Seite 2 - Next-Generation-Firewalling mit SD-WAN

Lesezeit
2 Minuten
Bis jetzt gelesen

Seite 2 - Next-Generation-Firewalling mit SD-WAN

13.04.2022 - 14:00
Veröffentlicht in:

Think global, act local
Ein wichtiges Argument bei der Entscheidung für Palo Alto Networks war die Möglichkeit zum effizienten und zentralisierten Management sämtlicher Firewallsysteme: Über die hybride Plattform Panorama lassen sich die Firewalls einfach bedienen und über eine einheitliche Konsole steuern, um weltweit einen effizienten Betrieb sicherzustellen und Fehlerquellen zu minimieren. Das virtuelle Managementwerkzeug steuert dabei neben den Regeln für Anwendungen, Benutzer und Policies auch die SD-WAN-Konnektivität der Standorte sowie die transparente Organisation von Sicherheitsrichtlinien nach Gerätegruppen, Hierarchien und Tags. Zudem unterstützt sie eine leistungsstarke Datenbank-Suchfunktion für mehr Transparenz. Für zusätzlichen Mehrwert sammelt und aggregiert Panorama zudem tagesaktuelle Informationen zum Datenverkehr und zu neuen Netzwerk-Threats.

SaarGummi konfigurierte die global verteilten Systeme nach dem Rollout zunächst remote von der deutschen IT-Zentrale in Wadern aus. Anschließend schulte Ulrich die weltweit verteilten IT-Administratoren und entwickelte gemeinsam mit ihnen für jedes Land spezifische, an den jeweiligen Anforderungen und Regelwerken ausgerichtete Templates. Diese wurden dann in das zentrale Management integriert. Auf diese Weise entstand eine homogene Gesamtarchitektur ohne Insellösungen – mit Panorama als virtueller Schaltzentrale in einem ebenso virtuellen, passgenau steuerbaren SD-WAN.

Mit dem Best Practice Analyzer gibt Palo Alto Networks dem Projektteam zudem ein leistungsfähiges Tool an die Hand, um sicherzustellen, dass die neuen Firewalls und SD-WAN-Features durchgehend gemäß der aktuellen Best Practices konfiguriert sind. Auf diese Weise lassen sich die Security-Investitionen voll ausschöpfen. Die Software stellt einen umfangreichen und fachlich tiefen Report bereit, der neben einer Gesamtbewertung auch viele Ansatzpunkte für weitere Optimierungen enthält.

Zusätzliche Merkmale für optimalen Schutz
Um das Sicherheitsniveau im weltweiten Enterprise-Netzwerk zusätzlich zu erhöhen, implementierte SaarGummi eine Reihe ergänzender, cloudbasierter Security-Services von Palo Alto Networks:

 

 

  • Threat Prevention: Intrusion & Detection System, das bekannte Exploits, Malware und Command&Control-Zugriffe anhand benutzerdefinierter Regeln stoppt. Das System basiert auf der Threat Intelligence von Unit 42 – dem Research-Team von Palo Alto Networks.
  • Wildfire: Schutz für kritische Daten durch automatische Erkennung und Verhinderung unbekannter Malware, cloudbasierte Analysen und Crowd-Source-Intelligence von über 80.000 Kunden.
  • Advanced URL-Filtering: Durchgängige Absicherung der Webzugriffe für mehr Produktivität – mit Echtzeit-Protection und Schutz vor Phishing-Attacken.
  • App-ID: Lückenlose Transparenz und Kontrolle über die Anwendungen im Netzwerk, mit Verhaltens- und Risiko-Analysen sowie granularer Kontrolle, bei der etwa nur erlaubte Office-365-Konten oder Slack für Instant Messaging zugelassen, Dateiübertragungen aber blockiert werden.

Um Endpunkte und Benutzer auch remote zu authentifizieren und ihnen den sicheren Zugriff auf das Firmennetzwerk zu gewähren, nutzt SaarGummi GlobalProtect, um Endpoints über einen dedizierten VPN-Tunnel an das globale Rechenzentrum oder direkt an die Firmenstandorte anzubinden. Per Pre-Logon wird dabei zunächst der Endpunkt authentifiziert und dann der VPN-Tunnel aufgebaut. Der Endpunkt bekommt nun Policy-gesteuert Zugriff auf genau die Ressourcen, die er benötigt, um sein System zu starten. Anschließend meldet sich der Benutzer per Token-loser Zweifaktor-Authentifizierung am Gateway an und der GlobalProtect Client weist dem User den Endpunkt-bezogenen Tunnel zu.

Als Automobilzulieferer ist SaarGummi zudem mit seinen Partnern über den ENX-Verbund vernetzt und muss durchgehend den strengen Vorgaben der Automobilhersteller gerecht werden. Mit der neuen NGFW- und SD-WAN-Architektur ließen sich die Weichen für die Einhaltung der TISAX-Bestimmungen von ENX stellen und ein Fundament für Zukunftsthemen wie Industrie 4.0, IoT-Security und Augmented Reality legen.

Fazit
"Bei der Modernisierung unserer Firewalls wollten wir keinen kurzfristigen Hardware-Refresh", erläutert Ulrich. "Mit den hybriden Produkten von Palo Alto Networks haben wir uns für eine flexible Plattform entschieden, die bedarfsgerecht mit uns wachsen wird. Und mit Controlware haben wir einen lokalen Dienstleister gefunden, der uns mit Hotline-Diensten, Care Services und Remote-Support dabei hilft, das Potenzial der Systeme zu erschließen." Das erste Folgeprojekt steht bereits in den Startlöchern: SaarGummi überlegt, mit Prisma Access von Palo Alto Networks die Sicherheit der Remote-Netzwerke und der mobilen Mitarbeiter zu verbessern. Das Secure-Access-Service-Edge-Werkzeug bietet viele Ansatzpunkte, um Sicherheit und Performance am Netzwerk-Edge zu verbessern.

 

 

 

 

Seite 1: NGFW-Architektur und SD-WAN
Seite 2: Zusätzliche Merkmale für optimalen Schutz

 

 

 

<< Vorherige Seite Seite 2 von 2  

 


ln/Joachim Schwierzeck, Senior Technical Consultant bei Controlware

 

 

 

 

Ähnliche Beiträge

IT-Tage 2023 – Konferenz für Entwicklung, Datenbanken, DevOps, Security und KI

„Alles unter einem Dach!“ ist das Motto der IT-Tage, der Jahreskonferenz des Fachmagazins Informatik Aktuell. Unter anderem werden Subkonferenzen zu den Themen Software-Entwicklung und -Architektur, Datenbanken, DevOps, Cloud & Serverless, IT-Security, Künstliche Intelligenz, Java, Python oder .NET angeboten.

Next-Generation-Firewalling mit SD-WAN

Die Luxemburger Unternehmensgruppe CQLT SaarGummi nahm 2021 die Modernisierung ihrer Firewallarchitektur in Angriff. Mit Unterstützung eines Systemintegrators und Managed Service Providers und eines führenden Anbieters von Produkten zur Cybersicherheit integrierte die Organisation an zwölf Standorten weltweit leistungsfähige Next-Generation-Firewalls. Der Anwenderbericht beschreibt, wie sich damit die bestehenden kostspieligen MPLS-Leitungen durch ein modernes SD-WAN ablösen ließen.