Mir wurde gesagt, dass Broadcom mit der Symantec Web Protection Suite das flexibelste Lizenzmodell im Web Security Bereich hat. Als alter Hase im Security-Bereich, bindet man mir nicht so leicht einen Bären auf, deswegen habe ich mir das selber mal angeschaut. Und ich muss sagen: gar nicht schlecht. Die Lösung von Broadcom eignet sich vor allem für Kunden, die weiterhin auf eine On-Premises Proxy Lösung angewiesen sind. Einen Wermutstropfen möchte ich allerdings schon mal vorwegnehmen: Wer Hardware Appliances haben möchte, der schaut sich lieber auch noch andere Lösungen an, da die Lieferfristen sehr lang sind und eher länger werden.
Lizenzierungsmodell
Eine Lizenz (WEB-PROTECT-SUB) genügt im Normalfall, um eine State-of-the-art Web Security Umgebung aufzubauen. Lizenziert wird nach Anzahl Mitarbeitern (Minimum=200) und so lange alles virtualisiert oder in der Cloud betrieben wird, entstehen keine Investitionskosten. Falls Appliances notwendig wären, dann würden Zusatzkosten für die Hardware sowie deren Wartung anfallen. An die Hardware zu kommen, ist aktuell aber gar nicht so einfach, da mit Lieferverzögerungen von bis zu mehreren Monaten gerechnet werden muss.
Halb so wild – ich würde sowieso auf die virtuelle Lösung setzen. Ich denke, dass es durchaus Sinn macht, dass sich alle Firmen «Cloud»-ready machen. Eigentlich kann sich fast niemand mehr der Cloud entziehen. Und auch beim hybriden Weg (d.h. ein Teil der Server/Applikationen laufen On-Premises im Datacenter und der Rest in diversen Public Cloud Umgebungen), braucht es Web Security und somit macht es durchaus Sinn, die Cloud-«Web Security Suite» Lösung (WSS) auch einzusetzen.
Corona hat die Dezentralisierung der Clients forciert und nun ist es durchaus üblich geworden, dass die Mitarbeiter vom Homeoffice aus arbeiten. Microsoft hat sich mit seiner M365 Lösung sehr gut positioniert. Dies führt aber dazu, dass sich die User immer direkt zu M365 verbinden möchten und eben nicht nur zu M365, sondern auch zu den anderen SaaS Diensten – sprich die User wollen immer direkt auf dem schnellsten Weg ins Internet. Mittels Cloud Web Proxy (WSS) ist dies auch möglich.
Der erste Schritt ist eine Vereinfachung der Lizenzierung und die Ermöglichung der gleichzeitigen Nutzung der On-Premises und Cloud Ressourcen. Dies ist für viele Unternehmen ein sehr wichtiger Punkt. Nicht die Lösung gibt die Geschwindigkeit vor, sondern das Unternehmen kann selber entscheiden, wie schnell es mit der Digitalen Transformation vorwärtsmachen will.
Umgang mit hochriskanten Webseiten
In einem früheren Blog Eintrag habe ich die einzelnen Lösungen vorgestellt: www.tec-bite.ch/unter-die-lupe-genommen-die-neue-symantec-web-protection-suite/. Ich möchte jedoch nochmals darauf hinweisen, dass das Konzept von Threat Risk Levels unglaublich nützlich ist, um mit neuen und unkategorisierten Webseiten umzugehen.
Selbst mit 85 URL Kategorien, wovon 14 grundsätzlich als riskant eingeschätzt werden, kann nicht das gesamte Internet abgebildet werden. Broadcom spricht stets vom Global Intelligence Network (GIN) und behauptet, dass dies das grösste zivile Threat Intelligence Netzwerk ist, da es sich um eine Zusammenführung von Endpoint-, Proxy-, E-Mail- und Cloud-Informationen handelt. Nein, man benötigt eine Echtzeit-Kategorisierung oder, eben noch besser, eine Risiko-Analyse in Echtzeit. Nur so kann entschieden werden, ob der User auf diese Webseite zugreifen darf und auch Daten runter- oder raufladen bzw. eingeben darf. Hier kommt Web-Isolation ins Spiel. Ohne lokal eine grosse Citrix Umgebung zu betreiben, kann über die Cloud Web-Isolation Umgebung gefahrlos auch auf potenziell riskante Webseiten (Risk Level ≥ 5) zugegriffen werden.
Möchte der User trotzdem eine Datei herunterladen, so kommt das Symantec Whitelisting, Symantec Machine Learning sowie der Symantec Anti-Virus Scanner und neu auch ClamAV zum Einsatz. Ist die Datei immer noch nicht klar gefahrlos, dann kann auch ein automatisches Sandboxing in der Cloud durchgeführt werden. All dies ist in der WPS Lizenz inklusive.
Ein auch sehr wichtiger Punkt ist das zentrale Management, sowie das Logging und Reporting für alle Proxy Instanzen. Egal, ob diese On-Premise oder in der Cloud laufen, eine Policy gilt für überall und die Logs werden zentral gesammelt.
Eine echte Neuheit: keine Limiten bei Leistung oder den Lizenzen
Bisher waren On-Premises Lösungen stets limitiert. Entweder war die Leistung der Appliance das Problem, oder die Lizenz, welche die Anzahl benutzbarer CPU Cores festgelegt hat. Broadcom geht nun einen neuen Weg und legt keine Limiten mehr fest. Weder die Anzahl von Appliances, virtuelle Appliances oder die genutzte Anzahl CPUs sind eingeschränkt. Jeder kann selber entscheiden, ob er eine VM mit 2 oder 200 CPU Cores betreiben will. Mit der WPS-Lizenz hat er die Berechtigung dazu. Somit sind zusätzliche Testumgebungen kein Problem mehr. Selbst gleichzeitige Nutzung der lokalen Proxies sowie der Cloud WSS Umgebung ist möglich.
Die WSS läuft übrigens auf der Google Cloud, welche sehr performant ist und stets ausgebaut wird. Ein interessantes Feature möchte ich hier vorstellen: Es können egress IP-Adressen von Ländern verwendet werden, die selber keine keine Compute Region haben. Beispielsweise kann man sich via Zürich verbinden und erhält eine pakistanische IP-Adresse und kann so auf Ressourcen in Pakistan zugreifen.
Hier gibt’s weitere Informationen dazu: knowledge.broadcom.com/external/article/167174/web-security-service-wss-ingress-and-egr.html
Warum hat Broadcom alle ihre Top-Lösungen in eine Lizenz zusammengeführt?
Viele bestehende Kunden stehen vor einem Ersatz ihrer in die Jahre gekommenen Web Proxy Infrastruktur und somit ermöglicht Broadcom eine langsame Transition in die Cloud. Die WPS Lizenz ist eigentlich nur der Anfang für das Broadcom/Symantec SASE Framework.
Die Secure Access Service Edge (SASE) Architektur ermöglicht es, eine Absicherung der User über Cloud Security Lösungen. Egal ob sich der User im Unternehmen befindet oder im Home Office, über die Cloud ist der Zugriff stets gesichert und jeweils auf dem neusten Stand. Mehr zu SASE findet man hier in einem früheren Blog Eintrag: www.tec-bite.ch/wohin-die-it-security-reise-geht-teil3-sase/
Auch Broadcom möchte seinen Kunden eine umfassende SASE Lösung bieten und WPS ist der erste Schritt dazu. Mit dem einfachen, userbasierten Preismodell können zukünftige Lösungen einfach hinzulizenziert werden. Verfügbar ist zum Beispiel schon die Bundle-Lizenz für Cloud DLP/CASB. Später wird es vermutlich auch eine ZTNA Bundle Lizenz geben.
Zusatzlizenzen zu WPS
Heute gibt’s nur wenige Erweiterungslizenzen zur WPS Lizenz, da schon das meiste inkludiert ist. Hier die wichtigsten Zusatzlizenzen aus meiner Sicht:
Zusatzlizenz / SKU |
Beschreibung |
CLD-CFSS-SUB | Standard Cloud Firewall Service |
CLD-CFSA-SUB | Advanced Cloud Firewall Service |
CLD-MAAS-SUB | Advanced Cloud Malware Analysis |
WI-SUB | Full Cloud Web Isolation |
CLD-RPT-SUB | Hosted Reporting |
SSP-S210-10 | S210 Hardware Platform |
SSP-S410-10 /-20/-30/-40 | S410 Hardware Platform |
MC-S400-20-100 | Management Center Hardware Appliance |
RP-S500-20 | Reporter Hardware Appliance |
Mein Fazit
Wer heute nicht vollständig in die Cloud kann oder will, der hat mit der Broadcom WPS eine sehr gute Alternative mit maximaler Flexibilität. Für einen sehr fairen Preis erhält man State-of-the-Art Security Lösungen im Web Security Bereich. Das Broadcom SASE Framework wird stetig ausgebaut und zukünftige Anforderungen können somit auch abgedeckt werden.
Weitere Informationen
Radicati sieht Broadcom als Top Player im Web Security Mark: https://symantec-enterprise-blogs.security.com/blogs/product-insights/symantec-named-top-player-radicati-groups-apt-protection-and-corporate-web-security
Broadcom/Symantec Web Protection Suite Blog:
symantec-enterprise-blogs.security.com/blogs/product-insights/symantec-web-protection-suite-single-gateway-web-and-cloud-applications
Broadcom/Symantec Web Protection Suite:
www.broadcom.com/products/cyber-security/network/web-protection
AVANTEC Web Protection Suite Lösungsseite:
www.avantec.ch/loesungen/symantec/symantec-web-gateway/
Lavar
Lavar ist Security-Spezialist und langjähriger Mitarbeiter bei AVANTEC. Am liebsten beschäftigt er sich mit Firewalls, E-Mail Gateways, Proxy-, Cloud-Lösungen und Linux. Lavar interessiert sich vor allem für technische Details.