Adrian Grosu - stock.adobe.com

Die Vorteile und Nachteile der SASE-Plattform von Palo Alto

Die SASE-Plattform von Palo Alto bietet viel Sicherheit, aber wie sieht es mit den Networking-Funktionen aus? Erfahren Sie mehr über die Vor- und Nachteile von Prisma Access.

Beim Kauf einer SASE-Plattform (Secure Access Service Edge) ist der Vergleich von Funktionen der einfachste Teil des Beschaffungsprozesses. Eine gutgestaltete Vergleichstabelle und ein wenig Ehrlichkeit des Anbieters – oder Frust auf Seiten des Käufers – verschaffen einen Überblick über die Funktionen, die die verschiedenen SASE-Provider im Portfolio haben.

Die größere Herausforderung bei der Auswahl einer SASE-Plattform besteht darin, das Gesamtpaket dieser Funktionen zu verstehen. Wie wir seit Langem bei Cisco sehen, reicht das bloße Vorhandensein von Funktionen nicht für ein Technologieangebot im Enterprise-Bereich aus. Entscheidend ist, wie gut diese Funktionen kombiniert, integriert und bereitgestellt werden.

Genau das ist die Herausforderung bei Palo Alto Networks. Zweifellos wird Palo Alto Unternehmen ein umfassendes Sicherheitspaket bieten. Zudem steht außer Frage, dass Käufer auch ein solides SD-WAN-Angebot (Software-defined WAN) von Palo Alto erhalten können. Die Frage, die sich jedem stellt, der Palo Alto in Betracht zieht, ist die Zusammenstellung und Integration der zahlreichen Funktionen.

SD-WAN wurde für Palo Alto erst im Jahr 2020 mit der Übernahme von CloudGenix zu einer ernsthaften Option. Seitdem hat das Unternehmen mit The Crypsis Group und Expanse zwei weitere Firmen übernommen, um Incident-Response- und Angriffsflächenmanagement-Technologie ins Portfolio aufnehmen zu können und so zu einem SASE-Anbieter zu werden. Die Vielzahl der Produkte führt zu einer Komplexität, die dem SASE-Prinzip der Benutzerfreundlichkeit zuwiderläuft. Darüber hinaus bedeutet das Fehlen eines privaten Backbones, dass das Unternehmen für die Site-to-Site-Konnektivität auf das öffentliche Internet angewiesen ist. Dies mag für kleine oder sogar regionale Firmen kein Problem darstellen, sollte aber für jedes globale Unternehmen eine Warnung sein.

Prisma Access: Der SASE-Dienst von Palo Alto

Bevor wir uns näher mit der SASE-Plattform von Palo Alto befassen, sollten wir uns noch einmal verdeutlichen, was SASE ist. SASE wurde 2019 von Gartner eingeführt, vor allem als Reaktion auf die Kosten und Komplexität von Legacy-Unternehmensnetzwerken. SASE ist eine Architektur, die die Funktionen von Netzwerk- und Sicherheitsdiensten zu einem einheitlichen, globalen, Cloud-nativen Dienst zusammenführt. Dieser verbindet und sichert alles, was sich am Enterprise Edge befindet – Standorte, Remote-Benutzer, Public-Cloud-Anwendungen, Cloud Data Center und IoT-Geräte. Es ist diese Konvergenz von Networking, Sicherheit, Backbone und Cloud, die SASE so einzigartig macht.

Prisma Access, Palo Altos SASE-Service, nutzt SD-WAN-Appliances von CloudGenix, die kürzlich in Prisma SD-WAN umbenannt wurden, um Standorte und virtuelle Äquivalente für Cloud Data Center zu verbinden. Integrierte Next-Generation Firewalls (NGFW) von Palo Alto schützen Data Center, während Palo Altos Firewall as a Service (FWaaS) Außenstellen schützt. Zu den VPN-Optionen gehören IPsec, Secure Sockets Layer/IPsec und clientloses VPN, um Benutzer und Netzwerke zu verbinden. Die in Prisma Access integrierte ZTNA-Funktionalität (Zero Trust Network Access) kann auch Remote-Benutzern Zugang zu Data Centern oder Anwendungen bieten, die sie benötigen.

Das größte Problem von Palo Alto besteht darin, dass es sich nicht um einen echten Cloud-Service handelt.

Zusätzlich zu FWaaS umfasst die Sicherheitsschicht von Palo Alto Folgendes:

  • DNS-Sicherheit zum Schutz vor Bedrohungen im DNS-Traffic;
  • Threat Prevention zum Blockieren von Exploits, Malware sowie Command-and-Control Traffic;
  • Cloud Secure Web Gateway zum Blockieren schädlicher Websites;
  • Data Loss Prevention (DLP) zur Kategorisierung sensibler Daten und Anwendung von Richtlinien für die Zugriffskontrolle; und
  • Cloud Access Security Broker (CASB), der für Governance und Datenklassifizierung sorgt, um Bedrohungen zu stoppen.

Prisma Access erfordert ein Abonnement für Cortex Data Lake, um Netzwerkprotokolle zu speichern, die von den Sicherheitsprodukten erzeugt und verwendet werden.

Prisma Access unterstützt zwei Verwaltungsoptionen. Panorama, Palo Altos Netzwerksicherheitsmanagement, ist die erste Option. Sie bietet eine zentrale Verwaltung für die NGFWs und Prisma Access von Palo Alto. Die zweite Option verzichtet auf Panorama und nutzt eine Anwendung in Prisma Access mit weniger Funktionen.

Die SASE-Konfigurationen von Palo Alto können aufgrund der Bereitstellung von separaten Appliances für SD-WAN und Firewalls sehr komplex werden.
Abbildung 1: Die SASE-Konfigurationen von Palo Alto können aufgrund der Bereitstellung von separaten Appliances für SD-WAN und Firewalls sehr komplex werden.

Analyse von Prisma Access

Funktional gesehen überzeugt Palo Alto Networks mit Prisma Access in vielerlei Hinsicht. Die Sicherheitssuite ist breit gefächert und deren SD-WAN umfassend. Das größte Problem von Palo Alto besteht jedoch darin, dass es sich nicht um einen echten Cloud-Service handelt. Anstatt eine einzige, mehrmandantenfähige, Cloud-native Verarbeitungs-Engine zu nutzen, verarbeitet Palo Alto Pakete und Sicherheit in separaten Appliances: Virtuelle Firewall-Instanzen in der Cloud sorgen für die Durchsetzung der Sicherheit, während SD-WAN-Geräte sich um das Routing und die Verarbeitung des Traffics kümmern. Mit separaten Appliances, die den Traffic prüfen und verarbeiten, unterscheidet sich die SASE-Lösung von Palo Alto nur geringfügig von dem, was wir schon immer getan haben – Bereitstellung und Integration verschiedener Appliances. Dies bedeutet auch, dass die Latenz zunimmt, da die Netzwerkpakete jede Funktion nacheinander durchlaufen müssen.

Komplexe Konfigurationen lassen sich schwer verwalten

Um SD-WAN-Konnektivität zu erreichen, müssen Kunden ION-Appliances (Instant-On Network) von CloudGenix an Standorten und in der Cloud bereitstellen. Diese Appliances verfügen über eine grundlegende integrierte Firewall. Aber wenn das nicht ausreicht, müssen Kunden an diesen Edge-Standorten auch eine NGFW von Palo Alto einsetzen. Die beiden Arten von Firewalls erfordern unterschiedliche Managementoptionen: Prisma SD-WAN und Panorama. Wenn der Kunde Hochverfügbarkeit benötigt, müssen die Appliances an jedem Standort dupliziert werden. Die Komplexität steigt mit jeder Kundenanforderung. Diese Konfiguration ist nicht flexibel und zukunftssicher, da sie nicht in der Lage ist, sich zu ändern und mit den Kundenbedürfnissen zu wachsen.

Kein privater Backbone – Clouds von Fremdanbietern hosten PoPs

Palo Alto verfügt über keinen privaten Backbone, sondern setzt für seine Points of Presence (PoP) auf Cloud-Plattformen von Drittanbietern, nämlich AWS und Google Cloud Platform (GCP). Dies steht in direktem Widerspruch zu der Empfehlung von Gartner, dass SASE-Provider ihr Angebot nicht auf der Cloud von Dritten aufbauen sollten. Wenn die zugrunde liegende Cloud-Infrastruktur nicht dem Anbieter gehört, wird dessen Kontrolle über das Routing und die Möglichkeit der Expansion zur Anpassung an die geografischen Anforderungen der Nutzer eingeschränkt. Das bedeutet auch, dass Kunden nicht erwarten sollten, dass sie ein zuverlässiges, globales MPLS-Netzwerk durch Palo Alto ersetzen können.

In den Marketingunterlagen von Palo Alto heißt es, der Anbieter verfüge über mehr als 100 PoPs in über 75 Ländern. Doch das ist irreführend. Ein PoP ist für Palo Alto ein Punkt, an dem Kunden ihre Edge-Standorte mit dem SASE-Provider verbinden. Aber die Verarbeitung dieses Traffics erfolgt an einem separaten Cloud-Computing-Standort eines Drittanbieters. Der Unternehmens-Traffic muss zunächst per Backhaul zu diesem Standort zurücktransportiert werden, was zu zusätzlicher Latenz führt und die Performance beeinträchtigt. Derzeit gibt es bei GCP weltweit nur 24 Compute-Standorte, die als Regionen bezeichnet werden.

Eingeschränkte Optimierung

Palo Alto bietet nach eigenen Angaben eine Optimierung für SaaS-Anwendungen an, was jedoch nur eine Handvoll Anwendungen abdeckt, für die Peering in GCP verfügbar ist. Auch dies führt bei vielen in der Cloud gehosteten Anwendungen zu Latenz, was die UX beeinträchtigt.

Starke Sicherheit, aber komplexe Integration

Prisma Access, der SASE-Service von Palo Alto, sieht auf dem Papier gut aus. Die Lösung stammt von einem traditionell führenden Unternehmen im Bereich Sicherheit und enthält Komponenten mit zahlreichen Funktionen. Aber gerade weil diese Produkte als eigenständige Dienste entwickelt wurden, sollten Käufer sorgfältig prüfen, ob SASE von Palo Alto für sie geeignet ist.

Erfahren Sie mehr über Netzwerksicherheit