Vier Implementierungs-Optionen für Secure Web Gateways (SWG)

Liebäugeln Sie mit einem Secure Web Gateway (SWG), haben Sie vier verschiedene Optionen für eine Implementierung. Wir zeigen Vor- und Nachteile.

Sobald sich ein Unternehmen entschieden hat, dass ein SWG (Secure Web Gateway) die richtige Security-Technologie ist und welche SWG-Funktionen man tatsächlich einsetzen möchte, muss es noch eine wichtige Entscheidung vor einem Kauf treffen: Auf welche Weise werden wir das Tool implementieren? Die Antwort auf diese Frage wird für eine Organisation entscheidend sein, da sie sich direkt auf den Kauf des Gateways auswirkt.

Zum Glück gibt es diverse Implementierungs-Optionen für SWGs. Jede davon bringt je nach Anforderung des Kunden Vorteile mit sich. Wir sprechen hier von Geschwindigkeit, einfacher Handhabung und Flexibilität bei der Integration.

Sehen wir uns die hauptsächlichen Vor- und Nachteile von vier verschiedenen SWG-Implementierungs-Möglichkeiten an. Danach sprechen wir darüber, wie man eine finale Entscheidung fällt.

Implementierungs-Optionen für Secure Web Gateways

1. Appliance

Appliances sind die am häufigsten eingesetzte Methode für SWGs. Sie sind schnell, günstig und komplett in sich geschlossen. Stecken Sie eine Appliance in ein Rack, schalten Sie diese an und schon kann es losgehen. 

Appliances sind die am häufigsten eingesetzte Methode für SWGs. Sie sind schnell, günstig und komplett in sich geschlossen.

Sie vermeiden damit Hardware- und Software-Schwierigkeiten. Einige Appliances bringen sogar spezielle Hardware mit sich, um bestimmte und aufwendige Computing-Funktionen zu beschleunigen. Somit übertreffen Sie konkurrierende Implementierungs-Optionen in Sachen Leistung. 

Allerdings gibt es auch einen Nachteil. Altert eine SWG, dann genügt Sie irgendwann den Performance-Ansprüchen der Kunden nicht mehr. Man kann sie allerdings nicht upgraden, sondern muss die Appliance ersetzen. Skalierbarkeit bedeutet in diesem Fall, dass man mehr Appliances kaufen muss. Das gilt auch für Disaster Recovery und Failover

Heutzutage setzen Unternehmen immer mehr auf Umgebungen mit internen Cloud-Systemen und virtualisierten Servern. Das SWG-Hardware-Modell passt eigentlich nicht mehr so gut zu solchen Data-Center-Architekturen.

2. Software

Einige Hersteller bieten SWGs immer noch als Software an. Dieses Modell stellt Flexibilität und Skalierbarkeit zur Verfügung, die Hardware-Implementierungen nicht bieten können. Sie brauchen mehr Rechenleistung? Weisen Sie einfach mehr Ressourcen zu oder installieren zusätzliche. 

Software ist zeitaufwendiger in Bezug auf Installation und Konfiguration. Sprechen wir über Einsatz-Flexibilität, Integration und Ressourcen-Zuweisung, wie zum Beispiel Arbeitsspeicher, Prozessoren und Festplatten, gibt es allerdings Vorteile. Außerdem lassen sich Software-Lizenzen besser auf die Ansprüche des Kunden zuschneiden. Für die meisten Kunden wird diese Lösung dadurch dann kostengünstiger.

3. Virtuelle Appliance

Die am schnellsten wachsende Implementierungs-Option für eine SWG ist in derzeit die virtuelle Appliance. Es ist die logische Konsequenz, da Unternehmen die Kosten und den Administrations-Aufwand mithilfe virtualisierter Plattformen reduzieren möchten. Wir der Name schon erahnen lässt, handelt es sich bei einer virtuellen Appliance um ein Software-Abbild einer Hardware-Appliance. 

Die am schnellsten wachsende Implementierungs-Option für eine SWG ist in derzeit die virtuelle Appliance.

In vielen Bereichen bieten sie das Beste aus beiden Welten. Sie skalieren wie Software, sind aber wie Hardware vorkonfiguriert. Virtuelle Appliances integrieren sich in der Regel mit virtuellen Server-Implementierungen. Der Nachteil ist, dass virtuelle Appliances nicht von der dedizierten Hardware-Beschleunigung profitieren, wie das bei einigen Appliances der Fall ist. 

Die Performance zwischen einer virtuellen und einer realen Appliance kann sich signifikant unterscheiden. Hinzu kommt noch, dass virtuelle Appliances keine vorinstallierten Lösungen mehr sind. Der Kunde muss also die Ressourcen-Nutzung monitoren und in bestimmten Abständen an den relevanten Schrauben drehen, damit angemessene Performance garantiert werden kann.

4. Cloud-basierte oder hybride Implementierungen

Einige Anbieter stellen Cloud-basierte Services zur Verfügung, um damit die am Standort vorhandenen Technologien zu unterstützen. Wenn die interne Hardware mit Antispam oder Content-Analytik überlastet ist, kann man diese Arbeiten einfach an einen Cloud Service Provider auslagern. 

Somit entlastet man die im eigenen Haus stationierten Komponenten. Einige Firmen setzen außerdem auf Cloud Services von Drittanbietern, da sie ganz einfach die notwendigen Mitarbeiter für das Management der Produkte nicht haben. Cloud-basierte SWGs bieten elastische Web-Filtering-Funktionen auf Anfrage und man muss die bestehenden IT-Systeme nicht einmal modifizieren. 

Bei diesem Ansatz werden Netzwerk-Services durch den Cloud Service Provider geroutet, bevor die Daten im eigenen Haus landen. Kunden haben dabei die Wahl, welche spezifischen Funktionen aktiviert sein sollen. Möglicherweise bietet das derzeitige System kein URL-Filtering. Diesen Service können Sie dann einfach mieten.

Die richtige Entscheidung treffen: Implementierungs-Optionen

Sie sollten beachten, dass jede Implementierungs-Option verschiedene Preis-Modelle mit sich bringt. Hardware wird zum Beispiel basierend auf dem potenziellen Durchsatz der jeweiligen Appliance verkauft. Diese Kosten müssen Sie als Capex (Investition) einrechnen. 

Cloud Services werden in der Regel monatlich abgerechnet und es kommt darauf an, wie der Kunde diesen Service nutzt. Somit fällt das unter Opex (Betriebskosten). Diverse Modelle bieten Unternehmen Flexibilität in beiden Bereichen. Es kommt darauf an, wie man ein Produkt verwendet und wie man dafür bezahlt.

Alle Anbieter schicken sich derzeit an, potenziellen Käufern eine vergleichbare Palette an SWG-Funktionen zur Verfügung zu stellen. Es kommt aber darauf an, wie die Hersteller an das Thema herangegangen sind. Behalten Sie im Hinterkopf, dass nicht jeder Anbieter in jedem Bereich gut sein muss. 

Sie haben gewisse Kern-Kompetenzen und zusätzliche Funktionen. Letztere sind oftmals schnell zusammengeschustert oder hinzugekauft. Häufig fehlt es dann in diesem Bereich an Effizienz oder Effektivität. Möglicherweise hat ein Anbieter tiefgreifendes Fachwissen in Bezug auf Netzwerk-Layer. 

Somit bieten seine Load-Balancing- und Paket-Inspektions-Funktionen wahrscheinlich außerordentliche Performance. Bei Content Filtering und E-Mail-Security sieht es hingegen möglicherweise mau aus.

Investiert ein Unternehmen in eine SWG, muss die Entscheidung auf verschiedenen Faktoren basieren. Stellen Sie sicher, den Anbieter zu nehmen, der die für das Business notwendigsten Bereiche abdeckt. Sehen Sie sich aber auch an, ob der Anbieter Flexibilität und attraktive Preis-Modelle im Portfolio hat und somit Ihre Business-Bedürfnisse befriedigt.

Über den Autor:
Adrian Lane ist CTO der Analysten-Firma Securosis. Adrian ist auf Datenbank- und Datensicherheit sowie auf Softwareentwicklung spezialisiert. Er hat früher als leitender Angestellter bei Security- und Software-Unternehmen wie Ingres, Oracle, Unisys und IPLocks gearbeitet und tritt regelmäßig bei Branchen-Events auf. Adrian hat einen Abschluss von der University of California in Berkeley und danach an Betriebssystemen an der Stanford University gearbeitet. Sie können Adrian unter [email protected] erreichen.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Erfahren Sie mehr über Datensicherheit