Security Appliances im Trend

Hohe Leistung und Funktionalität von Security Appliances führen zu optimalen Resultaten. Zudem sind die Betriebskosten niedrig dank einfacher Bedienung und Wartung. AVANTEC hat letztes Jahr unter dieser Prämisse zwei neue Appliance-Lösungen evaluiert und erfolgreich eingeführt, Blue Coat Proxy als Web-Security-Gateways und die IronPort C-Serie als E-Mail Gateway für hohe und höchste Ansprüche. Wir möchten im Folgenden einige der Argumente beleuchten, welche für den Vorteil der Appliances für spezialisierte Anwendungen wie Security sprechen. Danach werden wir diese den konkreten Erfahrungen gegenüberstellen, welche wir bei AVANTEC beim Einsatz der Appliance-Lösungen von IronPort, Blue Coat und Nokia gewonnen haben. Wir hoffen, dass Ihnen diese Betrachtungen helfen, bei der Konsolidierung und Weiterentwicklung Ihrer Security-Umgebung den möglichen Einsatz oder Ausbau der Appliancestrategie besser zu beurteilen.

Der Appliance-Vorteil

Die Appliance ist ein hochintegriertes und applikationsspezifisches Gerät: Hardware, Betriebssystem (OS) und die Anwendung kommen aus einem Guss und aus einer Hand. Eine Zwischenlösung, die wir hier nicht weiter betrachten, ist die so genannte Soft-Appliance, bei der OS und Anwendung zusammenkommen und dann auf einer generischen Hardware-Plattform installiert werden. Bei der Soft-Appliance fehlen einige wichtige Appliance-Vorteile, sie ist aber preislich interessant und kann im Einklang mit einer homogenen Hardware-Strategie die richtige Lösung sein.Oft ist der Appliance-Anbieter nicht der Hersteller aller angebotenen Applikationen. Einzelne Optionen oder gar der ganze Applikations-Layer (wie bei Check Point auf Nokia) kommen von spezialisierten Drittanbietern. Gerade im anspruchsvollen Enterprisebereich, wo die Best-of-breed-Lösungsstrategie verfolgt wird, macht diese Bündelung der Kräfte Sinn und definiert damit auch den ersten grossen Vorteil des Appliance-Ansatzes. Dadurch kommt dann auch der Support aus einer Hand und Schnittstellenprobleme (z.B. Hardware-Adaption) werden vom Hersteller gelöst.

Zusammen mit der Auswahl der geeignetsten Security-Applikationen bildet die Appliance-Plattform die Grundlage für höchste Sicherheit, Stabilität und Performance. Die Hardware, welche auf den langlebigen Einsatz im Rechenzentrum ausgelegt ist, unterstützt die Anwendungen mit den spezifischen Netzwerkschnittstellen oder auch mit VPN-Beschleunigern. Das OS - meist Linux oder ein BSD-Unix- Derivat - ist speziell optimiert und natürlich auf höchste Sicherheit gehärtet. Es ist ausserdem von Vorteil, dass diese Appliance-Betriebssysteme proprietär sind und somit keine Listen von bekannten Löchern auf dem Internet abgerufen werden können.

Den dritten grossen Vorteil der Security-Appliance bilden die speziellen wertsteigernden Funktionalitäten: Cluster-Fähigkeit, zentrales Management für grosse und verteilte Umgebungen, intuitive GUIs und speziell die applikationsspezifischen Sicherheitsfunktionen. Natürlich lassen sich mit den mächtigen Open-source-Applikationen wie Sendmail, Postfix oder Squid durch vertiefte Konfiguration oder Zusatzprogrammierung einige oder viele dieser Dinge implementieren. Aber wie sieht es aus mit der Sicherheit dieser Konfigurationen, und wer hat ausreichend spezialisierte Ingenieure und Informatiker, um diese auch fortlaufend zu betreuen?

Im Folgenden werden wir also die hier argumentierten Appliance-Vorteile am Beispiel der AVANTEC-Lösungen IronPort, Blue Coat, Nokia und Radware messen und vergleichen:

IronPort E-Mail Security Gateways

ironport s-series Die wegweisenden neuen IronPort Appliances der C-Serie bauen auf dem eigens entwickelten und hochsicheren AsyncOS-Betriebssystem auf. Mit der Stackless Threads-Technologie und dem speziellen I/O-Scheduler können auf der grössten Box bis zu 500000 Mails pro Stunde verarbeitet werden. Für jede Ziel-Domain wird eine separate Queue geöffnet und alles zusammen kann über das GUI des Mail Flow Monitors grafisch und in Echtzeit administriert werden. Das sind einige der offensichtlichen Vorteile gegenüber den bekannten Open-source-Lösungen, ganz abgesehen von der einfachen Konfigurierbarkeit (z.B. im Vergleich mit Sendmail). IronPort setzt neben dem eigenen einzigartigen Reputationsfilter (siehe auch www.senderbase.org) auf die führenden Third-party Plug-ins von Symantec Brightmail für Antispam und Sophos für Antivirus. Mit dem IronPort Virus-Outbreak-Filter kann auf E-Mail-Blitzattacken sofort reagiert werden, noch bevor ein Pattern vom AV-Hersteller vorliegt. Die verdächtigen E-Mails werden einfach bis zur Reinigung oder endgültigen Löschung in der Quarantäne zurückbehalten. Als typische Appliance lassen sich OS und Applikationen natürlich per Klick auf den Update-Button vollständig und automatisch upgraden. Der Support für alle Applikationen kommt aus einer Hand. Lesen Sie mehr über IronPort.

Blue Coat Proxy

Die ProxySG Appliances der Firma Blue Coat können als Forward-Proxies für die Internetnutzung und als Reverse-Proxies mit SSL-Terminierung zum Schutz von Webfarmen eingesetzt werden. Über die ICAP-Schnittstelle können Antiviren-Scanner und URL-Filter auf einfache und performante Art und Weise angebunden werden. ICAP ist ein mittlerweile in der Security-Industrie weit verbreitetes Protokoll mit vielen Vorteilen. Die sternförmige Anbindung der Content-Security-Server verhindert das unflexible Chaining der verschiedenen Lösungen. Die einzelnen benötigten Funktionen können in Plug&play-Manier zu- oder weggeschaltet werden, ohne die Netzwerktopologie zu verändern. Lastverteilung und Fail-over-Funktionen sind im ICAP inbegriffen. Der besondere Vorteil der Blue Coat ist aber ihr visuelles und intuitives Security Policy Managment. Mit dem Open-source Squid oder anderen Lösungen lassen sich Policies über Access Control Lists (ACL) beschreiben. Diese sind für anspruchsvollere Regelwerke unübersichtlich und damit fehleranfällig. Mit Blue Coat lässt sich zum Beispiel auch die Einbindung für von Servern für das Scannen von verschlüsseltem Web-Verkehr (HTTPS) einfach realisieren. Die Appliance ist auch in Performance und Stabilität den Software-Proxies überlegen dank schnellem File-System und Applikations-Tuning. Lesen Sie mehr über die Blue Coat Proxies.

Nokia IP-Security

Die weltbekannten Nokia IPSO-Plattformen für Check Point-Lösungen verkörpern den Appliance Ansatz ganz klassisch: Sie sind auf die wichtige Check Point-Applikation massgeschneidert. Hardware-abhängigkeiten entfallen und die Unterstützung durch Netzwerk-Interfaces und -Acceleration (Nokia Flows) und onboard VPN-Beschleuniger führen zur schnellen Plug&play-Inbetriebnahme auch in anspruchsvollen Umgebungen. IPSO unterstützt schon ab Werk eine Vielzahl von Netzwerk/Routing-Protokollen, die auf generischen Betriebssystemen erst mühsam dazu kompiliert werden müssen. Nicht zu vergessen: Der weltweite Nokia Hardware- und Notfall-Austauschservice. Mit dem Nokia Secure Access System (NSAS) stellt Nokia nun auch eine Appliance mit einer hauseigenen Applikation vor: NSAS ist ein Client-less VPN Portal für den einfachen, aber sicheren RemoteZugang - schlüsselfertig. Lesen Sie mehr über die Nokia Appliances.

Schlusswort

Appliances sind nicht die richtige Antwort auf jede Security-Anforderung, natürlich muss ihr Einsatz auch im Zusammenhang mit einer ganzheitlichen IT-Strategie gesehen werden. AVANTEC stellt aber über die letzten fünf Jahre fest, dass der Appliance-Vorteil immer mehr Projekte gewinnt und vor allem auch mit langfristiger Optik zufriedene Kunden schafft. Gerne berät Sie AVANTEC zu allen Fragen rund um Security Appliances.