Testreihe SASE, Teil 2: Palo Alto
Sicherer Überallzugriff
Im zweiten Teil der SASE-Testreihe (Secure Access Service Edge) nimmt LANline die Cloud-basierte Lösung Prisma Access von Palo Alto Networks unter die Lupe. Diese dient dazu, sichere Zugriffe von überall auf der Welt aus zu ermöglichen. Die Security-Services laufen auf einer von Palo Alto bereitgestellten globalen Infrastruktur, die auf der Google Cloud Platform (GCP) aufsetzt.
Palo Alto nutzt für Prisma Access die High-Speed Low-Latency Interconnects von GCP, die sehr niedrige Latenzzeiten bieten. Für jeden Anwender steht eine eigene Tenant-Infrastruktur zur Verfügung. Weltweit gibt es mehr als 100 POPs (Points of Presence) für den performanten Zugriff auf Unternehmensressourcen. Die vom Cloud-Service verwalteten Daten lassen sich auf Wunsch in einem europäischen RZ speichern, demnächst soll ein RZ in Frankfurt hinzukommen.
Die SASE-Lösung unterstützt zahlreiche Sicherheitsfunktionen, die sich durch den Cloud-basierten Ansatz von zentraler Stelle aus für alle Zugriffswege einheitlich konfigurieren lassen. Die Authentisierung durch Prisma Access erfolgt bereits am lokalen POP, über den die Verbindung mit dem Firmennetz läuft. So ist es nicht mehr nötig, zuerst einen Tunnel zum Unternehmens-RZ aufzubauen, um zum Beispiel Zugriff auf Ressourcen zu erhalten, die bei einem Cloud-Provider laufen. Neben Benutzername und Passwort lassen sich weitere Parameter wie Geräte- oder Applikations-ID für einen standortunabhängigen Zero-Trust-Netzwerkzugriff nutzen.
Prisma Access kann auch IoT-Geräte (Internet of Things) erkennen und anhand der für sie definierten Sicherheitsrichtlinien schützen. Die Anbindung von Standorten erfolgt mit IPSec-Verbindungen. Dazu lassen sich die hauseigenen Firewalls und SD-WAN-Geräte wie auch Gateways anderer Hersteller nutzen.
Palo Alto hat seine Cloudgenix-Plattform unter dem Namen Prisma SD-WAN in die SASE-Lösung integriert. Anwender können damit eine bislang MPLS-basierte WAN-Infrastruktur auf eine kostengünstigere und flexibler nutzbare SD-WAN-Lösung migrieren. Die Software unterstützt auch QoS-Funktionen (Quality of Service), um für Anwendungen die gewünschte Ende-zu-Ende-Performance zu garantieren. Mit Prisma SD-WAN erhalten Administratoren zudem tiefgehende Einblicke in den Datenverkehr, die bisher nur mit Hilfe spezieller Werkzeuge wie Netflow möglich waren. Die Lösung stellt den Datenverkehr bis hinauf zur Anwendungsschicht (Layer 7) dar. Damit lassen sich die Auswirkungen von Änderungen zum Beispiel der QoS-Richtlinien auf die Ende-zu-Ende-Anwendungsleistung sofort überprüfen. Für eine sichere Anbindung mobiler Anwender per IPSec- oder SSL-VPN stellt Palo Alto seinen Global Protect Client bereit, der Windows, Linux, macOS, Chrome OS, iOS und Android unterstützt. Der Administrator kann in Prisma Access auch ein Portal für einen sicheren Zugriff auf Web-Anwendungen einrichten, über das die Benutzer per Web-Browser remote auf die für sie freigegebenen Anwendungen zugreifen können.
Zu den von Prisma Access unterstützten Security Features zählt Firewall-as-a-Service mit Next-Generation-Funktionen wie zentralen Netzwerksicherheitsrichtlinien und Schutz des DNS-Datenverkehrs mit Hilfe von vorausschauenden Analysen und maschinellem Lernen. Für die Bedrohungsabwehr verfügt die Software über Cloud-basierte Antivirus- und Anti-Spyware-Systeme, URL-Filtering, File Blocking sowie IDS- und IPS-Mechanismen (Intrusion Detection/Prevention System), die auch Malware-Dateien erkennen und blockieren. Ein Secure Web Gateway schützt die Belegschaft eines Unternehmens vor Zugriffen auf schädliche oder unerwünschte Websites.
Mit den CASB-Funktionen (Cloud Access Security Broker) können Unternehmen Cloud-Anwendungen mit zentralen Zugriffsrichtlinien schützen. Data Loss Prevention (DLP) soll Datenverluste verhindern, indem die Software alle Datenzugriffe standortunabhängig daraufhin überwacht, ob sie mit den Richtlinien zur Nutzung, Speicherung und Übertragung übereinstimmen. Die Anbindung Cloud-basierter Dienste anderer Hersteller ist über RESTful- und XML-APIs möglich.
Die Security-Engine von Prisma Access verwendet eine Single-Pass-Architektur, mit der die verschlüsselten Datenpakete nur einmal entschlüsselt werden müssen. Dann erfolgen die verschiedenen Sicherheits-Checks wie Malware Detection oder Deep Packet Inspection. Palo Alto Networks stellt sicher, dass die Cloud-Infrastruktur leistungsfähig genug ist, um die mit dem Anwender vertraglich vereinbarte Performance liefern zu können. Für Spitzenlasten steht an allen Standorten standardmäßig eine Reserve von zehn Prozent zur Verfügung. Steigen die Performance-Anforderungen dauerhaft, baut Palo Alto die Backend-Systeme aus, wenn das Anwenderunternehmen dies wünscht.
- Sicherer Überallzugriff
- Vorbereitung und Testdurchlauf
Lesen Sie mehr zum Thema
