Yourself (DIY): intern von Ihrem IT-Team verwaltet. Geeignet, wenn Sie über die erforderlichen Ressourcen, Kenntnisse und Erfahrungen verfügen und die vollständige Kontrolle bevorzugen.
Ihre Wahl hängt von den verfügbaren Ressourcen, Ihrem internen Fachwissen und Ihrem Supportbedarf ab. Nachdem Sie sich entschieden haben, können Sie Ihre Bestellung für beem Basic Security Edition aufgeben und mit der Mandantenbereitstellung fortfahren.
Tenant Provisioning
Sobald Sie eine Bestellung über den beem Hub aufgegeben haben, sichert Tenant Provisioning automatisch alle berechtigten Geräte – Mobilgeräte, PCs, Macs, Tablets und IoT-Endpunkte mit einer Swisscom-SIM-Karte – über beemNet. Der Schutz ist landesweit und auch beim Roaming aktiv. Die Standorte, die Sie während der Einrichtung auswählen, werden zusammen mit diesen Geräten zu Ihrem Mandanten hinzugefügt. Dieser automatisierte Schritt bildet die Grundlage für die spätere Konfiguration: Von Anfang an sind Ihre ersten Geräte und Standorte ohne manuelle Einrichtung mit dem sicheren beemNet verbunden.
Die Internetsicherheitsfunktionen sind standardmässig aktiviert und blockieren sofort bösartige Websites und andere Online-Bedrohungen. Beachten Sie, dass nicht alle SIM-Produkte sowohl Schutz als auch Verbindung unterstützen; einige bieten nur eine der beiden Funktionen. Wenn Sie die Endpunkt-IP-Adressverschleierung verwenden möchten, beachten Sie, dass Umgebungen, die feste öffentliche IP-Adressen erfordern, möglicherweise Ausnahmen oder alternative Muster benötigen. Bewerten Sie diese Anforderungen frühzeitig, um eine reibungslose Deployment sicherzustellen.
Bausteine
beem App
Die beem App für Windows, macOS, iOS, iPadOS und Android schützt Client-Geräte, wenn sie über Netzwerke von Drittanbietern oder ungesicherte Netzwerke (z. B. öffentliches WLAN) verbunden sind. Sie nutzt Deep Packet Inspection, um unsicheren Datenverkehr zu erkennen und zu blockieren, und bietet Ihnen so umfassenden Schutz vor bösartigen Websites und kompromittierten Netzwerken.
Deployment
Sie können die App auf zwei Arten installieren:
- Selbstbedienung: Benutzer laden die App selbst herunter und installieren sie.
- Verwaltete Deployment: Administratoren stellen die App über die Device Management auf registrierten Geräten bereit.
Alle Geräte werden zentral im beem Hub verwaltet.
Lizenzierung
Eine gültige Benutzerlizenz ist erforderlich für:
- Passwortlose Authentifizierung in der beem App.
- Schutz von Geräten vor Cyber-Bedrohungen.
- Zero-Trust-Zugriff auf Geschäftsanwendungen für Mitarbeiter und Partner.
Zur Vorbereitung:
- Legen Sie die Benutzer fest, die Sie einbinden möchten, und die Gruppen, denen sie angehören sollen.
- Bestellen und weisen Sie die erforderlichen Lizenzen im beem Hub zu.
- Verwenden Sie Gruppen als Kriterien in Zugriffsrichtlinien für die kontextbasierte Anwendungssteuerung.
INFO
Bei der Verwaltung von UNID-Konten und -Gruppen sollten Sie sich darauf konzentrieren, die geschäftlichen Anforderungen zu erfüllen, anstatt die Lizenzzuweisungen übermässig zu optimieren.
Benutzer- und Administratorerfahrung
- Endbenutzer erhalten gerätespezifische Push-Benachrichtigungen in Echtzeit und können ihr persönliches Sicherheits-Dashboard in der App einsehen. Das Dashboard zeigt blockierte Inhalte und verhinderte Vorfälle an.
- Administratoren sehen ein aggregiertes und anonymisiertes Sicherheits-Dashboard auf Unternehmensebene, das einen Überblick über den Gesamtschutz bietet und gleichzeitig die Privatsphäre des Einzelnen schützt.
Device Management
Die Device Management ermöglicht die zentrale Steuerung von Client-Geräten unter Windows, macOS, iOS, iPadOS und Android. Damit können Sie die Sicherheit gewährleisten und Unternehmensdaten auf allen Ihren Geräten schützen.
Fähigkeiten
- Verlorene oder gestohlene Geräte aus der Ferne sperren.
- Löschen Sie Unternehmensdaten von registrierten Geräten, ohne persönliche Inhalte zu beeinträchtigen.
- Wenden Sie vordefinierte Geräte-Richtlinien an, die kontinuierlich aktualisiert werden.
Aktivierung
Nach Ihrer ersten Bestellung können Sie die Device Management im beem Hub aktivieren. Dieser Vorgang verbindet die Mobile Device Management (MDM)-Plattform mit Ihrem beem Basic Security Edition-Mandanten.
Konfiguration
- Entscheiden Sie, ob Sie alle unterstützten Betriebssysteme oder nur ausgewählte verwalten möchten.
- Führen Sie alle betriebssystemspezifischen Einrichtungsschritte direkt im beem Hub durch (z. B. das Erstellen und Verknüpfen eines Apple Business Manager-Kontos zur Verwaltung von iOS- und macOS-Geräten).
- Nach der Aktivierung wählen Sie aus vordefinierten Geräterichtlinien aus und weisen diese den entsprechenden Gerätegruppen zu.
Anwendungserkennung
Application Discovery ist der Prozess, bei dem alle Geschäftsanwendungen in Ihrer Umgebung identifiziert, Zugriffsberechtigungen festgelegt und Zugriffsmöglichkeiten definiert werden. Dies gilt für Anwendungen, die auf lokalen Servern, in privaten oder öffentlichen Clouds und auf SaaS-Plattformen gehostet werden.
Zweck
Vor der Migration ist eine vollständige Bestandsaufnahme der Anwendungen unerlässlich. Ohne diese bleiben wichtige Anwendungen möglicherweise ungeschützt oder falsch konfiguriert. Berücksichtigen Sie bei der Erstellung der Bestandsaufnahme Fragen wie:
- Wie greifen Benutzer derzeit auf diese Anwendung zu? Nur intern oder auch extern?
- Erfolgt der Zugriff über VPN, Fernzugriff oder direkt über die Cloud?
- Welche Gruppen oder Rollen benötigen Zugriff?
- Wird die Anwendung lokal, in der Cloud oder als SaaS ausgeführt?
Dadurch wird sichergestellt, dass Anwendungen sowohl nach technischen Zugriffsmustern als auch nach geschäftlichen Anforderungen katalogisiert werden.
Automatische Erkennung in beem Basic Security Edition
Um diesen Prozess zu unterstützen, bietet beem Basic Security Edition eine automatisierte Funktion zur Erkennung von Anwendungen.
- Lernmodus: Läuft über einen konfigurierbaren Zeitraum (z. B. mehrere Wochen), um die normale Nutzung zu erfassen.
- Passive Analyse: Überwacht den LAN-/WAN-Datenverkehr mithilfe von Protokoll-Sniffing, Heuristik und Aggregation, um wahrscheinliche Anwendungsserver zu identifizieren.
- Aktives Scannen: Ergänzt passive Methoden durch die Untersuchung von Netzwerkknoten, die möglicherweise keinen hohen Datenverkehr generieren.
- SaaS-Katalog: Eine integrierte Bibliothek mit rund 8.000 SaaS-Anwendungen ermöglicht die automatische Erkennung vieler gängiger Dienste.
Das Ergebnis ist eine konsolidierte Ansicht der verwendeten Anwendungen, wodurch die Konfiguration von Anwendungsmetadaten und Routen in der beem Fabric vereinfacht wird.
Verbindungsmuster
Jeder Anwendungstyp erfordert einen anderen Konnektivitätsansatz. Planen Sie während der Erkennung, welches Muster für jede Anwendung gilt:
- Private Anwendungen vor Ort (Edge Interceptor):
- Auf lokalen Servern gehostete Anwendungen können mit dem Swisscom Centro Business Router sicher veröffentlicht werden.
- Der Router leitet den eingehenden Internetverkehr direkt an den Endhost im LAN weiter (Ingress), sodass in dieser Konfiguration keine separate Firewall vor Ort erforderlich ist.
- Sicherheitsrichtlinien können pro fester öffentlicher IP-Adresse oder FQDN definiert werden.
- Private Anwendungen in der Cloud (Tunnel):
- Cloud-gehostete private Anwendungen werden durch verschlüsselte Tunnel zwischen Client-Geräten und Cloud-Infrastruktur gesichert.
- Die tunnelbasierte Konnektivität unterstützt mehrere Deploymentsmodelle (z. B. IaaS, PaaS) und gewährleistet eine konsistente Durchsetzung von Richtlinien in verschiedenen Umgebungen.
- SaaS-Anwendungen (Inline-CASB):
- Der SaaS-Datenverkehr wird durch einen Inline-Cloud Access Security Broker (CASB) gesichert, der Aktivitäten überwacht und Richtlinien in Echtzeit durchsetzt.
- Sie können aus dem unterstützten SaaS-Katalog auswählen, um Zero-Trust-Kontrollen für die ausgewählten Dienste anzuwenden.
Warum eine frühzeitige Erkennung wichtig ist
Die Zuordnung von Anwendungen und Konnektivitätsanforderungen zu Beginn verhindert spätere Nacharbeiten während der Migration. Wenn Sie wissen, ob eine Anwendung zu einem Edge Interceptor-, Tunnel- oder CASB-Muster gehört, können Sie die Konfiguration von beem Basic Security Edition von Anfang an an Ihre Geschäftsumgebung anpassen. Während des Erkennungsprozesses sollten je nach Anwendungsbereitstellung verschiedene Konnektivitätsansätze in Betracht gezogen werden: Lokale Anwendungen erfordern in der Regel Edge-Interception-Konnektivitätsmuster, cloudgehostete Anwendungen werden am besten über sichere Tunnelverbindungen bedient, während Software-as-a-Service-Anwendungen von einer Inline-CASB-Integration (Cloud Access Security Broker) profitieren. Wenn Sie diese Konnektivitätsanforderungen frühzeitig verstehen, können Sie die geeignete beem Basic-Konfiguration für jeden Anwendungstyp bestimmen.
Internetzugang
beem Basic Security Edition bietet integrierte Internetsicherheit für alle verbundenen Geräte. Schutz vor Bedrohungen und Datenschutzfunktionen sind standardmässig aktiviert und ermöglichen Benutzern sicheres Surfen durch automatische Blockierung bösartiger Websites, Phishing-Versuche und unsicherer Netzwerke. Die Plattform legt von Anfang an Wert auf Internetsicherheit und gewährleistet sofortigen Schutz vor webbasierten Bedrohungen.
Verschleierung der IP-Adresse des Endpunkts
Ein zentrales Merkmal von beem Basic Security Edition ist die Endpunkt-IP-Adressverschleierung, die Geräte- und Standort-IP-Adressen vor dem öffentlichen Internet verbirgt.
- So funktioniert es: Carrier-Grade Network Address Translation (CGNAT) behandelt Ihre privaten IP-Adressen als nicht routbar und ersetzt sie durch eine gemeinsam genutzte öffentliche IP-Adresse aus dem beem-Pool.
- Was andere sehen: Externe Websites und Dienste sehen die freigegebene öffentliche Schweizer IP-Adresse, niemals die tatsächliche IP-Adresse des Kunden oder der Website.
- Standardverhalten: Cloaking ist standardmässig für Geräte und Standorte aktiviert.
Vorteile
- Datenschutz: Verhindert, dass Websites und Dritte einzelne Geräte-IPs verfolgen.
- Sicherheit: Reduziert die Anfälligkeit für gezielte Angriffe wie DoS oder Social Engineering.
- Compliance: Stellt sicher, dass die im Internet angezeigte öffentliche IP-Adresse immer aus der Schweiz stammt, wodurch Datenschutz- und gesetzliche Anforderungen erfüllt werden.
Ausnahmen und Planung
Wenn Sie eingehende Konnektivität benötigen (z. B. eine feste öffentliche IP-Adresse, um Dienste zu veröffentlichen), können Sie die Verschleierung pro Standort deaktivieren. In diesen Fällen:
- Ausnahme pro Standort: Cloaking kann für bestimmte Websites deaktiviert werden.
- Einschränkungen: Die Verwendung fester öffentlicher IP-Adressen bei deaktivierter Cloaking-Funktion kann zu Konfigurationsproblemen führen.
- Empfehlungen: Wenn möglich, sollten moderne, zentralisierte Alternativen eingesetzt werden, um ein hohes Mass an Sicherheit zu gewährleisten und gleichzeitig die Konnektivitätsanforderungen zu erfüllen.
Zero-Trust-Zugriff für private Geschäftsanwendungen
Private Geschäftsanwendungen und Unternehmensdaten können mithilfe eines Zero-Trust-Zugriffsmodells gesichert werden. Diese Anwendungen können auf lokalen Servern innerhalb des Unternehmensnetzwerks gehostet oder in der Cloud bereitgestellt werden.
Für Client-Geräte, die bereits Teil von beemNet sind, wird der Zero-Trust-Zugriff auf private Anwendungen auch ohne die beem App unterstützt.
Implementierungsansatz
Unternehmen können Zero-Trust-Zugriff schrittweise einführen:
- Beginnen Sie mit kritischen Anwendungen: Sichern Sie zuerst die geschäftskritischen Dienste, um die höchsten Risiken zu reduzieren.
- Schrittweise erweitern: Erweitern Sie den Schutz im Laufe der Zeit auf weitere Anwendungen, indem Sie dasselbe Zero-Trust-Framework verwenden.
- Anpassung an geschäftliche Prioritäten: Stellen Sie sicher, dass die Migrationsschritte den betrieblichen Anforderungen und den verfügbaren Ressourcen entsprechen.
Dieser schrittweise Ansatz minimiert Störungen, reduziert die Komplexität und stellt sicher, dass wichtige Geschäftsfunktionen von Beginn der Einführung an geschützt sind.
Zero-Trust-Zugriff für Software as a Service (SaaS)
Der Zugriff auf die von Ihnen ausgewählten SaaS-Anwendungen kann mithilfe von Zero-Trust-Zugriffsprinzipien gesichert und kontrolliert werden.
Ein Inline-Cloud-Access-Security-Broker (CASB) setzt Richtlinien in Echtzeit durch. Mit einem Forward-Proxy kann CASB je nach Ihrer Deploymentsoption sowohl innerhalb als auch ausserhalb von beemNet Zero-Trust-Zugriffskontrollen anwenden.
Dadurch wird sichergestellt, dass nur authentifizierte und autorisierte Benutzer Zugriff auf SaaS-Anwendungen erhalten, wobei die Richtlinien unabhängig vom Standort einheitlich angewendet werden.
Lokale (Web-)Server verbinden und schützen
Sie können lokale Webserver sicher im Internet verfügbar machen, wenn die Website des Servers über eine Swisscom-Breitbandverbindung mit beemNet verbunden ist.
- Zugriffsmethoden: Lokale Server können über eine feste IP-Adresse oder dynamisches DNS (DynDNS) veröffentlicht werden.
- Sicherheitskontrollen: Sicherheitsrichtlinien werden pro fester IP-Adresse oder vollqualifiziertem Domänennamen (FQDN) angewendet.
- Verkehrsabwicklung: Der Swisscom Centro Business Router leitet den eingehenden Internetverkehr (Ingress) mithilfe der Edge Interceptor-Funktionalität an den endgültigen Host im LAN weiter.
- Auswirkungen auf die Infrastruktur: Durch diese Konfiguration ist keine separate Firewall vor Ort mehr erforderlich, da das Routing und die Durchsetzung von Sicherheitsrichtlinien über den Router und die beem-Richtlinien erfolgen.
Netzwerk- und Datenverkehrsvorbereitung
Bevor Sie beem Basic Security Edition implementieren, müssen Sie Ihr Netzwerk so vorbereiten, dass es sichere Verbindungen und zuverlässige Leistung unterstützt.
Zugriff auf lokalen Server
Wenn Sie vorhaben, lokale (Web-)Server über das Internet zugänglich zu machen:
- Konnektivität: Server müssen über eine Swisscom-Breitbandverbindung mit beemNet verbunden sein.
- Veröffentlichungsmethoden: Server können über feste IP-Adressen oder dynamisches DNS (DynDNS) veröffentlicht werden.
- Sicherheitsdurchsetzung: Sicherheitsrichtlinien können für jede feste IP-Adresse oder jeden vollqualifizierten Domänennamen (FQDN) definiert werden.
- Verkehrsabwicklung: Eingehender Internetverkehr (Ingress) wird über die integrierte Edge Interceptor-Funktion des Swisscom Centro Business-Routers direkt an den LAN-Host weitergeleitet.
- Auswirkung: Durch diese Konfiguration entfällt die Notwendigkeit einer separaten lokalen Firewall.
Aufgaben zur Netzwerkvorbereitung
Um einen reibungslosen Einstieg und langfristige Stabilität zu gewährleisten:
- Routing-Richtlinien bewerten: Überprüfen Sie das bestehende Netzwerk-Routing, um die Kompatibilität mit der beemNet-Integration sicherzustellen.
- Bandbreitenplanung: Stellen Sie sicher, dass ausreichend Kapazität für verschlüsselten und gesicherten Datenverkehr zur Verfügung steht.
- Integrationsdesign: IP-Adressierung, DNS und Konnektivitätsmuster an die geplante beem-Basis-Konfiguration anpassen.
Eine ordnungsgemässe Vorbereitung verringert das Risiko von Störungen während der Einführung und stellt sicher, dass die Dienste von beem Basic von Anfang an mit optimaler Sicherheit und Leistung funktionieren.
VPN-Stilllegung
Die Migration von herkömmlichen VPN-Lösungen zur beem Basic Security Edition erfordert einen schrittweisen Ansatz, um Unterbrechungen zu vermeiden und die Kontinuität des Zugriffs zu gewährleisten.
Wichtige Schritte
- Bewertung: Überprüfen Sie alle bestehenden VPN-Verbindungen und ermitteln Sie, welche Anwendungen und Benutzergruppen derzeit davon abhängig sind.
- Ersatz: Führen Sie diese Verbindungen schrittweise auf Zero-Trust-Zugriffsmethoden um, die von beem Basic unterstützt werden.
- Schrittweise Einführung: Ersetzen Sie die VPN-Nutzung schrittweise und überprüfen Sie jede Phase, bevor Sie fortfahren.
- Stilllegung: Nehmen Sie die alte VPN-Infrastruktur erst dann ausser Betrieb, wenn Sie sichergestellt haben, dass alle betroffenen Benutzer über beem Basic einen sicheren und zuverlässigen Zugang haben.
Anleitung
- Führen Sie den Prozess schrittweise durch, nicht als einmalige Umstellung, um das Risiko einer Unterbrechung des Geschäftsbetriebs zu minimieren.
- Stellen Sie stets sicher, dass kritische Anwendungen während jeder Phase zugänglich bleiben.
- Dokumentieren Sie jeden Schritt, damit Abhängigkeiten und Ausnahmen vor der endgültigen Abschaltung vollständig berücksichtigt werden. Dieser Ansatz stellt sicher, dass die Ausserbetriebnahme des VPN die Sicherheit erhöht und gleichzeitig den ununterbrochenen Geschäftsbetrieb aufrechterhält.
Firewall-Stilllegung
Mit beem Basic Security Edition kann die herkömmliche lokale Firewall-Infrastruktur kontrolliert ausser Betrieb genommen werden, da die Plattform integrierte Sicherheitsfunktionen bereitstellt.
Wichtige Schritte
- Dokumentation: Erfassen Sie alle vorhandenen Firewall-Regeln, NAT-Tabellen und Sicherheitsrichtlinien, die derzeit verwendet werden.
- Zuordnung: Übersetzen Sie diese Regeln in entsprechende beem Basic-Richtlinien innerhalb des beem Hub.
- Testen: Überprüfen Sie, ob die neuen Richtlinien den beabsichtigten Zugriff und Schutz bieten, ohne Lücken zu verursachen.
- Schrittweise Entfernung: Nehmen Sie ältere Firewall-Geräte schrittweise ausser Betrieb, jedoch erst nach erfolgreicher Validierung jedes einzelnen Schritts.
Integrierte Sicherheitsfunktionen
Der Bedarf an eigenständigen Firewall-Geräten wird reduziert, da beem Basic Security Edition Folgendes bietet:
- Deep Packet Inspection für detaillierte Verkehrsanalyse.
- Erweiterte Erkennung von Bedrohungen durch bösartigen Datenverkehr und Eindringungsversuche.
- Zentrale Durchsetzung von Richtlinien für alle Benutzer und Geräte.
Dieser Ansatz ermöglicht es Unternehmen, ihre Infrastruktur zu vereinfachen, von einem einheitlichen Sicherheitsmanagement zu profitieren und dennoch eine detaillierte Kontrolle über den Netzwerkzugriff und die Sicherheitslage zu behalten.
Stilllegung der virtuellen Desktop-Infrastruktur (VDI)
Die herkömmliche virtuelle Desktop-Infrastruktur (VDI) kann schrittweise abgeschafft werden, da Zero-Trust-Zugriff die traditionellen Methoden der Anwendungsbereitstellung ersetzt. Dies verringert die Abhängigkeit von zentralen VDI-Umgebungen und ermöglicht gleichzeitig einen sicheren, geräteunabhängigen Zugriff.
Wichtige Schritte
- Bestandsaufnahme: Überprüfen Sie alle derzeit über VDI bereitgestellten Anwendungen und klassifizieren Sie diese (geschäftskritisch vs. nicht kritisch).
- Migration: Übergang der Anwendungszugriffe zum Zero-Trust-Modell, das eine sichere Nutzung auf verwalteten und nicht verwalteten Geräten ermöglicht.
- Schrittweise Reduzierung: Schalten Sie VDI-Ressourcen schrittweise ab und überprüfen Sie jede Phase, um sicherzustellen, dass die migrierten Anwendungen wie erwartet funktionieren.
- Endgültige Stilllegung: Legen Sie die VDI-Umgebung erst dann vollständig still, wenn Sie sich vergewissert haben, dass alle erforderlichen Anwendungen sicher und zuverlässig über beem Basic Security Edition laufen.
Vorteile
- Flexibilität: Anwendungen werden auf einer grösseren Bandbreite von Geräten zugänglich, ohne dass eine VDI-Sitzung erforderlich ist.
- Sicherheit: Zero-Trust-Zugriff erzwingt identitäts- und kontextbasierte Kontrollen für jede Anwendung.
- Kontinuität: Durch die schrittweise Stilllegung werden Betriebsunterbrechungen vermieden, da jede Phase vor dem Fortfahren getestet und validiert wird.
Implementierungsansätze mit beem Basic
Die Bausteine der beem Basic Security Edition können in unterschiedlichen Reihenfolgen kombiniert werden, um den Anforderungen jedes Unternehmens gerecht zu werden. Dieser modulare Ansatz gewährleistet, dass die Migration auf die geschäftlichen Prioritäten, die vorhandene Infrastruktur und die verfügbaren Ressourcen zugeschnitten werden kann.
Dieses Kapitel enthält Beispiele für Implementierungspfade. Jeder Pfad veranschaulicht, wie die Bausteine angeordnet werden können, um ein bestimmtes Ziel zu unterstützen – beispielsweise eine sicherheitsorientierte Einführung, Device Management, Anwendungstransparenz oder Compliance. Die Beispiele verdeutlichen auch die Flexibilität des Frameworks: Unternehmen können einer empfohlenen Reihenfolge folgen oder die Reihenfolge der Bausteine an ihre Umgebung und Strategie anpassen.
Implementierungsgrundsätze
Die folgenden Beispiele veranschaulichen, wie die Bausteine von beem Basic Security Edition zu verschiedenen Migrationssequenzen kombiniert werden können. Jede Sequenz ist für eine bestimmte Geschäftssituation oder Priorität ausgelegt, z. B. sofortige Sicherheit, Gerätemanagement, Anwendungstransparenz oder Compliance.
Die Beispiele sind in einer klaren, nicht-technischen Sprache verfasst, damit Entscheidungsträger, Partner und Administratoren die Optionen verstehen und den für ihre Organisation am besten geeigneten Weg auswählen können.
Beispiele
Sequenz A: Sicherheitsorientierter Ansatz
Für Unternehmen, die sofortigen Schutz vor Cyber-Bedrohungen priorisieren Diese Reihenfolge ist ideal, wenn Sie Ihre Geräte und Daten so schnell wie möglich vor Hackern, Phishing oder schädlichen Websites schützen möchten.
Am besten geeignet für: Kleine Unternehmen oder solche mit Remote-Mitarbeitern, die sich um Sicherheitsrisiken sorgen.
Sequenz B: Geräte-zentrierter Ansatz
Für Unternehmen mit vielen Geräten oder mobilen Mitarbeitern Diese Sequenz eignet sich hervorragend, wenn Sie sich auf die Verwaltung und Sicherung von Geräten wie Smartphones und Laptops konzentrieren möchten, die von Mitarbeitern an verschiedenen Standorten verwendet werden.
Am besten geeignet für: Unternehmen mit BYOD-Richtlinien (Bring Your Own Device) oder Mitarbeiter, die remote arbeiten.
Sequenz C: Anwendungsorientierter Ansatz
Für Unternehmen, die ihre Anwendungslandschaft verstehen möchten, bevor sie Sicherheitsmassnahmen ergreifen: Diese Vorgehensweise ist ideal, wenn Sie viele Anwendungen haben und diese zunächst erfassen möchten, bevor Sie Änderungen vornehmen – so stellen Sie sicher, dass nichts übersehen wird.
Am besten geeignet für: Unternehmen mit komplexen Anwendungsumgebungen, die vor der Migration einen klaren Überblick benötigen.
Sequenz D: Compliance-orientierter Ansatz
Für Unternehmen in regulierten Branchen, die eine gründliche Dokumentation benötigen Diese Sequenz ist für Unternehmen konzipiert, die strenge Vorschriften einhalten müssen (z. B. im Gesundheitswesen oder im Finanzwesen) und jeden Schritt der Migration nachverfolgen müssen.
Am besten geeignet für: Unternehmen in regulierten Branchen, die detaillierte Aufzeichnungen und vollständige Compliance benötigen.
Sequenz E: Startup-Ansatz
Für neue Unternehmen mit minimalen bestehenden Systemen Diese Sequenz richtet sich an Start-ups oder neue Unternehmen, die mit wenigen oder gar keinen bestehenden IT-Systemen neu starten und sich auf eine schnelle und einfache Einrichtung konzentrieren.
Am besten geeignet für: Neue Unternehmen oder Start-ups, die ihre IT von Grund auf neu aufbauen.
Sequenz G: Hybrid-Cloud-First-Ansatz
Für Unternehmen, die stark auf Cloud-Anwendungen mit einigen lokalen Systemen angewiesen sind Diese Sequenz richtet sich an Unternehmen, die hauptsächlich Cloud-Anwendungen (z. B. Salesforce) verwenden, aber auch über einige lokale Systeme verfügen und der Cloud-Sicherheit oberste Priorität einräumen.
Am besten geeignet für: Unternehmen mit einer Mischung aus Cloud- und lokalen Systemen, deren Schwerpunkt zunächst auf Cloud-Sicherheit liegt.
Sequenz H: IoT-zentrierter Ansatz
Diese Sequenz eignet sich ideal für Unternehmen, in denen IoT-Geräte (z. B. GPS-Tracker in Lkw, Sensoren in Fabriken oder Kameras in Gebäuden) von entscheidender Bedeutung sind, und konzentriert sich auf die Sicherung und Verwaltung dieser Geräte.
Am besten geeignet für: Unternehmen mit vielen IoT-Geräten, wie Logistikunternehmen mit GPS-Trackern, Fabriken mit intelligenten Maschinen oder Gebäude mit Sensoren und Kameras.