SD-WAN wird beim Security Vendor mit dem neuen pinken Logo endlich ein Thema. Bis anhin stellte sich Check Point auf den Standpunkt, dass SD-WAN separat von der Firewall betrieben werden soll. SD-WAN sollte mit den klassischen SD-WAN Herstellern wie Cisco, VMware, Versa, Aruba gemacht werden. Allerdings gibt es natürlich auch Konkurrenten, welche SD-WAN und Security seit Jahren erfolgreich anbieten und entsprechend Erfahrung mitbringen.

Verschlafen

Meiner Meinung nach hat Check Point das Thema verschlafen und deswegen auch das eine oder andere Projekt verloren. Ist es doch eben bestechend, nicht zwei Hersteller einkaufen zu müssen und SD-WAN auf der Firewall integriert betreiben zu können.

Early Availability

Es läuft zurzeit ein Early Availability (EA) Programm, welches bald zum Abschluss kommen sollte. Es wurde bis jetzt immer Mitte 2022 kommuniziert für den General Availability (GA) Release. Der GA Code soll in R81.10 per Jumbo Hotfix integriert werden.

Realitätsbezug

Wir hatten uns wiederholt für das EA Programm angemeldet, sind aber leider nicht zum Zug gekommen. Check Point wollte ihr Programm nur mit echten, produktiven Kundenumgebungen durchführen. Laborumgebungen waren offenbar zu wenig Realitätsbezug. Apropos – welcher vernünftige, auf störungsfreien Betrieb bedachte IT Leiter würde so einem EA Programm zustimmen? Ich meine, wer würde riskieren, mit nicht fertiger Software seinen Internet Zugang zu sabotieren beeinträchtigen? Ich weiss es nicht. Ich habe mich jedenfalls nicht mit gutem Gewissen getraut einen unserer Kunden anzufragen.

Reger Austausch

Immerhin ist Check Point um einen regen Austausch mit uns und anderen Partnern bemüht. Bereits im Oktober 2021 gab es ein Meeting, in dem wir ein Mock-up ihrer SD-WAN Lösung begutachten und Feedback zum Gezeigten geben konnten. Ende Juni gab es dann nochmals ein Meeting, wobei wir um unsere Meinung befragt wurden. Wir gaben gerne Auskunft, auch über unsere Erfahrung mit Fortinet, welche Check Point mit grossem Interesse zur Kenntnis nahm. Zwischendurch hatte man sich sogar mit dem PM in Spreitenbach und in Tel Aviv getroffen.

Features

Was ich soweit erfahren habe, ist natürlich ohne Gewähr. Features, welche in einem EA Programm gezeigt werden, können immer noch rausfallen und andere, welche nicht gezeigt wurden, können noch reinkommen. Hier die Features, welche im ersten GA Wurf enthalten sein sollten:

    • Multiple WAN link support – ist ja das Mindeste, ohne das gibt’s kein SD-WAN.
    • Application & Identity based routing
    • Multi Path Orchestration
    • Hub and Spoke Overley (+MEP)
    • Autonomous traffic steering
    • Bandwith aggregation
    • High Availability
    • SD-WAN Monitoring, Logging & Analytics
    • Full Threat Prevention Capabilities

Das Management des SD-WAN wird übers Infinity Portal gesteuert. Objekte und Logs können aber mit dem On-Premise SmartCenter ausgetauscht werden.

Roadmap

Auf der Roadmap sind folgende Themen:

    • Quantum Spark (SMB) Unterstützung
    • Self-healing WAN
    • Full Mesh Overlay
    • Harmony Connect (SASE)
    • QoS
    • Additional Platforms (VSX, Maestro)
    • Large scale management
    • Diverse Connectivity: WLAN, 4G/5G, DSL

Licensing

Zur Lizenzierung wird gemunkelt, dass es eine separate Lizenz geben könnte. Meiner Meinung nach sollte dies aber als Grundfunktion im FW Blade dabei sein oder mit NGFW gebundelt werden. Wird ja für SD-WAN meistens sowieso AppControl benötigt, um SD-WAN anhand von Applikationen steuern zu können.

Bestes AppControl

Check Points AppControl soll übrigens mehr Applikationen als jeder andere SD-WAN Hersteller unterstützen. Für SD-WAN werden aber wohl die üblichen Verdächtigen wie Teams, O365, Google Workspace, Webex, GotoMeeting, Salesforce und weitere SaaS Services ausreichen. Weitere Applikationen werden wohl eher für exotische Anwendungsfälle verwendet.

Pricing

Preise sind natürlich sowieso noch keine bekannt. Bleibt zu hoffen, dass sich Check Point die Entwicklung von SD-WAN nicht vergolden lassen möchte. Allerdings kann ich mich noch dran erinnern, dass, wenn man 3DES im VPN verwenden wollte, damals auch eine extra Lizenz fällig war.

Vielversprechend

Alles in allem scheint mir der Kurs, den Check Point eingeschlagen hat, vielversprechend. Check Point hat nun als Laggard die Chance, von der Konkurrenz zu lernen. Es wird wohl noch ein oder zwei Jahre dauern, bis das Produkt die Maturität erreicht, um es produktiv einzusetzen. Check Point hat viel aufzuholen, allerdings traue ich das Check Point durchaus zu.