Testreihe SASE, Teil 2: Palo Alto
Sicherer Überallzugriff
Fortsetzung des Artikels von Teil 1
Vorbereitung und Testdurchlauf
Für die LANline-Testreihe stellte Palo Alto eine virtuelle Appliance und ein Testkonto zur Verfügung. Die Verwaltung von Prisma Access erfolgt wahlweise über die von den Firewalls bekannte Management-Anwendung Panorama oder per Web-GUI. Bisher muss der Administrator vor dem Setup entscheiden, mit welchem Tool er die Lösung verwalten will. Künftig soll es auch möglich sein, im laufenden Betrieb zwischen beiden Werkzeugen zu wechseln. Damit LANline auf die SASE-Plattform zugreifen konnte, legte ein Systemverwalter von Palo Alto einen neuen Benutzer an und berechtigte ihn für die Panorama-Anwendung. Panorama ist ein sehr mächtiges Tool für das Firewall-Management, das der Hersteller um ein Snap-in für die Verwaltung von Prisma Access erweitert hat. Für den Fernzugriff richteten wir in der Mobile User Device Group einen LANline-Account ein und wiesen ihm die Berechtigungen für die Verbindung per Global-Protect-Client (GP) zu.
Um ein Unternehmensnetz mit der Prisma-Access-Cloud zu verbinden, muss der Administrator zunächst einen IPSec-Tunnel zwischen seinem Standort und der SASE-Cloud aufbauen. Dies kann über ein vorhandenes IPSec-fähiges VPN-Gateway erfolgen. Für den LANline-Test nutzten wir die von Palo Alto bereitgestellte VM, mit der wir die verschiedenen Testszenarien aufsetzen konnten. Die Fernzugriffe auf das Testnetz führten wir per Windows-10-Notebook, Windows-10-VM und via iPhone durch. Auf diesen drei Systemen installierten wir den GP-Client. Der Administrator kann einstellen, ob sich der Client beim Hochfahren des Rechners automatisch mit der Cloud verbindet oder ob der Anwender die Verbindung manuell herstellen muss.
Beim Login gibt der Benutzer die Web-Adresse für das GP-Portal sowie seinen Namen und sein Passwort ein. Der Client verbindet sich dann automatisch mit dem nächstgelegenen Prisma-Access-POP. Die Erkennung des Ursprungslandes erfolgt über die IP-Adresse des Clients. In der Agent-Konfiguration lässt sich auch ein anderer POP auswählen. Wir konnten uns mit allen drei Clients erfolgreich an der Prisma-Access-Cloud anmelden und auf die für uns freigegebenen Ressourcen inklusive der Panorama-Konsole zugreifen. Um per RDP auf den Windows-Domänencontroller (DC) der Testumgebung zugreifen zu können, fügten wir in der Panorama-Konsole unseren Account bei den Firewall-Regeln zur RDP-Berechtigungsgruppe hinzu und gaben ihm auf dem DC die für das Remote-Login erforderlichen Rechte. Nun konnten wir uns von den beiden Windows-Rechnern aus wie auch mit der RDP-App des iPhones am DC anmelden. In der Panorama-Konsole war zudem zu sehen, dass sich alle drei Geräte mit der SASE-Cloud verbunden hatten.
Die Zero-Trust-Zugriffsteuerung lässt sich auch für Micro-Services nutzen, indem man Agenten in den VMs oder Containern installiert. Der GP-Client unterstützt zudem ein sogenanntes Autonomous Digital Experience Monitoring, das die Performance der Anwendungszugriffe Ende-zu-Ende darstellt und dabei alle im Übertragungsweg enthaltenen Hops mit den zugehörigen Leistungsdaten anzeigt. Damit lässt sich schnell identifizieren, an welcher Stelle die Ursache für Performance-Probleme zu suchen ist.
Prisma Access von Palo Alto Networks bietet einen sehr großen Funktionsumfang. Die vom Hersteller betriebene Cloud-Infrastruktur kann dank ihrer Single-Pass-Architektur auch hohe Anforderungen an die Security-Performance erfüllen und die zugrunde liegende Google Cloud Platform stellt weltweit mehr als 100 POPs bereit. Der Global-Protect-Client kann die Verbindungsperformance Ende-zu-Ende darstellen und hilft damit, Engpässe schnell aufzuspüren. In Kombination mit den SD-WAN-Lösungen von Palo Alto lassen sich mit Prisma Access leistungsfähige SASE-Infrastrukturen aufbauen. Die Preise für Prisma Access sind projektbezogen und auf Anfrage beim Hersteller und seinen Partnern erhältlich.
- Sicherer Überallzugriff
- Vorbereitung und Testdurchlauf
Lesen Sie mehr zum Thema
