Mit Software allein lässt sich das Netzwerk eines Unternehmens schon lange nicht mehr vor internen und externen Bedrohungen wirksam schützen, das dürfte mittlerweile jedem Security-Reseller klar geworden sein. Appliances sind aus den LANs der Kunden nicht mehr wegzudenken. Wir haben die führenden Netzwerk-Security-Hersteller nach den Trends für das Jahr 2011 gefragt.
Die massiven Veränderungen innerhalb der IT-Infrastruktur, etwa durch die Service-orientierte Architektur (SOA), bringe steigende geschäftliche Erfordernissen mit sich, meint Kai Hollensett. Da gehe es zum Beispiel um schärfere Vorgaben des Gesetzgebers (Stichwort: Compliance), aber auch um die schnellere Einführung von neuen Applikationen im Unternehmen. "Diese Anforderungen haben einen großen Einfluss auf die IT-Sicherheit. Da vermehrt auch private und fremde Endgeräte auf Unternehmensdaten und -anwendungen zugreifen und das Netzwerk als Schnittstelle zwischen Servern und Endgeräten dient, kommt dem Thema Netzwerk-Security eine immer größere Bedeutung zu", meint Juniper-Manager Kai Hollensett.
Und hier kommen nun die Netzwerk-Securtity-Appliances ins Spiel: "Dank der Konsolidierung von Switching-, Routing- und Sicherheitsfunktionen in einem Gerät können Unternehmen nun auf kostengünstige Weise ihren Mitarbeitern neue Anwendungen und Services bereitstellen - und das bei sicherer Konnektivität und erstklassigem Benutzerkomfort ", führt Hollensett weiter aus.
Appliances müssen anpassbar sein
Für Christine Schönig von Check Point ist es ausschlaggebend, mit der jeweiligen Appliance-Lösung ausreichend Flexibilität beim Kunden zu gewährleisten, um damit auf die variierenden Compliance-Anforderungen und Sicherheitsrichtlinien stets rasch reagieren zu können: "Das alles sollten Reseller ohne administrativen Aufwand bewerkstelligen", postuliert die Technikerin. Doch derzeit sieht es nicht danach aus:
"Security wird immer komplexer und ist in ihrer Vielfalt kaum noch zu bewältigen. Daher ist es sinnvoll, über alle Unternehmensgrößen hinweg auch in diesem Segment zu konsolidieren. Gerade in großen Unternehmen sind nicht selten Produkte von weit mehr als 30 verschiedenen Security-Herstellern im Einsatz. Verschiedene Benutzeroberflächen, mangelhafte Interoperabilität, unterschiedliche Vertragslaufzeiten und hohe Kosten für Trainings und Updates sind die Konsequenzen", fasst Fortinet-Manager Jörg von der Heydt die heutige Situation zusammen.
Die zur Vereinfachung der Security-Infrastruktur notwendigen UTM-Appliances (Unified Threat Management) bieten die meisten Netzwerk-Securtiy-Hersteller an. Und diese Geräte eignen sich beileibe nicht nur für Mittelständler. Es gibt bereits UTM-Applinaces mit einem Datendurchsatz 500 GB/s im Firewall-Betrieb am Markt. "Hierdurch ist der Einsatz von integrierter Security und von multifunktionalen Firewall-Systemen auch in Unternehmen mit Konzernstruktur denkbar", glaubt von der Heydt. "Kleinere und mittlere Unternehmen können auf dieselbe Technologie zurückgreifen." Die für sie bestimmten UTM-Appliances müssen lediglich an die Firmengröße angepasst sein. Für Michael Haas von WatchGuard macht es ohnehin keinen Unterschied, wie groß der vor Gefahren zu schützende Kunde ist: "Alle Unternehmen haben die gleichen Sicherheitsanforderungen, daher dürfen die Produkte nicht zwischen kleinen und großen Kunden unterscheiden."
"Da die Zahl der mobilen User zunimmt und immer mehr unterschiedliche Plattformen auf das Unternehmensnetzwerk zugreient, steigt auch der Bedarf an dedizierten SSL-VPN-Appliances", meint Sven Janssen von SonicWall. Seiner Meinung nach stehen dabei Themen wie Endpunktkontrolle, flexibler Portalzugriff oder der Zugriff über unterschiedliche Clients im Vordergrund. An den Beispielen iPhone und iPad macht Janssen deutlich, wie neue Produkte dazu führen können, dass das Thema, mobile Devices sicher in eine Infrastruktur einzubinden, an Bedeutung gewinnt.
So benötigt ein Kunde, der Smartphones einsetzt, auch neue Backup-Richtlinien und daher auch neue Datensicherungslösungen, die es wiederum in eine zentrale Sicherheitsstrategie einzubinden gilt. Aber auch klassische Firewall- und UTM-Appliances werden das Jahr 2011 dominieren, meint der Sonicwall-Manager. Die Einrichtung von sicheren WLANs und die Anbindung von mobilen Clients aller Art via IPSec oder SSL-VPN werden zu den vorherrschenden Aufgaben der IT-Security-Diensteister im kommenden Jahr gehören, so Janssen weiter.
Laut Haas ist Spam zwar weiterhin eine ärgerliche Erscheinung, aber es gibt seiner Ansicht nach zunehmend neue Sicherheitsaspekte, die eine weitaus wichtigere Rolle spielen: "Klassische oder verschlüsselte Websites sowie alle Arten von Web-2.0-Anwendungen sind heute die Gefahrenquelle Nummer eins. Hier müssen neuartige Security-Appliances weit mehr leisten als klassische Paketfilter oder Proxy-Firewall-Systeme. Es gilt, je nach Endkunde exakt zu definieren, welche Applikationen gewollt sind und welche Berechtigungen der einzelne Mitarbeiter hat", erklärt der WatchGuard-Manager.
Alles wichtige zum Datenschutz, neue Datensicherungskonzepte, das aktuellste zur IT-Security - das alles erfahren Sie an einem Tag auf dem Channel-Sales-Kongress "Security und Storage" am 17. Februar in München.
Bei KMUs ist UTM gesetzt
"Für kleine und mittlere Unternehmen (KMU) ist Unified Threat Management immer noch das Maß aller Dinge", glaubt Dennis Monner von gateProtect. Der Trend geht aber seiner Ansicht ganz klar zu Managed Security Services. Für entsprechend ausgestattete Dienstleister brechen goldene Zeiten an.
Christine Schönig von Check Point wiederum unterscheidet zwischen drei Arten von Security-Appliances. Da gibt es zum einen die dedizierten Hardwareplattformen für spezielle Security-Applikationen wie Intrusion-Prevention-Systeme (IPS) oder Vorrichtungen gegen Datenverlust (Data Loss Prevention, DLP). Diese dedizierten Spezial-Appliances stellen ihre Hardwareressourcen für eine einzige Applikation zur Verfügung und bieten daher eine höhere Performance, so die Definition der Technikerin.
Integrierte UTM-Appliances bieten demnach "Alles inklusive", sie verbinden unterschiedliche Security-Applikationen auf einer einzigen, leistungsfähigen Plattform. "Da die Applikationen innerhalb einer einheitlichen Security-Architektur konsolidiert sind, reduzieren sie die Total Cost of Ownership (TCO) und vereinfachen die Security-Konfiguration", stellt Schönig fest. Daher eignen sie sich insbesondere für preissensitive Kunden aus dem unteren Mittelstand.
Check Point führt noch sogenannte Hardware-Blades als Security-Appliances auf. Diese stellen laut diesem Hersteller eine Art Unterbau beziehungsweise ein Gehäuse zur Verfügung, auf dessen Basis verschiedene Hardware-Blades unabhängig voneinander unterschiedliche Security-Applikationen ausführen. Es sind eigenständige Server mit dedizierten Ressourcen, die ausfallsicher mit automatischem Ausgleich der Arbeitsauslastung installiert werden können. Aufgrund ihrer besseren Performance und damit verbundener höherer Anschaffungskosten sind sie vor allem für größere Unternehmen vorgesehen oder für Mittelständler mit starkem Datenverkehrsaufkommen und überdurchschnittlichen Sicherheitsanforderungen. Das könnten beispielsweise Finanzhäuser oder Online-Shop-Betreiber sein.
Aber wohin geht nun der Trend? Werden 2011 mehr UTM-Appliances, die "Eier legenden Wollmilchsäue" der Netzwerk-Security, nachgefragt, mit all ihren Vor- und Nachteilen? Oder werden die angesprochen spezialisierten Security-Geräte das Rennen machen? Auch das haben wir bei den Anbietern in Erfahrung gebracht.
"UTM wird nach wie vor den Markt dominieren, sich aber auch weiterentwickeln", so die Einschätzung von SonicWall-Manager Janssen. Seiner Meinung nach müssen Firewalls der nächsten Generation weitere Leistungen bieten. Über den UMT-Ansatz hinaus sollten die neuen Geräte auch die via IP vermittelten Anwendungen lückenlos kontrollieren können. Der gesamte Netzwerkverkehr samt aller aktiven Applikationen müsste demnach für den Systemadministrator stets sichtbar sein. "UTM-Anbieter, die dies nicht leisten können, werden ins Hintertreffen geraten. Dies trifft vor allem auf die Hersteller zu, die bis dato noch nicht einmal Unified Threat Management auf ihren Appliances umfassend abbilden können", analysiert Janssen.
Eine neue Generation von UTM-Appliances fordert auch Hollensett: "Die immer raffinierter ausgeführten Angriffe via Botnets oder Advanced Persistent Threats (APT) können nur durch einen koordinierten Ansatz einzelner Sicherheitsdienste eingedämmt werden", so der Juniper-Manager. Er warnt vor der zunehmenden Komplexität der IT-Infrastruktur, sollten einzelne Sicherheitsdienste auf unterschiedlichen Spezial-Appliances laufen, das zeit- und arbeitsintensive Management dieser Appliances würde schlussendlich die Sicherheit beim Kunden wieder einschränken. Deswegen setzt sich Hollensett für die Konsolidierung der Sicherheitsdienste auf einer dynamischen Sicherheitsplattform ein - mit einem extra dafür entwickelten Betriebssystem und einer universellen Konsole, von der sich alle Clients (Desktop-PCs, Laptops und Smartphones) kontrollieren lassen.
Alles wichtige zum Datenschutz, neue Datensicherungskonzepte, das aktuellste zur IT-Security - das alles erfahren Sie an einem Tag auf dem Channel-Sales-Kongress "Security und Storage" am 17. Februar in München.
Cloud-Dienste als Ergänzung
Für eine Ergänzung der Inhouse-Sicherheitssysteme durch Security-Dienste aus der Cloud setzt sich Kuttruff ein: "UTMs haben viel versprochen und wenig gehalten, und die bisherigen wirtschaftlichen Herausforderungen und Anforderungen an effiziente Lösungen haben gezeigt, dass spezialisierte Appliances für die meisten Unternehmen ungeeignet sind." Deshalb plädiert der Websense-Ingenieur dafür ein, die beim Kunden bestehenden Sicherheitslösungen zu konsolidieren und ihm multiple Dienste auf einer einzigen Plattform zur Verfügung zu stellen. Und diese Plattform wiederum könnte der Kunde mit Cloud-Services ergänzen - zur Steigerung der Effizienz und der Leistung sowie zur Abdeckung aller Gefahren.
"Im Gegensatz zu UTMs schmälern diese konsolidierten, Cloud-gestützten Systeme nicht die Sicherheit, und sie verringern nicht die Leistung im Netzwerk. Außerdem benötigen diese konsolidierten Sicherheitssysteme keine separate Box für jeden Dienst an jeder Lokation" - ein derartiges Szenario würde laut Kuttruff die IT-Security verkomplizieren, den dafür benötigten Managementaufwand extrem erhöhen und die Kosten in die Höhe treiben.
Große Stücke auf UTM-Appliances hält hingegen Michael Haas von WatchGuard Technologies: "Die Mehrheit der Anwender setzt heute ausschließlich UTM-Lösungen ein und schöpft das hohe Einsparpotenzial längst aus. Auch wenn es weiterhin spezielle Appliances geben wird, nimmt die Leistungsfähigkeit der UTM-Produkte stetig zu. Der Marktanteil in diesem Segment wird rasant wachsen." Ähnlich beurteilt Jörg von der Heydt den Security-Markt: "Die Integration verschiedener Security-Funktionen in einer einzigen Appliance ist ein unaufhaltsamer Trend. Insbesondere die Funktionalitäten, die bei allen Kunden gefordert sind, wie Firewall, VPN, Antivirus und IPS, sind inzwischen in nahezu allen Plattformen integriert. Einzellösungen werden voraussichtlich nur in Nischen erfolgreich sein können. Sie werden neue Technologien und Abwehrmechanismen enthalten."
Wichtiger ist jedoch für Fortinets Channel-Manager der Grad an Integration der einzelnen Security-Module in der UTM-Appliance. Hier genügt es seiner Meinung nach nicht, eine Reihe von Drittanbieterlösungen anzupassen: "Die Module müssen optimal aufeinander abgestimmt sein, ineinandergreifen und kollektiv agieren, um die Performance nicht zu beeinträchtigen", so von der Heydt. Zudem ist für ihn eine anwendungsspezifische Hardware (ASIC-Technologie) nötig, um die in der IT-Security zunehmend geforderten hohen Durchsatzraten zu erzielen.
Für eine Konsolidierung der einzelnen Security-Dienste spricht sich auch Christine Schönig von Check Point aus: "Der Kunde möchte nur die Produkte erwerben und nutzen, die er tatsächlich benötigt und die exakt seinem Anforderungsprofil entsprechen." So sollten auch UTM-Appliances so flexibel sein, dass zusätzliche Funktionen - etwa die Absicherung von VoIP-Leitungen - schnell hinzugefügt werden können, ohne dass neue Hardware erforderlich ist. Ebenso einfach sollte das "Abschalten" nicht mehr benötigter Security-Funktionen erfolgen.
Moderne UTM-Appliances umfassen laut Schönig einerseits bewährte Sicherheitstechnologien wie Firewall, Intrusion Prevention, Viren- und Spyware-Blocker, Spam- und Web-Filter sowie die Absicherung von webgestützten Applikationen. Andererseits kann der Reseller eine moderne UTM-Appliance quasi auf Knopfdruck mit zusätzlichen Funktionen ausstatten und das Gerät via Software an die Bedürfnisse seines Kunden anpassen. (rw)
Alles wichtige zum Datenschutz, neue Datensicherungskonzepte, das aktuellste zur IT-Security - das alles erfahren Sie an einem Tag auf dem Channel-Sales-Kongress "Security und Storage" am 17. Februar in München.