NordLayer im Test: Sicherheit, Compliance, Bedrohungserkennung

Wer dieser Tage an verantwortlicher Stelle in der IT tätig ist, bekommt praktisch im Minutentakt Anfragen von Dienstleistern im Hinblick auf die NIS-2-Richtlinie. Das macht deutlich: Sicherheit und Compliance sind im Alltag der IT längst mehr als ein „Nice to have“. Zum Teil verpflichtet der Gesetzgeber Unternehmen zum Einhalten von gängigen Sicherheitsstandards, und freilich haben Firmen auch ein hohes intrinsisches Eigeninteresse daran, nicht Opfer von Hackern zu werden. Allerdings werden digitale Dienste und ihre Erbringung auch kontinuierlich komplexer. Und dadurch wiederum wird es immer noch schwieriger, beispielsweise über die gesamte Flotte aller Geräte und Dienste eines Unternehmens Sicherheit zu gewährleisten und wo nötig zu erzwingen.

Hier treten Anbieter wie Nord Security auf den Plan: Mittels eigener Plattformen wie NordLayer versprechen sie Unternehmen, zentrale Dienste wie VPN und das Hosting von Servern durch ein eigens aufgespanntes Sicherheitsnetz zu schützen, das Angriffe frühzeitig erkennt und Schaden von Diensten und Geräten großflächig abwehrt.

Unternehmens-VPN von Nord Security

Nord Security kein Unbekannter, was IT-Sicherheit betrifft. NordVPN (Test), ein primär an Privatnutzer gerichteter VPN-Dienst, dürfte das bekannteste Produkt der Firma aus Litauen sein. Für Unternehmen hat man etwa NordStellar (Test) im Portfolio, eine Plattform zum frühzeitigen Erkennen von Bedrohungen etwa aus dem Darkweb heraus.

Unter dem Markennamen NordLayer* vermarktet Nord Security mittlerweile das ehemalige NordVPN Teams, also eine VPN-Lösung, die speziell auf Unternehmen zugeschnitten ist. Schade: Trotz europäischer Konzernmutter ist NordLayer als US-amerikanisches Unternehmen registriert. Einen Beitrag zur europäischen Digitalsouveränität leistet also nicht, wer auf den Dienst zurückgreift. Das Unternehmen legt aber Wert auf die Feststellung, sich an die EU-DSGVO zu halten. Auch Kompatibilität mit ISO 27001, SOC 2, PCI-DSS und HIPAA schreibt man sich auf die Fahne.

Der Leistungsumfang jedenfalls klingt interessant: Zu Preisen ab acht US-$ pro Benutzer pro Monat erhalten Unternehmen eine umfassende, global nutzbare VPN-Lösung, die je nach gebuchtem Paket Zusatzfunktionen wie Zero Trust Network Access (ZTNA), Bedrohungserkennung oder das Erzwingen von Compliance-Richtlinien beim Surfen im Netz unterstützt.

Diese Herstellerversprechen sind gute Gründe, dem Dienst auf den Zahn zu fühlen: Was bietet NordLayer wirklich und wie nützlich sind die Funktionen in der Praxis?

Die Nordlayer-Grundfunktionen

Will ein Unternehmen NordLayer nutzen, legt es dazu zunächst eine Organisation im Dienst an. Für diese lassen sich im nächsten Schritt eigene Benutzerzugänge anlegen, im Normalfall ein Zugang pro tatsächlichem Anwender. Die Verwaltung von Geräten geschieht davon unabhängig, einzelnen Nutzern lassen sich etliche Geräte explizit zuweisen. Die Verrechnung erfolgt dabei stets nach Benutzer, nicht nach Client.

Funktionen wie 2-Faktor-Authentifizierung (2FA) unterstützt NordLayer dabei ebenso wie Single-Sign-On (SSO), letzteres allerdings mit einem Lapsus: Denn als SSO-Anbieter sind aktuell nur Google, Entra ID von Microsoft, Okta, OneLogin oder Jumpcloud verfügbar. Die Option, NordLayer etwa per Keycloak an eine unternehmenseigene Benutzerverwaltung zu koppeln, fehlt.

Sind die nötigen Benutzer in NordLayer vorhanden, lassen sich für diese bereits VPN-Verbindungen aufbauen. Das zentrale Konfigurationswerkzeug ist dabei stets die NordLayer-Web-Konsole, die auf alle Funktionen administrativen Zugriff ermöglicht. Und konfigurieren lässt sich bei Nordlayer in der Tat einiges.

Mehrere VPN-Varianten

So bietet NordLayer beispielsweise mehrere Varianten an, ein VPN zu konfigurieren. Ganz am Anfang der Konfiguration steht dabei stets ein „Gateway“: Das ist zunächst nur ein virtueller Router, der selbst kaum Funktionalität bietet. Das ändert sich, sobald der Administrator das virtuelle Gateway mit einem „Server“ verbindet. Denn der Server ist der eigentliche Endpunkt für VPN-Verbindungen in NordLayer. Hier kommt also der Traffic der verbundenen VPN-Clients an.

Je nach gebuchtem Tarif sind pro Organisation beinahe beliebig viele eigene Server möglich. Dem Administrator steht dabei die Wahl offen, wo der jeweilige Server stehen soll, etwa in Österreich oder in einem von mehreren Dutzend anderen Ländern. Mit jedem Server lassen sich zudem sogenannte Sites verbinden. Wer beispielsweise den NordLayer-Client auf dem eigenen Firmen-Gateway einrichtet, verbindet dieses auf Wunsch auch mit dem VPN-Server in der Cloud. So erhalten Clients, die mit NordLayer verbunden sind, auch Zugriff auf die Ressourcen eines Unternehmens an einem spezifischen Standort.

Der Vorteil liegt auf der Hand: NordLayer funktioniert dabei als „One Stop Shop“ in Sachen VPN. Komplexe Konfigurationen auf der Client-Seite, um ein Endgerät mit mehreren VPN zu verbinden, sind durch die Site-Funktion in NordLayer überflüssig. Hier gibt NordLayer sich auch technisch keine Blöße: Das Verbinden einer Site mit einem VPN-Server geschieht mittels IPsec und IKEv2, also gemäß aktuellen Standards.

Stark auf der Client-Seite

Eine Lösung wie NordLayer kann nur funktionieren, wenn Unternehmen alle Clients in freier Wildbahn mit dem VPN verbinden können. Das weiß man offensichtlich auch in Litauen und gibt sich in Sachen Client-Unterstützung viel Mühe. Ein NordLayer-Client steht entsprechend für Windows ebenso zur Verfügung wie für macOS und Linux. Mobile Clients stehen in den App-Stores von Android und iOS zur Verfügung.Das erleichtert dem Admin-Team in Unternehmen die Arbeit erheblich. Denn weil sich auch die Clients für Windows und macOS über den Microsoft Store und Apples App Store installieren lassen und weil für Linux Client-Pakete in DEB- oder RPM-Form zur Verfügung stehen, lässt sich NordLayer mittels Mobile Device Management (MDM) leicht auf alle Geräte einer Firma bringen. Nach der Grundkonfiguration des jeweiligen Systems ist NordLayer dann bereits verfügbar und bereit für seinen Einsatz. Mittels MDM lässt das Programm sich zudem per Profil so vorkonfigurieren, dass ein Client gleich auch das VPN-Profil hat, das er benötigt.

Mit seiner Client-Software fährt der Hersteller dabei zudem erkennbar eine Zweifachstrategie. Zum einen wird es per NordLayer-Client möglich, mobile Endgeräte wie beschrieben unkompliziert mit dem Nord-VPN zu verbinden. Das ginge zur Not auch ohne Client, denn alle genannten Betriebssysteme haben VPN-Funktionalität auch an Bord. Der NordLayer-Client erleichtert das Setup aber erheblich. Darüber hinaus nutzt NordLayer seine Client-Software allerdings auch als eine Art Agent auf dem Zielsystem, der verschiedene Zusatzfunktionen implementiert.

VPN-Grundfunktionen

Sobald in NordLayer ein dedizierter VPN-Server samt Gateway eingerichtet ist und Clients Zugriff auf diese Dienste haben, leiten sie ihren gesamten Traffic durch das VPN-Gateway. Das lässt sich auf Wunsch zwar ändern. Dadurch würde die Konfiguration auf dem Client allerdings viel komplexer. Und obendrein würde es den Anspruch unterwandern, eben nicht nur VPN-Funktionalität für die verbundenen Clients zu ermöglichen, sondern diese auch mit zusätzlichen Sicherheitsfunktionen auszustatten. Und die haben es bei NordLayer in sich.

Denn sobald der Traffic eines Clients durch NordLayer fließt, unterliegt er diversen Überprüfungen und auf Wunsch des Admins hin auch etlichen Einschränkungen. Diese konfiguriert der Admin wieder in Form von Profilen. Schon hier gibt es mehrere Checkpoints: So lässt NordLayer sich so einrichten, dass Endanwender die NordLayer-App nicht einfach auf jedem beliebigen Gerät installieren und per Login aktivieren können, sondern dass ein Administrator stattdessen jedes von Nutzerseite registrierte Gerät zunächst explizit freigeben muss. Das schiebt BYOD-Ansätzen einen effektiven Riegel vor. Obendrein lässt sich auf Wunsch angeben, dass nur Clients an bestimmten Standorten zur Anwendung kommen dürfen. Das ist eher als Whitelist konzipiert: Weiß man, dass die eigenen Leute ausschließlich in Deutschland unterwegs sind, ließe sich der Zugriff auf den eigens in NordLayer angelegten privaten VPN-Server auf Clients aus Deutschland beschränken.

Für jedes Betriebssystem lassen sich zudem Regeln definieren, denen ein Client genügen muss, damit er eine Verbindung ins VPN aufbauen darf. Das dient zum Teil wieder dem Zweck, BYOD zu verhindern, etwa wenn der Client prüft, ob es ein bestimmtes File auf dem Zielsystem gibt. Im Falle mancher Betriebssysteme lässt der Mechanismus sich aber auch nutzen, um bestimmte Geräte kategorisch auszuschließen. NordLayer erkennt beispielsweise, ob es auf einem iOS-Gerät läuft, das mittels Jailbreak-Prozess verändert worden ist. Per GUI schließt der Administrator solche Geräte, falls erwünscht, aus.

Im NordLayer-GUI bieten sich dem Administrator zudem etliche Drehknöpfe, um das Verhalten von NordLayer auf den Clients zu steuern. So lässt sich aus der Ferne festlegen, dass NordLayer auf ausgerollten Systemen stets aktiv sein muss und eine VPN-Verbindung stets aufzubauen ist, bevor überhaupt Traffic fließen darf. Praktisch lässt sich ein Client mit NordLayer also so per Konfiguration zunageln, dass er mit der Außenwelt ausschließlich durch NordLayer kommunizieren darf. Für LAN-Adressen lassen sich allerdings Ausnahmen definieren, etwa um lokale Geräte wie Drucker oder NAS-Laufwerke zu erreichen. Nota bene ergibt die Nutzung dieser Funktion nur Sinn, wenn die Anwender auf ihren Arbeitsgeräten selbst nicht mit den Rechten eines Systemadministrators unterwegs sind. Denn ansonsten könnten sie eine eventuell hinterlegte Konfiguration ad hoc selbst ändern.

Filterfunktionen für Netzwerkverkehr

Für ebenso wichtig halten die NordLayer-Entwickler ihre Sicherheitsfunktionen für den laufenden Betrieb. Diese setzen eine Ebene weiter höher an: Dass ein NordLayer-Client sich mit einem VPN in der Cloud verbinden kann, heißt nicht automatisch, dass er auch sämtlichen Datenverkehr durch das VPN leiten darf oder Zugriff auf alle Ressourcen etwa im Internet erhält. Von zentraler Bedeutung ist hier einerseits das -- in der Standardkonfiguration deaktivierte -- Web-Protection-Feature. Das untersucht den Datenverkehr im Hinblick auf das Aufrufen bestimmter Websites und Services und unterbindet etwaige Verbindungen. Das Blockieren geschieht vorrangig auf Basis von DNS und dem TCP/IP-Layer des jeweiligen Betriebssystems. So führt NordLayer eine Datenbank potenziell schädlicher Websites, mit hoher Wahrscheinlichkeit ein internes Nebenprodukt aus NordStellar, und unterbindet auf Anweisung des Admins Verbundungsversuche hin zu den dort aufgelisteten Diensten. Im Kern ersetzt NordLayer so die Paketfilter, die Betriebssysteme wie Linux oder Windows ansonsten gern ausrollen.

Integrierter Virenschutz

Auch einer anderen Kategorie klassischer Software will NordLayer an den Kragen, nämlich den Viren- und Malware-Scannern. Eine entsprechende Funktion ist bei NordLayer ebenfalls eingebaut, muss aber, wie die „Web Protection“ auch, separat durch den Administrator aktiviert werden. Ist das geschehen, prüft NordLayer Dateien, die ein Client herunterlädt, im Transit und filtert erkannte Viren, Trojaner und Ransomware-Komponenten automatisiert aus dem Datenstrom.

Der „Sweet Spot“ sowohl bei der Web Protection als auch bei der Malware-Filterung ist dabei, dass ein Client wirklich nur den NordLayer-Client installiert und eine aktive Verbindung aufgebaut haben muss, damit die Funktionen implizit greifen. Auch hier gilt freilich die erwähnte Einschränkung im Hinblick auf die Berechtigungen, mit denen die Mitarbeitenden ihre Arbeitsgeräte verwenden dürfen.

Automatische Verbindungstrennung

Zusätzlich zu den beschriebenen Features lassen sich in NordLayer kleinere Details per Einstellung ändern. So lässt sich beispielsweise festlegen, dass aufgebaute Verbindungen nach einer gewissen Zeit der Inaktivität durch NordLayer automatisch zu trennen sind. Ein denkbares Szenario hierfür sind Clients, die etwa SSH-Verbindungen zu entfernten Systemen aufbauen und die Terminals offen lassen, statt sie nach getaner Arbeit wieder zu schließen. Hier greifen unter anderem Compliance-Richtlinien, die vorgeben, dass eben solche Verbindungen nach einer gewissen Zeit der Inaktivität zu trennen sind. Zwar sind bereits die Dienste für die entfernte Anmeldung in vielen Unternehmen entsprechend konfiguriert. In NordLayer lässt sich aber eben eine weitere Funktion zur Erzwingung der Regeln hinterlegen. Im Zweifelsfall freut sich wenigstens der Auditor.

Blockieren von Protokollen

Wer die Freiheit der mit NordLayer verbundenen Clients noch weiter einschränken möchte, erhält dazu in Form der Funktion zum Blockieren spezifischer Anwendungen und Protokolle Gelegenheit. Das lässt sich am besten am konkreten Beispiel erklären: Die wenigsten Unternehmen wollen, dass auf ihren Clients Filesharing-Dienste wie BitTorrent laufen. Ein denkbarer Weg wäre, die Installation etwaiger Clients zu unterbinden. Das aber ist im Zweifelsfall auch mit einfachen Anwenderrechten zu umgehen, dann nämlich, wenn ein Client sich durch einen Nutzer lokal in dessen persönlichen Verzeichnis installieren lässt.

Hier greift die NordLayer-Sperre effektiver: Hinterlegt der Admin im NordLayer-Portal, dass die Blockanweisung für Filesharing-Anwendungen aktiv ist, unterbindet der jeweilige Client auf dem Endgerät die Verwendung von BitTorrent, Gnutella, eDonkey, Syncthing und etlichen anderen P2P-Filesharing-Werkzeugen. Insgesamt umfasst die Liste der blockbaren Tools und Protokolle über 130 Einträge. Ist man beispielsweise genervt davon, dass Anwender auf Clients ständig die VPN-Geschwindigkeit mit Ooklas Speed-Test prüfen, so gibt es auch dafür eine spezielle Regel. Wer nicht will, dass Clients bestimmte Protokolle zur Remote-Administration wie SSH oder RDP nutzen, findet auch dafür eine eigene Block-Anweisung. Wie sinnvoll es letztlich ist, den eigenen Leuten durch ein starres Korsett aus Filterregeln die Arbeit zu erschweren, muss jedes Unternehmen im eigenen Regelwerk für sich selbst festlegen. NordLayer immerhin bietet hierfür die technische Möglichkeit.

Browser-Erweiterung als Client-Alternative

Je nach Unternehmen kann es gewünscht oder notwendig sein, dass Clients auf Ressourcen im NordLayer-VPN zugreifen, ohne dass sie den NordLayer-Client installiert haben. Hierfür hat sich der Hersteller eine Sonderlocke einfallen lassen: Für die meisten gängigen Browser, konkret Chrome, Firefox, Brave und Edge, steht die NordLayer Browser-Extension zur Verfügung. Die funktioniert im Prinzip wie der NordLayer-Client auch, aber eben nur für den jeweiligen Browser. Während der eigentliche Rechner also im „normalen“ Internet hängt, lassen sich per Browser mit der NordLayer-Erweiterung auch Adressen im VPN aufrufen. Das ganze geht zudem mit einer Konfigurationseinstellung daher, die auf Browser-Ebene dann wieder ermöglicht, einzelne Adressen spezifisch von der VPN-Verbindung auszunehmen. Wie beim NordLayer-Client auch zeigt die Browser-Erweiterung, dass man sich bei Nord Security viel Gedanken auch über die kleinen Details gemacht hat. An Möglichkeiten zur Einstellung mangelt es der Lösung jedenfalls nicht.

Integration mit MDM-Werkzeugen

Es ist in diesem Test bereits mehrmals angeklungen, dass das Deployment des NordLayer-Clients im Idealfall Hand in Hand mit einer Lösung für Mobile Device Management (MDM) einhergeht. NordLayer macht es seinen Admins hier etwas leichter, zumindest dann nämlich, wenn die genutzte MDM-Lösung Jamf ist, sich also im Apple-Kosmos bewegt. Über Jamf Now lässt sich NordLayer unmittelbar auf die jeweiligen Endgeräte bringen, entsprechende Konfiguration inbegriffen. Aus Sicht des Admins wird es so möglich, die Geräte automatisiert so vorzukonfigurieren, dass den jeweiligen Nutzern der Zugang zu NordLayer sofort nach dem ersten Login zur Verfügung steht.

Zusätzlich bietet NordLayer eine Möglichkeit für Setup-spezifische Anbindungen an externe Werkzeuge. Die Schnittstelle sieht der Hersteller vor allem für die Anbindung externer Tools im Hinblick auf Sicherheit vor. Die Idee ist simpel: Kombiniert der Administrator NordLayer und eine externe Security Suite miteinander und erkennt letztere ein Ereignis mit Bezug zur Sicherheit, etwa einen auf dem Client plötzlich laufenden Prozess mit Admin-Rechten, der nicht zum System gehört, kann es per Event die NordLayer-Verbindung sofort trennen. Im Kern geht es hier also darum, potenziell als kompromittiert geltende Clients davon abzuhalten, weiteren Schaden im Netz anzurichten oder auf andere Systeme überzugreifen. Nutzbar ist das Feature grundsätzlich mit jeder Sicherheitssuite, die erlaubt, benutzerspezifische Aktionen beim Auftreten eines bestimmten Ereignisses auszuführen. Der Aufruf geschieht dabei grundsätzlich per HTTPS und muss eine JSON-Datei mit korrekter Anweisung im Payload haben. Als Beispiel nennt NordLayer SentinelOne Singularity, auch andere Anwendungen lassen sich aber analog anbinden. Auch CrowdStrike etwa lässt sich entsprechend einrichten.

Umfangreiche Statistiken

NordLayer versteht sich vorrangig als Werkzeug zum Herstellen von Verbindungen und zum Absichern dieser. Eine oft unterschätzte Komponente des Werkzeugs bezieht sich jedoch auf das Aufzeichnen von Aktivitätsinformationen einzelner Clients und das Verarbeiten der gesammelten Daten. Pro Client lässt sich etwa die Anzahl der auftretenden Verbindungen ebenso mitschreiben wie deren jeweiliges Ziel, die dabei übermittelten Daten und die Dauer der Verbindungen per se. Hier ist im Unternehmen gegebenenfalls darauf zu achten, alle relevanten Vorgaben im Hinblick auf den Datenschutz einerseits und die Rechte von Arbeitnehmerinnen und Arbeitnehmern andererseits zu beachten. Die Darstellung der aufgezeichneten Metrikdaten geschieht über ein eigenes Dashboard.

Ebenfalls über ein Dashboard macht NordLayer seine Aufzeichnungen zur Sicherheit verfügbar. Entspricht ein Client etwa nicht den hinterlegten Vorgaben, schreibt NordLayer ein entsprechendes Sicherheitsereignis auf und hinterlässt eine passende Logmeldung dazu. Aktuell ist die Funktion des Security-Dashboards allerdings noch eingeschränkt -- denn es kennt lediglich zwei Typen des Sicherheitsvorfalls: Clients, die sich ohne 2FA anmelden einerseits und fehlgeschlagene Logins von Clients an NordLayer andererseits.

Preise

Bei der Preisgestaltung stellt NordLayer seine Kunden vor eine Herausforderung, denn das eigens für den Dienst erfundene Preismodell kommt mit etlichen Sternchen und Eventualitäten daher. So ergibt sich bereits ein erheblicher Unterschied aus der Zahlweise: Wer jährlich zahlt, erhält ordentliche Rabatte.

In jedem Fall muss man sich zwischen vier Modellen entscheiden. Die „Lite“-Variante kommt mit einer Mindestabnahmemenge von fünf Nutzern pro Monat daher und bietet nur essenzielle Funktionen. Es fehlt insbesondere die Möglichkeit, einen eigenen VPN-Server zu betreiben, sodass man auf die Server von NordLayer festgelegt ist. Erstmals enthalten ist die Funktion im „Core“-Paket, das 11 US-$ pro Nutzer pro Monat kostet und 40 US-$ Aufschlag für den eigenen Server inkludiert. Fünf Nutzer kosten in diesem Modell also bei jährlicher Zahlweise 95 US-$ monatlich. Bucht man das Premium-Paket, erhält man alle beschriebenen Funktionen für 14 US-$ pro Benutzer und Monat für mindestens ebenfalls fünf Nutzer und die zusätzliche Gebühr für den eigenen Server. Speziell an große Unternehmen richtet sich der Enterprise-Tarif, der maßgeschneiderte Funktionen enthält und für den NordLayer keine pauschale Preisangabe macht. Will man also das Premium-Paket für eine Firma mit 25 Mitarbeitern, so kostet das knappe 400 US-$ pro Monat. Das ist marktüblich und nicht übermäßig abgehoben.

NordLayer im Test: Fazit

NordLayer richtet sich an Unternehmen, die die volle Kontrolle über die Kommunikation ihrer mobilen wie stationären Clients haben wollen, ohne sich dafür selbst eine umfassende Infrastruktur für VPN aufzubauen. De facto ließe sich das NordLayer-Portfolio freilich mit Standardsoftware auf einem Linux-Gateway nachbauen. Das allerdings würde einigen Aufwand implizieren und auch zu einer etwaigen Hardware-Anschaffung führen. Vor allem vor diesem Hintergrund relativieren sich die von NordLayer aufgerufenen Preise auch nochmals deutlich.

Im Hinblick auf den Funktionsumfang jedenfalls liefert NordLayer. Virtuelle Gateways, eigene VPN-Server und diverse Sicherheitsfunktionen wie das Filtern von Verbindungen und Downloads, das Absichern vom Websurfing und das spezifische Blockieren einzelner Anwendungen und Protokolle bilden ein solides Fundament für sichere virtuelle Firmennetze. Die Fähigkeit, physische Standorte hieran per Site-to-Site-Verbindung anzubinden, ergänzt das Angebot sinnvoll. Toll ist die Vielfalt im Hinblick auf den Client, denn auf jedem gängigen Betriebssystem der Gegenwart wird man NordLayer zum Funktionieren bekommen.

Ein Wermutstropfen: NordLayer ist als Unternehmen in den USA registriert. Hier verspielt der litauische Anbieter Nord Security eine Chance auf die Pole-Position bei der europäischen digitalen Souveränität: Mit Sitz in Europa wäre NordLayer beinahe ein No-Brainer für europäische Unternehmen, die ein VPN brauchen, die Infrastruktur selbst aber nicht betreiben wollen.

* Mit einem Stern markierte Links sind Affiliate-Links, für die wir unter Umständen eine Provision erhalten. Der Kaufpreis erhöht sich dadurch nicht!

Redaktion & Aktualisierung: heise download