Unter die Lupe genommen: die neue Symantec Web Protection Suite

Egal ob die User On-Premises im Unternehmen oder via Cloud Proxy (z.B. im Home-Office) surfen, mit der „all-inclusive“ Web Protection Suite Lizenz, sind sie alle immer geschützt.

Weshalb man heutzutage noch einen Proxy benötigt und wie man den richtigen Proxy auswählt, wurden im Blog Eintrag Wofür brauche ich welchen Web Proxy erörtert. Ich konzentriere mich hier auf die neue WPS Bundle-Lizenz von Symantec (die Lösung ist unter Security-Veteranen auch noch bekannt als Blue Coat).

Nachdem letztes Jahr die neuen Symantec Security Platform (SSP-410) Hardware Appliances und die Integrated Secure Gateway (ISG) Software verfügbar wurden, änderte Symantec auch das On-Premises Proxy Lizenzmodell. Statt wie bisher die Anzahl User bzw. die Leistung der Appliance, konnte man neu die Anzahl der benutzen CPU Cores lizenzieren.

Dabei gibt’s zwei Lizenz-Modelle:

• • Node-Locked: Die Lizenz bindet sich fix auf einer spezifischen ISG Appliance und schaltet eine definierte Anzahl CPU’s frei. Weiterhin müssen die userbasierten Lizenzen (z.B. BCIS) dazugekauft werden. Diese Lizenz wurde für Kunden erstellt, die lieber so wie bisher viel CAPEX Ausgaben haben möchten. Aus meiner Sicht nicht wirklich ein interessantes Modell und somit nur in Spezialfällen einsetzbar.
  • Enterprise (Advanced): Die lizenzierte Anzahl CPU Cores sind auf einer beliebigen ISG Appliance oder als Virtual Machine VM (z.B. auf Vmware ESX) oder in der Public Cloud (Azure, AWS usw.) einsetzbar. Dabei kann man selber festlegen wo, welche Anzahl CPU Core aktiviert werden sollen.

Die Enterprise Lizenz ist eine jährliche Subscription und beinhaltet folgende Features:

• • SGOS Security Edition
  • Intelligence Services Standard (BCIS)
  • CASB App Feed for Visibility into Cloud Application Use
  • Encrypted Tap License
  • Flash Proxy License
  • CachePulse
  • Web Application Firewall

Bei der Enterprise Advanced Lizenz ist zusätzlich Intelligence Services Advanced (Threat Risk Levels und Geo Location) enthalten. Mehr Informationen findet man in diesem Dokument.

Diese Bündelung der bestehenden Lizenzen war der erste Schritt. Der nächste Schritt folgte diesen März mit der Lancierung der Web Protection Suite.

Häufig fragen On-Premises Proxy Kunden nach einer Lösung, wie man „sanft“ auf einen Cloud Proxy migrieren kann, d.h. man möchte nicht von heute auf morgen einen Cloud Proxy und auf die langjährige Konfiguration und Flexibilität verzichten, sondern beide Lösungen eine Zeitlang parallel betreiben und jeweils das Beste aus beiden Welten nutzen.

Hier ein paar Beispiele, findige Leser finden noch viele mehr, weshalb man weiterhin einen On-Premises Proxy benötigt:

• • Der Klassiker ist die Public IP-Adresse des Proxys. Gewisse externe Services werden anhand von der Public IP-Adresse authentisiert und deshalb ist es zwingend immer dieselbe Public IP-Adresse zu verwenden.
  • Man möchte weiterhin auch auf «interne» Intranet-Webserver in der DMZ zugreifen, ohne zusätzliche Latenz durch einen Cloud Proxy.
  • Ein einheitliches Log und Reporting für alle User/Benutzer, egal ob sie über den Cloud Proxy surfen oder über den On-Premises Proxy.

Hier liefert Symantec die Lösung mit der userbasierten WPS Lizenz. Alle Produkte die Symantec im On-Premises Proxy Bereich hat, werden mit der Symantec Cloud Proxy Lösung (WSS) gebündelt. D.h. man kauft nur noch eine Lizenz und kann alle Lösungen nutzen – sozusagen «all-inclusive».

Bei der Web Protection Suite Lizenz sind folgende Lösungen/Produkte enthalten:

• • ISG Enterprise Advanced Proxy Lizenz: Mittels einer «Fair Use Policy» wird eine berechnete Anzahl Enterprise Advanced Lizenzen zur Verfügung gestellt, die man für On-Premises (Appliances oder VMs) oder in der Public Cloud betreiben kann.
  • ISG CAS with File Inspection with Symantec AV and Advanced Machine Learning: Symantec Antivirus sowie Symantec Advanced Machine Learning sind für alle lizenzierten User inkludiert. Auch hier gilt eine Fair Use Policy.
  • Sandboxing: Vermeintlich bösartige Dateien können via Cloud Sandbox zusätzlich analysiert werden.
  • High Risk Browser Isolation: Unbekannte Webseiten oder solche, die einen hohen Threat Risk Level aufweisen (>=5), können vollständig in der Cloud isoliert dargestellt bzw. aufgerufen werden.
  • Centralized Management: Eine Management Instanz, welche alle WPS-lizenzierte Geräte verwalten kann.
  • On-Premise oder Hosted Reporter: Ein hosted in der Cloud oder ein On-Premises Repoter sammelt die Logs und wertet diese automatisch aus bzw. erstellt, wie der Name es andeutet, daraus Reports. Die Logs werden nach einer fixen Anzahl Tagen rotiert.
  • Web Application Firewall (WAF): Wenn eigene Mitarbeiter auf Server zugreifen, dann kann man diese mit WAFs schützen. Auch hier gilt die Fair Use Policy, bzw. man «teilt» sich die Anzahl CPU-Lizenzen mit den ISG Enterprise Advanced Proxy Lizenz.
  • Web Security Service – der Symantec Cloud Proxy: Die Nutzung des Symantec Web Security Services (WSS). Der Cloud Proxy kann von ein paar oder von allen User genutzt werden, egal ob im Home-Office oder im Büro.

Alle nachfolgenden Aussagen und Erfahrungen sind ohne Gewähr, da sich die Lizenzbestimmungen jederzeit ändern können. Aber trotzdem möchte ich ein paar Punkte anführen, die ich in meinen 17 Jahren Erfahrung mit Symantec gemacht habe:

• • Die kleinste WPS Lizenzgrösse ist 2000 User (in Spezialfällen auch ab 1000 User) und alle Mitarbeiter eines Unternehmens müssen lizenziert werden.
  • Werden zusätzliche User benötigt, so kann problemlos die Lizenz um diese Anzahl User erweitert werden.
  • Die enthaltenen Intelligence Services Advanced (BCIS) sowie die File Inspection Lizenzen (Symantec AV & Advanced Machine Learning) dürfen nur auf WPS lizenzierten Geräten eingesetzt werden. Für bereits vorhandene Appliances benötigt man somit weiterhin die userbasierten BCIS/File Inspection Lizenzen.
  • Für die CAS ist Symantec AV sowie Advanced Machine Learning inklusive, jedoch kann ein weiterer Virenscanner (Kaspersky, Sophos oder McAfee) dazu lizenziert werden. Hier muss das Sizing der CAS angepasst werden, da meist mehr Prozessorleistung benötigt wird.
  • In der WPS Lizenz ist nur ein Management Center vorhanden, welches nur die WPS Lizenzierten Geräte verwalten darf. Natürlich darf man sich zusätzliche Management Center z.B. fürs Labor hinzu lizenzieren.
  • Der Reporter ist auf eine relativ kurze Periode begrenzt. Benötigt man mehr Logfiles oder Reports über mehrere Quartale oder Jahre, dann muss ein zusätzlicher Reporter hinzu lizenziert werden.
  • Die WAF darf nur für den Schutz von Server (z.B. OWA) eingesetzt werden, auf die nur eigene Mitarbeiter zugreifen können.
  • Die Fair Use Policy berücksichtigt leider weder Redundanz noch Testumgebungen. D.h. meistens hat man zu wenige ISG Enterprise Lizenzen zur Verfügung. Ich vermute die Idee von WPS war oder ist es, Kunden eine rasche Migration in die Cloud (WSS) zu ermöglichen, jedoch bestehende oder „reduzierte“ On-Premises Proxy Umgebungen beizubehalten.

Die bisherige «Lösung» ist die zusätzliche Lizenzierung von WPS Usern, so dass man genügend ISG Enterprise Lizenzen zur Verfügung hat. Dies ist auch kommerziell interessant, da die WPS Lizenz aktuell preislich sehr attraktiv ist.

Mit der Symantec Web Protection Suite kann man nicht viel falsch machen. Man erhält für einen vernünftigen Preis eine On-Premises- sowie eine Cloud-Proxy-Lösung mit vielen zusätzlichen Features (Browser Isolation, Sandbox usw.), für die man bei anderen Herstellern meist zusätzlich zahlen muss.

Symantec Web Protection Suite Datasheet:
https://docs.broadcom.com/doc/SYM-WPS-PB100

Web Protection Suite Product Page:
https://www.broadcom.com/products/cyber-security/network/gateway/web-protection-suite

Radicati Corporate Web Security Market Quadrant 2021:
https://docs.broadcom.com/doc/radicati-corporate-web-security-market-quadrant-2021

AVANTEC Webinar zum Thema Web Proxy (Mai 2021):
www.avantec.ch/web-proxy-webinar-mai-2021-deutsch/

AVANTEC Webseite zu Symantec Web Proxy Lösungen:
www.avantec.ch/loesungen/symantec/symantec-web-gateway/#uebersicht