Wie flexibel ist die Broadcom Web Protection Suite wirklich?

Mir wurde gesagt, dass Broadcom mit der Symantec Web Protection Suite das flexibelste Lizenzmodell im Web Security Bereich hat. Als alter Hase im Security-Bereich, bindet man mir nicht so leicht einen Bären auf, deswegen habe ich mir das selber mal angeschaut. Und ich muss sagen: gar nicht schlecht. Die Lösung von Broadcom eignet sich vor allem für Kunden, die weiterhin auf eine On-Premises Proxy Lösung angewiesen sind. Einen Wermutstropfen möchte ich allerdings schon mal vorwegnehmen: Wer Hardware Appliances haben möchte, der schaut sich lieber auch noch andere Lösungen an, da die Lieferfristen sehr lang sind und eher länger werden.


Lizenzierungsmodell

Eine Lizenz (WEB-PROTECT-SUB) genügt im Normalfall, um eine State-of-the-art Web Security Umgebung aufzubauen. Lizenziert wird nach Anzahl Mitarbeitern (Minimum=200) und so lange alles virtualisiert oder in der Cloud betrieben wird, entstehen keine Investitionskosten. Falls Appliances notwendig wären, dann würden Zusatzkosten für die Hardware sowie deren Wartung anfallen. An die Hardware zu kommen, ist aktuell aber gar nicht so einfach, da mit Lieferverzögerungen von bis zu mehreren Monaten gerechnet werden muss.

Halb so wild – ich würde sowieso auf die virtuelle Lösung setzen. Ich denke, dass es durchaus Sinn macht, dass sich alle Firmen «Cloud»-ready machen. Eigentlich kann sich fast niemand mehr der Cloud entziehen. Und auch beim hybriden Weg (d.h. ein Teil der Server/Applikationen laufen On-Premises im Datacenter und der Rest in diversen Public Cloud Umgebungen), braucht es Web Security und somit macht es durchaus Sinn, die Cloud-«Web Security Suite» Lösung (WSS) auch einzusetzen.

Corona hat die Dezentralisierung der Clients forciert und nun ist es durchaus üblich geworden, dass die Mitarbeiter vom Homeoffice aus arbeiten. Microsoft hat sich mit seiner M365 Lösung sehr gut positioniert. Dies führt aber dazu, dass sich die User immer direkt zu M365 verbinden möchten und eben nicht nur zu M365, sondern auch zu den anderen SaaS Diensten – sprich die User wollen immer direkt auf dem schnellsten Weg ins Internet. Mittels Cloud Web Proxy (WSS) ist dies auch möglich.

Der erste Schritt ist eine Vereinfachung der Lizenzierung und die Ermöglichung der gleichzeitigen Nutzung der On-Premises und Cloud Ressourcen. Dies ist für viele Unternehmen ein sehr wichtiger Punkt. Nicht die Lösung gibt die Geschwindigkeit vor, sondern das Unternehmen kann selber entscheiden, wie schnell es mit der Digitalen Transformation vorwärtsmachen will.


Umgang mit hochriskanten Webseiten

In einem früheren Blog Eintrag habe ich die einzelnen Lösungen vorgestellt: www.tec-bite.ch/unter-die-lupe-genommen-die-neue-symantec-web-protection-suite/. Ich möchte jedoch nochmals darauf hinweisen, dass das Konzept von Threat Risk Levels unglaublich nützlich ist, um mit neuen und unkategorisierten Webseiten umzugehen.

Need for threat risk levels in secure web gateways

Quelle: Broadcom, https://docs.broadcom.com/doc/need-for-threat-risk-levels-in-secure-web-gateways-en, abgerufen am 30.03.2022

Selbst mit 85 URL Kategorien, wovon 14 grundsätzlich als riskant eingeschätzt werden, kann nicht das gesamte Internet abgebildet werden. Broadcom spricht stets vom Global Intelligence Network (GIN) und behauptet, dass dies das grösste zivile Threat Intelligence Netzwerk ist, da es sich um eine Zusammenführung von Endpoint-, Proxy-, E-Mail- und Cloud-Informationen handelt. Nein, man benötigt eine Echtzeit-Kategorisierung oder, eben noch besser, eine Risiko-Analyse in Echtzeit. Nur so kann entschieden werden, ob der User auf diese Webseite zugreifen darf und auch Daten runter- oder raufladen bzw. eingeben darf. Hier kommt Web-Isolation ins Spiel. Ohne lokal eine grosse Citrix Umgebung zu betreiben, kann über die Cloud Web-Isolation Umgebung gefahrlos auch auf potenziell riskante Webseiten (Risk Level ≥ 5) zugegriffen werden.

Möchte der User trotzdem eine Datei herunterladen, so kommt das Symantec Whitelisting, Symantec Machine Learning sowie der Symantec Anti-Virus Scanner und neu auch ClamAV zum Einsatz. Ist die Datei immer noch nicht klar gefahrlos, dann kann auch ein automatisches Sandboxing in der Cloud durchgeführt werden. All dies ist in der WPS Lizenz inklusive.

Ein auch sehr wichtiger Punkt ist das zentrale Management, sowie das Logging und Reporting für alle Proxy Instanzen. Egal, ob diese On-Premise oder in der Cloud laufen, eine Policy gilt für überall und die Logs werden zentral gesammelt.


Eine echte Neuheit: keine Limiten bei Leistung oder den Lizenzen

Bisher waren On-Premises Lösungen stets limitiert. Entweder war die Leistung der Appliance das Problem, oder die Lizenz, welche die Anzahl benutzbarer CPU Cores festgelegt hat. Broadcom geht nun einen neuen Weg und legt keine Limiten mehr fest. Weder die Anzahl von Appliances, virtuelle Appliances oder die genutzte Anzahl CPUs sind eingeschränkt. Jeder kann selber entscheiden, ob er eine VM mit 2 oder 200 CPU Cores betreiben will. Mit der WPS-Lizenz hat er die Berechtigung dazu.  Somit sind zusätzliche Testumgebungen kein Problem mehr. Selbst gleichzeitige Nutzung der lokalen Proxies sowie der Cloud WSS Umgebung ist möglich.

Die WSS läuft übrigens auf der Google Cloud, welche sehr performant ist und stets ausgebaut wird. Ein interessantes Feature möchte ich hier vorstellen: Es können egress IP-Adressen von Ländern verwendet werden, die selber keine keine Compute Region haben. Beispielsweise kann man sich via Zürich verbinden und erhält eine pakistanische IP-Adresse und kann so auf Ressourcen in Pakistan zugreifen.

Hier gibt’s weitere Informationen dazu: knowledge.broadcom.com/external/article/167174/web-security-service-wss-ingress-and-egr.html


Warum hat Broadcom alle ihre Top-Lösungen in eine Lizenz zusammengeführt?

Viele bestehende Kunden stehen vor einem Ersatz ihrer in die Jahre gekommenen Web Proxy Infrastruktur und somit ermöglicht Broadcom eine langsame Transition in die Cloud. Die WPS Lizenz ist eigentlich nur der Anfang für das Broadcom/Symantec SASE Framework.

Symantec SASE Framework

Quelle: Broadcom, https://docs.broadcom.com/docs/symantec-sase-framework-infographic , abgerufen am 30.03.2022

Die Secure Access Service Edge (SASE) Architektur ermöglicht es, eine Absicherung der User über Cloud Security Lösungen. Egal ob sich der User im Unternehmen befindet oder im Home Office, über die Cloud ist der Zugriff stets gesichert und jeweils auf dem neusten Stand. Mehr zu SASE findet man hier in einem früheren Blog Eintrag: www.tec-bite.ch/wohin-die-it-security-reise-geht-teil3-sase/

Auch Broadcom möchte seinen Kunden eine umfassende SASE Lösung bieten und WPS ist der erste Schritt dazu. Mit dem einfachen, userbasierten Preismodell können zukünftige Lösungen einfach hinzulizenziert werden. Verfügbar ist zum Beispiel schon die Bundle-Lizenz für Cloud DLP/CASB. Später wird es vermutlich auch eine ZTNA Bundle Lizenz geben.


Zusatzlizenzen zu WPS

Heute gibt’s nur wenige Erweiterungslizenzen zur WPS Lizenz, da schon das meiste inkludiert ist. Hier die wichtigsten Zusatzlizenzen aus meiner Sicht:

Zusatzlizenz / SKU

Beschreibung

CLD-CFSS-SUB Standard Cloud Firewall Service
CLD-CFSA-SUB Advanced Cloud Firewall Service
CLD-MAAS-SUB Advanced Cloud Malware Analysis
WI-SUB Full Cloud Web Isolation
CLD-RPT-SUB Hosted Reporting
SSP-S210-10 S210 Hardware Platform
SSP-S410-10 /-20/-30/-40 S410 Hardware Platform
MC-S400-20-100 Management Center Hardware Appliance
RP-S500-20 Reporter Hardware Appliance

Mein Fazit

Wer heute nicht vollständig in die Cloud kann oder will, der hat mit der Broadcom WPS eine sehr gute Alternative mit maximaler Flexibilität. Für einen sehr fairen Preis erhält man State-of-the-Art Security Lösungen im Web Security Bereich. Das Broadcom SASE Framework wird stetig ausgebaut und zukünftige Anforderungen können somit auch abgedeckt werden.


Der Beitrag Wie flexibel ist die Broadcom Web Protection Suite wirklich? erschien zuerst auf Tec-Bite.