Implementieren von TIC 3.0-Compliance

In diesem Artikel wird beschrieben, wie Vertrauenswürdige Internetverbindungen (TIC) 3.0-Compliance für internetorientierte Azure Anwendungen und Dienste erreicht werden. Dieser Artikel enthält Lösungen und Ressourcen, die Behörden bei der Einhaltung von TIC 3.0 unterstützen. Es wird auch beschrieben, wie die erforderlichen Ressourcen bereitgestellt und Lösungen in vorhandene Systeme integriert werden.

Aufbau

Laden Sie eine Visio-Datei dieser Architektur herunter.

Datenfluss

Der folgende Datenfluss entspricht dem vorherigen Diagramm:

1. Firewall
   • Die Firewall kann eine beliebige Firewall der Ebene 3 oder 7 sein.
     • Azure Firewall und einige Firewalls von Drittanbietern, auch als Network Virtual Appliances (NVAs) bezeichnet, sind Layer 3-Firewalls.
     • Azure Application Gateway mit Web Application Firewall und Azure Front Door mit Web Application Firewall sind Firewalls der Ebene 7.
     • Dieser Artikel enthält Bereitstellungslösungen für Azure Firewall, Anwendungsgateway mit Web Application Firewall und Azure Front Door mit Web Application Firewall Bereitstellungen.
   • Die Firewall erzwingt Richtlinien, erfasst Metriken und protokolliert Verbindungstransaktionen zwischen Webdiensten und den Benutzer*innen und Diensten, die auf die Webdienste zugreifen.
2. Firewallprotokolle
   • Azure Firewall, Anwendungsgateway mit Web Application Firewall und Azure Front Door mit Web Application Firewall senden Logs an den Log Analytics-Arbeitsbereich.
   • Firewalls von Drittanbietern senden Protokolle im Syslog-Format über einen virtuellen Syslog-Computer an den Log Analytics Arbeitsbereich.
3. Log Analytics Arbeitsbereich
   • Der Log Analytics Arbeitsbereich ist ein Repository für Protokolle.
   • Er kann einen Dienst hosten, der eine benutzerdefinierte Analyse der Daten zum Netzwerkdatenverkehr von der Firewall bereitstellt.
4. Service principal (registrierte Anwendung)
5. Azure Event Hubs Standard
6. CISA TALON

Komponenten

• Firewall: Verwenden Sie eine oder mehrere der folgenden Firewalls in Ihrer Architektur. Weitere Informationen finden Sie unter Alternativen.

  • Azure Firewall ist ein Netzwerkfirewall-Sicherheitsdienst, der einen verbesserten Bedrohungsschutz für Cloudworkloads bereitstellt, die auf Azure ausgeführt werden. Es ist eine zustandsbehaftete, verwaltete Firewall mit integrierter Hochverfügbarkeit und uneingeschränkter Cloud-Skalierbarkeit. Es enthält Standard- und Premium-Leistungsstufen. Azure Firewall Premium umfasst die Funktionalität von Azure Firewall Standard und bietet zusätzliche Funktionen wie Transport Layer Security (TLS)-Inspektion und ein Angriffserkennungs- und Präventionssystem (IDPS). In dieser Architektur kann Azure Firewall als Layer-3-Firewall dienen, die Richtlinien erzwingt, Datenverkehr überprüft und Transaktionen protokolliert, um die TIC 3.0-Compliance zu unterstützen.

  • Application Gateway mit Web Application Firewall ist ein regionaler Lastenausgleich für den Webdatenverkehr, der einen web application firewall enthält. Web Application Firewall bietet einen verbesserten zentralisierten Schutz von Webanwendungen. In dieser Architektur kann das Anwendungsgateway eingehenden Webdatenverkehr verwalten und sichern, wodurch Anwendungen vor häufigen Exploits geschützt und Datenverkehr für die Compliance protokolliert werden.

  • Azure Front Door mit Web Application Firewall ist ein globaler Lastenausgleich für den Webdatenverkehr, der Netzwerkfunktionen für die Inhaltsübermittlung und integrierte Web Application Firewall enthält. In dieser Architektur kann Azure Front Door den globalen Anwendungszugriff beschleunigen und sichern, während der Datenverkehr für zentralisierte Analysen und Compliance protokolliert wird. Web Application Firewall bietet einen verbesserten zentralisierten Schutz Ihrer Webanwendungen vor gängigen Exploits und Sicherheitsrisiken.

  • Eine Firewall ohne Microsoft ist ein NVA, der auf einem Azure virtuellen Computer ausgeführt wird und Firewalldienste von Partneranbietern verwendet. Microsoft unterstützt ein großes Ökosystem von Partneranbietern, die Firewalldienste bereitstellen. In dieser Architektur kann eine Nicht-Microsoft-Firewall anpassbare Firewalldienste bereitstellen und Protokolle über Syslog in einen virtuellen Weiterleitungscomputer exportieren, um sie in den Log Analytics Arbeitsbereich aufzunehmen.

• Protokollierung und Authentifizierung:

  • Log Analytics ist ein zentrales Repository zum Sammeln und Analysieren von Protokolldaten. In dieser Architektur werden Firewall- und Identitätsprotokolle gespeichert, die benutzerdefinierte Abfragen und Weiterleitungen an Event Hubs für DIE CISA CLAW-Erfassung ermöglichen.

  • Azure Monitor ist eine Überwachungslösung zum Sammeln, Analysieren und Handeln von Telemetrie. In dieser Architektur sammelt Azure Monitor Leistungs- und Diagnosedaten aus Netzwerk- und Identitätskomponenten.

  • Microsoft Entra ID ist ein Identitäts- und Zugriffsdienst, der Identitätsfeatures, einmaliges Anmelden und mehrstufige Authentifizierung über Azure Workloads hinweg bereitstellt. In dieser Architektur sichert sie den Zugriff auf Azure Ressourcen und generiert Identitätsprotokolle für die Complianceüberwachung.

  • Event Hubs Standard ist eine Big Data Streaming-Plattform und ein Ereignisaufnahmedienst. In dieser Architektur empfängt sie Protokolle von Log Analytics und überträgt sie zur zentralisierten Analyse an CISA TALON.

  • CISA TALON ist ein zentralisierter Protokollaggregationsdienst, der von CISA betrieben wird, der Telemetriedaten aus Cloudumgebungen für die Cybersicherheitsüberwachung und Compliance erfasst. In dieser Architektur authentifiziert SICH TALON mithilfe eines von CISA bereitgestellten Zertifikats und sammelt Protokolle von Event Hubs. Sie ruft die Protokolle in das CLAW-System ein, um die TIC 3.0-Compliance und die zentrale Sichtbarkeit zu unterstützen.

Alternativen

Es gibt einige Alternativen, die Sie in diesen Lösungen verwenden können:

• Sie können die Protokollsammlung in Zuständigkeitsbereiche aufteilen. Sie können z. B. Microsoft Entra Protokolle an einen Log Analytics Arbeitsbereich senden, der vom Identitätsteam verwaltet wird, und Netzwerkprotokolle an einen anderen Log Analytics Arbeitsbereich senden, der vom Netzwerkteam verwaltet wird.

• Die Beispiele in diesem Artikel verwenden jeweils eine einzelne Firewall, aber einige Organisationsanforderungen oder Architekturen erfordern zwei oder mehr. Beispielsweise kann eine Architektur eine Azure Firewall Instanz und eine Application Gateway-Instanz mit Web Application Firewall enthalten. Protokolle für jede Firewall müssen gesammelt und so bereitgestellt werden, dass CISA TALON sie erfassen kann.

• Wenn Ihre Umgebung einen Internetausgang von Azure basierten virtuellen Computern erfordert, können Sie eine Layer 3-Lösung wie Azure Firewall oder eine Firewall eines Drittanbieters verwenden, um den ausgehenden Datenverkehr zu überwachen und abzumelden.

  Die Firewall wendet die Quellnetzwerkadressenübersetzung (Source Network Address Translation, SNAT) an, sodass eine der öffentlichen IP-Adressen der Firewall, nicht die IP-Adresse der Workload, möglicherweise als Quelle in TIC-Protokollen und am Internetziel angezeigt wird. Azure Firewall kann alle angefügten öffentlichen IPs für jeden ausgehenden Datenfluss verwenden. Dokumentieren Sie daher den gesamten Satz als Egress-Identität Ihrer Umgebung. Die Anzahl der angefügten öffentlichen IP-Adressen legt auch das SNAT-Portbudget und somit die gleichzeitige Obergrenze für ausgehende Verbindungen für alle ausgehenden Workloads fest.

Szenariodetails

TIC 3.0 erweitert TIC von der lokalen Datensammlung auf einen cloudbasierten Ansatz, der moderne Anwendungen und Systeme besser unterstützt. Es verbessert die Leistung, da Sie direkt auf Azure Anwendungen zugreifen können. Mit TIC 2.x müssen Sie über ein TIC 2.x Managed Trusted Internet Protocol Service (MTIPS)-Gerät auf Azure Anwendungen zugreifen, wodurch die Antwort verlangsamt wird.

Das Routing des Anwendungsverkehrs durch eine Firewall und die Protokollierung dieses Verkehrs ist die Kernfunktionalität, die in den hier vorgestellten Lösungen demonstriert wird. Die Firewall kann eine Azure Firewall, Azure Front Door mit einer Web Application Firewall, ein Application Gateway mit einer Web Application Firewall oder eine NVA eines Drittanbieters sein. Die Firewall hilft beim Schützen des Cloudperimeters und speichert Protokolle jeder Transaktion. Unabhängig von der Firewallebene erfordert die Protokollsammlungs- und Übermittlungslösung einen Log Analytics Arbeitsbereich, eine registrierte Anwendung und einen Event Hub. Der Log Analytics Arbeitsbereich sendet Protokolle an den Event Hub.

CLAW ist ein von CISA verwalteter Dienst. Ende 2022 veröffentlichte CISA TALON. TALON ist ein CISA-verwalteter Dienst, der Azure nativen Funktionen verwendet. Eine Instanz von TALON wird in jeder Azure Region ausgeführt. TALON stellt eine Verbindung zu den von Regierungsbehörden verwalteten Event Hubs her, um Logs der Behördenfirewalls und Microsoft Entra-Protokolle in CISA CLAW abzurufen.

Weitere Informationen zu CLAW, TIC 3.0 und MTIPS finden Sie unter:

• Leitfaden zu vertrauenswürdigen Internetverbindungen
• TIC 3.0– Kernleitfadendokumente
• National Cybersecurity Protection System (NCPS)-Dokumente
• EINSTEIN
• Verwaltete vertrauenswürdige Internetprotokolldienste (MTIPS)

Mögliche Anwendungsfälle

TIC 3.0 Compliance-Lösungen werden häufig von Bundesorganisationen und Regierungsbehörden für ihre Azure-basierten Webanwendungen und API-Dienste verwendet.

Überlegungen

Diese Überlegungen implementieren die Säulen des Azure Well-Architected-Frameworks, die eine Reihe von Leitsätzen sind, die Sie verwenden können, um die Qualität einer Arbeitsauslastung zu verbessern. Weitere Informationen finden Sie unter Well-Architected Framework.

• Bewerten Sie Ihre aktuelle Architektur, um zu ermitteln, welche der hier vorgestellten Lösungen den besten Ansatz für die TIC 3.0-Compliance bietet.
• Wenden Sie sich an Ihren CISA-Vertreter, um den Zugriff auf CLAW anzufordern.

Zuverlässigkeit

Zuverlässigkeit trägt dazu bei, dass Ihre Anwendung die Verpflichtungen erfüllen kann, die Sie für Ihre Kunden vornehmen. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung für Zuverlässigkeit.

• Azure Firewall Standard und Premium integrieren sich mit Verfügbarkeitszonen, um die Verfügbarkeit zu erhöhen.
• Application Gateway v2 unterstützt automatische Skalierung und Verfügbarkeitszonen, um die Zuverlässigkeit zu erhöhen.
• Implementierungen mit mehreren Regionen, die Lastenausgleichsdienste wie Azure Front Door enthalten, können Zuverlässigkeit und Ausfallsicherheit verbessern.
• Event Hubs Standard und Premium bieten Kopplungen für die georedundante Notfallwiederherstellung, die es einem Namespace ermöglicht, ein Failover auf eine sekundäre Region durchzuführen.

Sicherheit

Sicherheit bietet Sicherheitsmaßnahmen gegen bewusste Angriffe und den Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung für Sicherheit.

• Wenn Sie eine Unternehmensanwendung registrieren, wird ein Dienstprinzipal erstellt. Verwenden Sie ein Benennungsschema für Dienstprinzipale, das den Zweck für jeden einzelnen angibt.
• Führen Sie Überwachungen durch, um die Aktivität von Dienstprinzipalen und den Status der Besitzer*innen von Dienstprinzipalen zu bestimmen.
• Azure Firewall verfügt über Standardrichtlinien. Webanwendungsfirewalls (WAFs), die sowohl mit dem Anwendungsgateway als auch mit Azure Front Door verknüpft sind, verfügen über verwaltete Regelsätze, um Ihren Webdienst zu schützen. Verwenden Sie diese Regelsätze als Ausgangspunkt, und erstellen Sie im Lauf der Zeit Organisationsrichtlinien basierend auf Branchenanforderungen, bewährten Methoden und behördlichen Vorschriften.
• Der Zugriff auf Event Hubs wird über Microsoft Entra verwaltete Identitäten und ein zertifikat autorisiert, das von CISA bereitgestellt wird.

Kostenoptimierung

Die Kostenoptimierung konzentriert sich auf Möglichkeiten, unnötige Ausgaben zu reduzieren und die betriebliche Effizienz zu verbessern. Weitere Informationen finden Sie in der Prüfliste für die Entwurfsüberprüfung für die Kostenoptimierung.

Die Kosten für jede Lösung werden mit zunehmenden Ressourcen herunterskaliert. Die Preise in diesem Azure Preisrechnerbeispielszenario basieren auf der Azure Firewall Lösung. Wenn Sie die Konfiguration ändern, können die Kosten steigen. Bei einigen Plänen steigen die Kosten, wenn die Anzahl der erfassten Protokolle zunimmt.

Operative Exzellenz

„Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung für Operational Excellence.

• Azure Monitor Warnungen sind in die Lösungen integriert, um Sie zu benachrichtigen, wenn ein Upload keine Protokolle an CLAW übermittelt. Sie müssen in diesem Fall den Schweregrad der Warnungen und die Reaktion darauf bestimmen.
• Sie können Azure Resource Manager (ARM), Bicep- oder Terraform-Vorlagen verwenden, um die Bereitstellung von TIC 3.0-Architekturen für neue Anwendungen zu beschleunigen.

Leistungseffizienz

Die Leistungseffizienz bezieht sich auf die Fähigkeit Ihrer Arbeitslast, die Anforderungen der Nutzer effizient zu erfüllen. Weitere Informationen finden Sie in der Checkliste zur Entwurfsüberprüfung für die Leistungseffizienz.

• Azure Firewall, Application Gateway, Azure Front Door und Event Hubs leistungsskaliert, da sich die Nutzung erhöht.
• Azure Firewall Premium ermöglicht mehr TCP-Verbindungen als Standard und bietet eine höhere Bandbreite.
• Application Gateway v2 stellt automatisch sicher, dass neue Instanzen über Fehlerdomänen und Updatedomänen hinweg verteilt werden.
• Azure Front Door bietet Zwischenspeicherung, Komprimierung, Datenverkehrsbeschleunigung und TLS-Beendigung, um die Leistung zu verbessern.
• Event Hubs Standard und Premium bieten eine automatische Vergrößerung, um bei steigender Auslastung hochzuskalieren.

Bereitstellen einer Azure Firewall Lösung

Durch die Bereitstellung von Azure Firewall in Ihrer Netzwerkarchitektur können Sie den Datenverkehr in Ihre Azure Anwendungsumgebung effektiv verwalten und sichern. Diese Lösung bietet umfassende Anleitungen zum Sammeln und Bereitstellung von Protokollen für das CISA Cloud Log Aggregation Warehouse (CLAW), zur Sicherstellung der Erfüllung der Anforderungen an Trusted Internet Connections (TIC) 3.0. Die Bereitstellung kann mithilfe von ARM-, Bicep- oder Terraform-Vorlagen automatisiert werden, die den Einrichtungsprozess optimieren und den bewährten Methoden für infrastrukturbasierten Code einhalten.

Die Lösung beinhaltet Folgendes:

• Ein virtuelles Netzwerk, das über separate Subnetze für die Firewall und die Server verfügt.
• Ein Log Analytics Arbeitsbereich.
• Azure Firewall mit einer Netzwerkrichtlinie für den Internetzugriff.
• Azure Firewall Diagnoseeinstellungen, die Protokolle an den Log Analytics Arbeitsbereich senden.
• Eine Routingtabelle, die der Ressourcengruppe der Anwendung zugeordnet ist, um den App Service für die von ihm generierten Protokolle an die Firewall weiterzuleiten.
• Eine registrierte Anwendung.
• Ein Event Hub.
• Eine Warnungsregel, die bei einem Auftragsfehler eine E-Mail sendet

Bereitstellen einer Lösung, die Application Gateway mit WAF verwendet

Durch die Bereitstellung des Anwendungsgateways mit Web Application Firewall (WAF) in Ihrer Netzwerkarchitektur können Sie den Webdatenverkehr in Ihre Azure Anwendungsumgebung effektiv verwalten und sichern. Diese Lösung bietet einen umfassenden Leitfaden zur Sammlung und Übermittlung von Protokollen an das Cloud Log Aggregation Warehouse (CLAW), um die Einhaltung der Anforderungen von Trusted Internet Connections (TIC) 3.0 sicherzustellen. Die Bereitstellung kann mithilfe von ARM-, Bicep- oder Terraform-Vorlagen automatisiert werden, um den Einrichtungsprozess zu optimieren und bewährte Methoden zur Infrastruktur als Code einzuhalten.

Die Lösung beinhaltet Folgendes:

• Ein virtuelles Netzwerk, das über separate Subnetze für die Firewall und die Server verfügt.
• Ein Log Analytics Arbeitsbereich.
• Eine Application Gateway v2-Instanz mit WAF. Die WAF ist mit Botrichtlinien und von Microsoft verwalteten Richtlinien konfiguriert.
• Diagnoseeinstellungen des Anwendungsgateways v2, die Protokolle an den Log Analytics Arbeitsbereich senden.
• Eine registrierte Anwendung.
• Ein Event Hub.
• Eine Warnungsregel, die bei einem Auftragsfehler eine E-Mail sendet

Bereitstellen einer Lösung, die Azure Front Door mit WAF verwendet

Die folgende Lösung verwendet Azure Front Door mit WAF, um den globalen Webdatenverkehr in Ihre Azure Anwendungsumgebung zu verwalten und zu sichern. Diese Lösung bietet umfassende Anleitungen zum Generieren, Sammeln und Bereitstellen von Protokollen an das CISA Cloud Log Aggregation Warehouse (CLAW), um die Einhaltung der Anforderungen von Trusted Internet Connections (TIC) 3.0 sicherzustellen. Die Bereitstellung kann mithilfe von ARM-, Bicep- oder Terraform-Vorlagen automatisiert werden, um den Einrichtungsprozess zu optimieren und bewährte Methoden zur Infrastruktur als Code einzuhalten.

Diagramm, das eine TIC 3.0-Compliance-Architektur zeigt. Azure Front Door mit WAF lädt Protokolle in CLAW.

Die Lösung beinhaltet Folgendes:

• Ein virtuelles Netzwerk, das über separate Subnetze für die Firewall und die Server verfügt.
• Ein Log Analytics Arbeitsbereich.
• Eine Azure Front Door Instanz mit WAF. Die WAF ist mit Botrichtlinien und von Microsoft verwalteten Richtlinien konfiguriert.
• Azure Front Door Diagnoseeinstellungen, die Protokolle an den Log Analytics Arbeitsbereich senden.
• Eine registrierte Anwendung.
• Ein Event Hub.
• Eine Warnungsregel, die bei einem Auftragsfehler eine E-Mail sendet

Firewalllösung von Drittanbietern (NVA)

Die folgende Lösung veranschaulicht, wie Sie eine Firewall eines Drittanbieters verwenden können, um Datenverkehr in Ihre Azure Anwendungsumgebung zu verwalten und die TIC 3.0-Compliance zu implementieren. Firewalls von Drittanbietern erfordern die Verwendung eines virtuellen Syslog-Weiterleitungscomputers. Die Agents müssen im Log Analytics-Workspace registriert werden. Die Firewall eines Drittanbieters ist so konfiguriert, dass ihre Protokolle im Syslog-Format auf den virtuellen Syslog-Weiterleitungscomputer exportiert werden. Der Agent ist so konfiguriert, dass seine Protokolle an den Log Analytics Arbeitsbereich gesendet werden. Nachdem sich die Protokolle im Log Analytics Arbeitsbereich befinden, werden sie an Event Hubs gesendet und verarbeitet, wie sie sich in den anderen in diesem Artikel beschriebenen Lösungen befinden.

Aufgaben nach der Bereitstellung

Nach der Bereitstellung führt Ihre Umgebung die Firewallfunktionen aus und protokolliert Verbindungen. Um die Konformität mit TIC 3.0-Richtlinien für die Sammlung von Netzwerktelemetriedaten zu erfüllen, müssen Sie sicherstellen, dass die Protokolle in CISA CLAW eintreffen. Mit den Schritten nach der Bereitstellung werden die Aufgaben abgeschlossen, um die Einhaltung sicherzustellen. Um diese Schritte auszuführen, müssen Sie sich mit CISA abstimmen, da CISA ein Zertifikat bereitstellen muss, das Ihrem Dienstprinzipal zugeordnet werden kann.

Sie müssen die folgenden Aufgaben nach der Bereitstellung manuell ausführen. Sie können sie nicht mithilfe einer ARM-Vorlage abschließen.

• Rufen Sie ein Zertifikat für einen öffentlichen Schlüssel von CISA ab.
• Erstellen Sie einen Dienstprinzipal (Anwendungsregistrierung).
• Fügen Sie der Anwendungsregistrierung das Zertifikat für den öffentlichen Schlüssel hinzu.
• Weisen Sie der Anwendung die Rolle "Azure Event Hubs Datenempfänger" im Namespacebereich "Event Hubs" zu.
• Aktivieren Sie den Feed, indem Sie die Azure Mandanten-ID, Anwendungs-ID (Client), Event Hub-Namespacename, Event Hub-Name und Consumergruppennamen an CISA senden.

Beitragende

Dieser Artikel wird von Microsoft verwaltet. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

• Paul Lizer | Senior Cloud Solution Architect

Um nicht öffentliche LinkedIn-Profile zu sehen, melden Sie sich bei LinkedIn an.

Nächste Schritte

• TIC 3.0– Kernleitfadendokumente
• National Cybersecurity Protection System (NCPS)-Dokumente
• EINSTEIN
• Verwaltete vertrauenswürdige Internetprotokolldienste (MTIPS)
• Azure vertrauenswürdige Internetverbindung – Erweitert
• Was ist Azure Firewall?
• Azure Firewall-Dokumentation
• Was ist Azure Application Gateway?
• Azure Front Door
• Introduction to Azure WAF
• Übersicht von Log Analytics in Azure Monitor
• What is Azure Event Hubs?
• Overview von Warnungen in Azure
• Application- und Dienstprinzipalobjekte in Microsoft Entra ID
• Verwenden Sie das Portal, um eine Microsoft Entra Anwendung und einen Dienstprinzipal zu erstellen, der auf Ressourcen zugreifen kann
• Registern Sie eine Anwendung mit dem Microsoft Identity Platform
• Assignieren Azure Rollen mithilfe des Azure Portals
• Erstellen von Ressourcengruppen
• Wie Sie Ihre Microsoft Entra Mandanten-ID finden
• Collect Syslog-Datenquellen mit dem Log Analytics Agent
• Textdaten in Azure Monitor-Protokollen parsen
• Einführung in die Ablaufprotokollierung für Netzwerksicherheitsgruppen
• Was sind verwaltete Identitäten für Azure-Ressourcen?
• Bereitstellen und Konfigurieren von Azure Firewall über das Azure-Portal

Zugehörige Ressourcen

• Implementieren eines sicheren Hybridnetzwerks
• Sicher verwaltete Webanwendungen
• Verbesserter Sicherheitszugriff auf mehrinstanzenfähige Web-Apps aus einem lokalen Netzwerk