Skab dit eget sikre netværk med Secure Access og privat APN
Oktober 2025 | Sikkerhed
Hvordan gør man SIM til en sikker adgangsbillet til firmaets netværk? Secure Access er jeres private APN, som fungerer uden VPN og usikre WiFi – Kom helt tæt på løsningen, sammen med 3’s egen ekspert Michael Rolff.
Mobilt arbejde er blevet en essentiel del af hverdagen for mange virksomheder. Men hver gang en medarbejder åbner en bærbar på et café-WiFi, deler internet med mobilen eller kobler sig på hjemmenettet, løber virksomheden en unødig risiko.
Ofte benytter virksomheden en klient-VPN, for at sikre forbindelsen, men brugerne kan glemme at aktivere den, den kan konflikte med applikationer, og halter, når båndbredden presses.
Resultatet? Større angrebsflade, mere support og et sikkerhedsniveau, der varierer fra dag til dag, samt en oplevelse, der fuldstændig afhænger af kvaliteten på tilfældige internetforbindelser.
Secure Access løser det problem ved at gøre det mobile SIM til en forlængelse af virksomhedens netværk, gennem et privat APN. Trafikken går ikke ud på internettet, men afleveres direkte til jeres firewall – efter jeres regler, med jeres logning og jeres filtrering.
Eller som Michael Rolff, Head of Business Solutions Support hos 3Business, formulerer det:
“Secure Access er i bund og grund et privat, virtuelt netværk i vores mobilnetværk. Du åbner pc’en – og du er på virksomhedens net, punktum.”
Det gør løsningen nemmere for både bruger og administration, men hvordan virker det egentlig, og hvad betyder Secure Access i hverdagen? Det kan du blive klogere på herunder.
Secure Access kort fortalt.
Privat APN = lukket indgang til 3’s mobilnet kun for jer.
Trafikken afleveres sikkert til jeres netværk.
Brugerne er “på kontoret”, også når de er på farten.
Sådan fungerer Secure Access.
Hvad sker der egentlig, når en medarbejder åbner pc’en på farten? Bag kulissen sørger Secure Access for, at trafikken kører i et lukket spor i mobilnettet og afleveres direkte til jeres netværk.
”Hvis man forestiller sig, at kunden opbyggede sit eget netværk med fiberforbindelse fra a til b til c, så er det i princippet, det samme vi gør virtuelt, via vores mobilnetværk,” forklarer Michael Rolff.
Det gør det sikkert for jer og simpelt for brugeren.
“Brugeren skal hverken vælge netværk eller åbne en VPN, og så er det virksomheden, der bestemmer, hvad enheden må – fra besøg på websites til brug af USB og WiFi,” forklarer Michael Rolff.
Her er grundidéen:
Privat, lukket mobilspor: I får jeres egen adgangsvej i mobilnettet, som kun jeres SIM-kort kan bruge. Når enheden tænder, kobles den automatisk på den lukkede vej og får den “adresse”, den skal have, så trafikken lander det rigtige sted i jeres netværk.
Krypteret tunnel til jeres net: Der oprettes en sikker, krypteret forbindelse mellem 3’s net og jeres firewall. Den starter automatisk, holdes ved lige og skifter jævnligt “låsekode”, så uvedkommende ikke kan kigge med.
Internet på jeres præmisser: Som udgangspunkt har enhederne ikke adgang til internettet, men I kan tildele enhederne adgang via jeres egen gateway og firewall, hvis I ønsker det. I kan styre og filtrere internettrafikken og logge begivenheder – præcis som ved adgang fra kontoret.
Let udrulning og drift: Enhederne skal blot bruge indstillingerne til jeres nye adgangspunkt, det private APN i Secure Access. Det kan I skubbe ud centralt via jeres løsning til enhedsadministration (MDM), så I slipper for at røre hver enkelt pc eller telefon.
Hvorfor er en klassisk VPN ikke nok?
På papiret er en klient-VPN ligetil: Brugeren forbinder, og alt er godt. I praksis vælger mange virksomheder dog en split-tunnel for at skåne kapaciteten – det betyder, at noget trafik går uden om VPN, direkte på internettet.
Det kan give god mening rent driftsmæssigt, fordi det reducerer belastningen på virksomhedens forbindelse, men samtidig går man på kompromis med sikkerheden:
“Med split-tunnel er du i praksis både i et sikkert og et usikkert miljø. Det gør overblikket og kontrollen sværere – både for brugeren og for IT,” siger Michael Rolff.
Med et ben i hver lejr, er der nemlig risiko for, at en kompromittering i det usikre miljø spreder sig til det sikre. Derudover kræver VPN aktivering og validering, når enheden starter op – glemmer brugeren at starte klienten eller skifter vedkommende net midt i en session? Ja, så har I inkonsistens, mere support og en angrebsflade, der flytter sig time for time.
Kernen i Secure Access er, at enheden slet ikke behøver at være på internettet: Forbindelsen går via et dedikeret APN og afleveres til jeres netværk gennem en netværksinitieret IPsec-tunnel mellem 3’s mobilnet og jeres firewall.
“Når krypteringen i mobilnettet er godt nok til kritisk infrastruktur, er det også godt nok til dig,” fortæller Michael Rolff.
Eksempel
Sundhedsplejersken – sikker adgang i borgernes hjem.
En kommunal sundhedsplejerske tilser familier i hjemmet og har brug for at kunne få adgang til personfølsomme sundhedsoplysninger.
PC'en er låst til SIM-forbindelsen; WiFi er deaktiveret i MDM, USB-porte styres efter politik, og al internettrafik – hvis tilladt – kører gennem kommunens egen firewall til nettet.
Sundhedsplejersken kan arbejde som på kontoret, men uden at eksponere data på internet eller lokale netværk. For organisationen er gevinsten, at alle regler og adgang sættes op centralt og gælder overalt.
Dét skal I vide, før I vælger Secure Access.
Sikkerhed indebærer valg. Secure Access giver høj kontrol, men kræver også nogle bevidste beslutninger. Det fortæller Michael Rolff:
“Sikkerhed har altid trade-offs. Pointen er at kende dem – og styre dem.”
Her er de typiske afvejninger – med en pragmatisk måde at håndtere dem på.
Kapacitet og privat brug – al trafik kan ramme virksomhedens forbindelse til internettet, så streaming m.m. kan belaste. Sørg derfor for at fastlægge politik for privat trafik, dimensionér udgangen og prioritér forretningskritisk data.
Dækning og hastighed varierer – mobilnet er lokationsafhængigt, så det er vigtigt at forventningsafstemme, planlægge for kritiske lokationer og overveje offline-funktioner, hvis det er nødvendigt.
Adresser og governance – I skal have en enkel plan for adressering og adgang i det lukkede miljø. Vælg derfor én model, dokumentér den, og hold jer til den.
Opsætning på enheder – APN skal skiftes på samtlige enheder, så brug en MDM eller lignende, som gør det nemt at udrulle profilen centralt – og test på tværs af enhedstyper.
Skift mellem APN’er – nogle kan teknisk set skifte tilbage til standard-APN. Sæt derfor systemet op til kun at forbinde via det dedikerede APN, Secure Access.
Fremtiden: Mod 5G LAN og fuldt trådløse miljøer.
Secure Access sørger i dag for sikker, ensartet fjernadgang uden brugeren i dagligdagen skal bekymre sig om at aktivere det. Næste skridt er 5G LAN – et fuldt trådløst virksomhedsnet, hvor en radioforbindelse (5G) erstatter store dele af det klassiske LAN/WiFi-setup.
“Secure Access løser meget i dag, men det er ikke nogen ny teknologi, og vi forventer ikke de store funktionsmæssige opdateringer. Det vi ser fremadrettet, er i stedet decideret 5G LAN – altså, hele netværk over 5G,” siger Michael Rolff.
Et helt trådløst kontor med lokale ressourcer som printere, kameraer og IoT bliver i dag tungt med Secure Access, fordi hver enhed sender al trafik hjem via virksomhedens centrale gateway – også når enheden skal kommunikere med fx en printer én meter væk.
“Hvis du vil have et fuldt trådløst kontor uden kabler eller WiFi, skal enhederne også kunne tale lokalt med printere m.m. – det er her 5G LAN kommer ind,” siger Michael Rolff.
Indtil 5G LAN bliver en realitet, fortsætter Secure Access med at skabe en sikker forbindelse fra mobile enheder til virksomhedens netværk.
Beslutningsguide
Vælg Secure Access, hvis…
I vil minimere angrebsfladen ved at isolere mobile enheder fra internettet og håndhæve politikker centralt.
I vil slippe for klient-VPN og reducere brugerfriktion/support.
I har compliance-krav (logging, filtrering, DLP) der skal gælde ens – uanset lokation.
Fra sikker mobiladgang til stærkere cyberforsvar.
Secure Access er en enkel måde at øge jeres modstandskraft overfor cyberangreb, ved at reducere angrebsfladen og gøre mobil adgang lige så kontrolleret som på kontoret. Det giver ro i maven for ledelsen og færre irritationsmomenter for brugerne.
Vil I se, om Secure Access passer til jeres virkelighed? Lad os tage en uforpligtende snak om behov, dækning og governance (adresser, internetpolitik, MDM) – og eventuelt sætte en POC op på udvalgte brugerprofiler. Så får I fakta på bordet og et klart beslutningsgrundlag.
Samtidig kan vi hjælpe jer ud over netværkslaget: 3Business leverer globalt markedsledende cybersikkerhed via vores partner Arctic Wolf – fra 24/7 overvågning og Incident Response (MDR/IR) til risikostyring, endpoint-sikkerhed og sikkerhedsbevidsthedstræning.
Med Secure Access som fundament og Arctic Wolf som sikkerhedslag får I både kontrol over trafikken og et stærkt beredskab, hvis noget alligevel sker.
Kontakt 3Business – så hjælper vi jer fra første afklaring til sikker drift.
Hvad kræver Secure Access af din virksomhed?
Når først Secure Access er sat op, er brugen meget enkel, men det kræver en indsats at nå dertil. Processen aftales direkte med jeres leverandør, men for at få succes med Secure Access er der fire essentielle forhold, I skal kunne imødekomme, nemlig at I…
…udarbejder en plan for tildeling af IP-adresser og for segmentering til fx medarbejdere, gæster og IoT.
…udvikler en klar internetpolitik, herunder om adgang til internettet via jeres egen firewall, samt krav til filtrering/logning og simple retningslinjer for privat brug samt streaming.
…har en løsning til enhedsadministration (MDM), så APN-profilen kan udrulles centralt, og sikre at basale politikker (fx WiFi/USB, kryptering, certifikater) gælder overalt.
…har egnet netværksudstyr, dvs. en firewall/sikkerhedsgateway der kan terminere en IPsec-forbindelse.
FAQ
Hvad er IPsec?
IPsec er en international standard til at kryptere og beskytte datatrafik mellem to netværk eller enheder. Tænk på det som et sæt sikkerhedsregler, der sikrer tre ting:
Fortrolighed: Uvedkommende kan ikke læse indholdet (kryptering).
Integritet: Data kan ikke ændres undervejs uden at blive opdaget.
Autenticitet: Afsender og modtager bekræfter, at de er dem, de siger, de er. Nøgler udveksles og fornyes automatisk via en “håndtryks-mekanisme” (IKE), så forbindelsen forbliver sikker – uden at brugeren skal gøre noget.
Hvad er en IPsec-tunnel, og hvordan bruges den i Secure Access?
En IPsec-tunnel er en vedvarende, krypteret forbindelse – som et aflåst rør – mellem to punkter. I Secure Access går røret mellem 3’s mobilnet og jeres firewall. Al trafik fra jeres private APN kører inde i det rør og afleveres direkte til jeres netværk (ikke ud på det åbne internet).
Tunnellen oprettes og fornyes automatisk i netværket (netværksinitieret), så brugeren ikke skal starte en VPN-klient.
I vælger om og hvordan enheden må få internetadgang via jeres egen firewall, så filtrering, logging og politikker er ens – også uden for kontoret.
For brugeren føles det som at være “på kontoret”; for IT betyder det færre klientfejl og central kontrol.
Hvordan er trafikken krypteret på mobilnettet?
Krypteringen sker som del af den generelle sikkerhed på mobilnettet, som benytter 3GPP-standarden. 3GPP er det globale standardiseringsfællesskab bag mobiltekonolgierne 3G, 4G og 5G. De definerer, hvordan mobilnet virker – inkl. sikkerhed, godkendelse og kryptering.
Hvad gør 3GPP for Secure Access?
3GPP-standarden blev etableret ifm. udrulningen af 3G-mobilnettet og er siden blevet opdateret med bedre kryptering samt yderligere sikkerhedsforanstaltninger, som at skjule abonnementsidentiteten på netværket.
3GPP bidrager med:
Stærk identitet via SIM – enheden og mobilnettet godkender hinanden, så kun jeres SIM-kort får adgang til det lukkede APN.
Kryptering “over luften” – data mellem enheden og mobilmasten er krypteret og integritetsbeskyttet som standard.
5G-forbedringer – bl.a. beskyttet abonnent-ID (skjuler IMSI), nyere algoritmer og bedre nøglehåndtering, som hæver sikkerhedsniveauet.
Roaming-sikkerhed – sikkerhedsmekanismerne følger med i udlandet.
Mister brugerne internet?
Ikke nødvendigvis, det er helt op til jer. I kan vælge at give adgang til internet via egen proxy/udgang, så I bevarer kontrol og logging, eller lukke helt for adgangen til internet og derved sikre enhederne bedst muligt.
Kan brugere skifte tilbage til offentligt APN?
I princippet ja, men systemet kan sættes op til, at jeres brugere simpelthen ikke har forbindelse udenom jeres Secure Access-løsning. På den måde undgår I at jeres sikkerhed kompromitteres – og det anbefaler vi altid.
Hvordan tildeles IP-adresserne?
I kan lade 3 tildele IP-adresser fra det udsnit af adresser, I har defineret, eller selv styre det via fx netværksfunktionen DHCP, som automatisk kan uddele IP-adresser og indstillinger til enhederne. Uanset metoden tilfalder det dog jer at bestemme IP-adresserne.
Virker det i udlandet?
Ja, Secure Access fungerer ved roaming hos partnere, og med 3LikeHome Pro er I dækket ind uden ekstra gebyrer i alle de inkluderede lande.
Hvilke enheder understøttes?
Praktisk talt alle enheder, som kan benytte SIM-kort eller eSIM på 3G/4G/5G-nettet og som har mulighed for at ændre APN.
Få vejledning af vores business rådgivere, der står klar til at hjælpe jer.
I skal blot indtaste jeres oplysninger i kontaktformularen her, og så kontakter vi jer inden for 1 time på hverdage mellem 8-16.
Brug for hjælp? Kontakt os her.