Home » Security-Appliances

Security Appliances im Trend

Hohe Leistung und Funktionalität von Security Appliances führen zu optimalen Resultaten. Zudem sind die Betriebskosten niedrig dank einfacher Bedienung und Wartung. AVANTEC hat letztes Jahr unter dieser Prämisse zwei neue Appliance-Lösungen evaluiert und erfolgreich eingeführt, Blue Coat Proxy als Web-Security-Gateways und die IronPort C-Serie als E-Mail Gateway für hohe und höchste Ansprüche. Wir möchten im Folgenden einige der Argumente beleuchten, welche für den Vorteil der Appliances für spezialisierte Anwendungen wie Security sprechen. Danach werden wir diese den konkreten Erfahrungen gegenüberstellen, welche wir bei AVANTEC beim Einsatz der Appliance-Lösungen von IronPort, Blue Coat und Check Point gewonnen haben. Wir hoffen, dass Ihnen diese Betrachtungen helfen, bei der Konsolidierung und Weiterentwicklung Ihrer Security-Umgebung den möglichen Einsatz oder Ausbau der Appliancestrategie besser zu beurteilen.

Der Appliance-Vorteil

Zusammen mit der Auswahl der geeignetsten Security-Applikationen bildet die Appliance-Plattform die Grundlage für höchste Sicherheit, Stabilität und Performance. Die Hardware, welche auf den langlebigen Einsatz im Rechenzentrum ausgelegt ist, unterstützt die Anwendungen mit den spezifischen Netzwerkschnittstellen oder auch mit VPN-Beschleunigern. Das OS - meist Linux oder ein BSD-Unix- Derivat - ist speziell optimiert und natürlich auf höchste Sicherheit gehärtet. Es ist ausserdem von Vorteil, dass diese Appliance-Betriebssysteme proprietär sind und somit keine Listen von bekannten Löchern auf dem Internet abgerufen werden können.

Den dritten grossen Vorteil der Security-Appliance bilden die speziellen wertsteigernden Funktionalitäten: Cluster-Fähigkeit, zentrales Management für grosse und verteilte Umgebungen, intuitive GUIs und speziell die applikationsspezifischen Sicherheitsfunktionen. Natürlich lassen sich mit den mächtigen Open-source-Applikationen wie Sendmail, Postfix oder Squid durch vertiefte Konfiguration oder Zusatzprogrammierung einige oder viele dieser Dinge implementieren. Aber wie sieht es aus mit der Sicherheit dieser Konfigurationen, und wer hat ausreichend spezialisierte Ingenieure und Informatiker, um diese auch fortlaufend zu betreuen?

Im Folgenden werden wir also die hier argumentierten Appliance-Vorteile am Beispiel der AVANTEC-Lösungen IronPort, Blue Coat und Check Point messen und vergleichen:

IronPort E-Mail Security Gateways

ironport s-series Die wegweisenden neuen IronPort Appliances der C-Serie bauen auf dem eigens entwickelten und hochsicheren AsyncOS-Betriebssystem auf. Mit der Stackless Threads-Technologie und dem speziellen I/O-Scheduler können auf der grössten Box bis zu 500000 Mails pro Stunde verarbeitet werden. Für jede Ziel-Domain wird eine separate Queue geöffnet und alles zusammen kann über das GUI des Mail Flow Monitors grafisch und in Echtzeit administriert werden. Das sind einige der offensichtlichen Vorteile gegenüber den bekannten Open-source-Lösungen, ganz abgesehen von der einfachen Konfigurierbarkeit (z.B. im Vergleich mit Sendmail). IronPort setzt neben dem eigenen einzigartigen Reputationsfilter (siehe auch www.senderbase.org) auf die führenden Third-party Plug-ins von Symantec Brightmail für Antispam und Sophos für Antivirus. Mit dem IronPort Virus-Outbreak-Filter kann auf E-Mail-Blitzattacken sofort reagiert werden, noch bevor ein Pattern vom AV-Hersteller vorliegt. Die verdächtigen E-Mails werden einfach bis zur Reinigung oder endgültigen Löschung in der Quarantäne zurückbehalten. Als typische Appliance lassen sich OS und Applikationen natürlich per Klick auf den Update-Button vollständig und automatisch upgraden. Der Support für alle Applikationen kommt aus einer Hand. Lesen Sie mehr über IronPort.

Blue Coat Proxy

Die ProxySG Appliances der Firma Blue Coat können als Forward-Proxies für die Internetnutzung und als Reverse-Proxies mit SSL-Terminierung zum Schutz von Webfarmen eingesetzt werden. Über die ICAP-Schnittstelle können Antiviren-Scanner und URL-Filter auf einfache und performante Art und Weise angebunden werden. ICAP ist ein mittlerweile in der Security-Industrie weit verbreitetes Protokoll mit vielen Vorteilen. Die sternförmige Anbindung der Content-Security-Server verhindert das unflexible Chaining der verschiedenen Lösungen. Die einzelnen benötigten Funktionen können in Plug&play-Manier zu- oder weggeschaltet werden, ohne die Netzwerktopologie zu verändern. Lastverteilung und Fail-over-Funktionen sind im ICAP inbegriffen. Der besondere Vorteil der Blue Coat ist aber ihr visuelles und intuitives Security Policy Managment. Mit dem Open-source Squid oder anderen Lösungen lassen sich Policies über Access Control Lists (ACL) beschreiben. Diese sind für anspruchsvollere Regelwerke unübersichtlich und damit fehleranfällig. Mit Blue Coat lässt sich zum Beispiel auch die Einbindung für von Servern für das Scannen von verschlüsseltem Web-Verkehr (HTTPS) einfach realisieren. Die Appliance ist auch in Performance und Stabilität den Software-Proxies überlegen dank schnellem File-System und Applikations-Tuning. Lesen Sie mehr über die Blue Coat Proxies.

Check Point IP-Security

Die weltbekanntenSecurity-Appliances IPSO-Plattformen für Check Point-Lösungen verkörpern den Appliance Ansatz ganz klassisch: Sie sind auf die wichtige Check Point-Applikation massgeschneidert. Hardware-abhängigkeiten entfallen und die Unterstützung durch Netzwerk-Interfaces und -Acceleration (Nokia Flows) und onboard VPN-Beschleuniger führen zur schnellen Plug&play-Inbetriebnahme auch in anspruchsvollen Umgebungen. IPSO unterstützt schon ab Werk eine Vielzahl von Netzwerk/Routing-Protokollen, die auf generischen Betriebssystemen erst mühsam dazu kompiliert werden müssen. Lesen Sie mehr über die Check Point Appliances.

Schlusswort

Appliances sind nicht die richtige Antwort auf jede Security-Anforderung, natürlich muss ihr Einsatz auch im Zusammenhang mit einer ganzheitlichen IT-Strategie gesehen werden. AVANTEC stellt aber über die letzten fünf Jahre fest, dass der Appliance-Vorteil immer mehr Projekte gewinnt und vor allem auch mit langfristiger Optik zufriedene Kunden schafft. Gerne berät Sie AVANTEC zu allen Fragen rund um Security Appliances.