1
Sascha-Michael OdenthalBusiness Development MgrInfinigate Deutschland [email protected]
Sophos SG vs. XG
– Welche Lösung ist die Richtige für Ihr Unternehmen ?
3
Kosten Zeitaufwand
Heutige Netzwerksicherheitslösungen
3
Umfassender Schutz wird immer aufwändiger
Router
Firewall
IPS
SSL VPN Gateway
E-Mail-/Spam-Filter
GW Antivirus-Filter
Web-Filter
WAN Link Balancer
Load Balancer
Gesamt:
4
All-in-one UTM/SG Sicherheitsfeatures
4
Optimaler Schutz für die Netzwerke kleiner und mittlerer Unternehmen
• Wireless controller
• Multi-zone (SSID) support
• Captive Portal
UTM Wireless
Protection
• URL filter
• Antivirus & antispyware
• Application control
UTM Web
Protection
• Reverse proxy
• Web application firewall
• Antivirus
UTM Webserver
Protection
• Intrusion prevention
• IPSec/SSL VPN & RED
• HTML5 VPN Portal
UTM Network
Protection
• Anti-spam & -phishing
• Dual virus protection
• Email encryption
UTM Email
Protection
optional
• Stateful firewall
• Network address translation
• PPTP/L2TP remote access
Essential Network
Firewall
• Antivirus
• HIPS
• Device Control
UTM Endpoint
Protection Antivirus
optional
8
Generationen der IT-Sicherheit
Insellösungen
Antivirus
IPS
Firewall
Sandbox
Mehrschichtige Lösungen
Bundles
Suites
UTM
EMM
Synchronized Security
Security Heartbeat™
9
Immer mehr und immer raffiniertere Angriffe
Größere Angriffsfläche
Laptops/DesktopsMobiltelefone/Tablets
Virtuelle Server/DesktopsCloud-Server/-Speicher
Raffiniertere Bedrohungen
Angriffe sind koordinierter als
Abwehrmaßnahmen
10
Traditional anti virus
Traditional firewall
Zerocommunicatio
nEmail gateway
Web gateway
Mobile ProtectionWireless Networks
Web Application Firewall Encryption
11
Traditional anti virus
Traditional firewall
Email gateway
Web gateway
Mobile ProtectionWireless Networks
Web Application Firewall Encryption
Synchronized
Security
12
Integration auf einer neuen Ebene
Synchronized Security Alternative
• Datenaustausch auf Systemebene• Automatische Korrelation• Schnellerer Entscheidungsprozess• Schnellere Erkennung von
Bedrohungen• Automatische Reaktion auf
Vorfälle• Einfache zentrale Verwaltung
• Ressourcenintensiv• Manuelle Korrelation• Abhängig von menschlichen Analysen• Manuelle Reaktion auf
Bedrohungen/Vorfälle• Zusätzliche Produkte• Endpoint/Netzwerk agieren
unabhängig voneinander
Verwaltung
Enduser Netzwerk
SIEM
Endpoint-Verwaltg.
Netzwerk-Verwaltg.
Endpoint Netzwerk
13
Synchronized Security
Sicherheit muss umfassend seinAlle Funktionen, die Kunden benötigen
Sicherheit kann einfach seinBereitstellung, Lizenzierung, Bedienung & Verwaltung
Sicherheit ist effektiver als SystemNeue Möglichkeiten durch Technologie-Kooperation
Synchronized Security Integrierte, kontext-sensitive Sicherheit, die mittels Austausch wichtiger Informationen zwischen Enduser- und Netzwerktechnologien besseren Schutz liefert SOPHOSLABS
Sophos Cloud
Next-Gen Network Security
Next-Gen Enduser Security
Heartbeat
15
3 Säulen der Advanced Threat Protection
Identifizierung auf Gerätebasis spart Zeit, da infizierte oder
gefährdete Geräte/Hosts nicht mehr manuell und
ausschließlich anhand der IP-Adresse identifiziert werden
müssen.
Kompromittierte Endpoints werden von der Firewall
automatisch isoliert und der Endpoint beendet und entfernt
die Schadsoftware.
Durch die Kombination von Endpoint- und
Netzwerksicherheit können unbekannte Bedrohungen
schneller identifiziert werden. Sophos Security Heartbeat™
überträgt Echtzeit-Informationen zu verdächtigen
Verhaltensweisen.
Security Heartbeat™
Schnellere Erkennung von Bedrohungen
AktiveIdentifizierungdes Ursprungs
Automatische Reaktion auf
Vorfälle
Schnellere, bessere Entscheidungen
Schnellere, einfachere Analyse
Weniger Beeinträchtigungen durch Bedrohungen
16
Automatische Reaktion auf Vorfälle
GrünEndpoints haben vollständigen Zugriff auf interne Anwendungen und Daten sowie auf das Internet.
GelbBetroffene Endpoints können von internen/sensiblen Anwendungen und Daten isoliert werden, haben jedoch nach wie vor Zugriff auf das Internet.
RotBetroffene Endpoints werden vom Netzwerk isoliert und haben keinen Zugriff auf interne Systeme oder das externeInternet.
SOPHOSLABS
Sophos Cloud
Next-Gen Network Security
Next-Gen Enduser Security
Heartbeat
Standardeinstellungen und individuelle GestaltungsmöglichkeitenEs gibt keine auf dem Sicherheitsstatus basierendenStandardrichtlinien. So können Administratoren Reaktionenindividuell nach Bedarf gestalten. In Kürze wird auch ein Best Practices Guide verfügbar sein, der Ihnen Hilfestellung beim Einrichten bewährter Richtlinien gibt.
18
SOPHOS SYSTEMPROTECTOR
Sophos Cloud
Noch bessere Bedrohungserkennung
Heartbeat
SOPHOS FIREWALLBETRIEBSSYSTEM
ApplicationTracking
Threat Engine
Application Control
Reputation
EmulatorHIPS/
Laufzeit-schutz
DeviceControl
MaliciousTraffic
Detection
Web Protection
IoCCollector
Live Protection
SecurityHeartbeat™
Web-Filterung
IntrusionPrevention
SystemRouting
Email Security
SecurityHeartbeat™
SelektiveSandbox
ApplicationControl
Data LossPrevention
ATP-Erkennung
Proxy
ThreatEngine
Lokalen Netzwerkzugriff sperrenDateischlüssel entfernenMalware beenden/entfernenAndere infizierte Systeme identifizieren und bereinigen
Benutzer | System | Datei
Kompromittierung
Firewall
19
SOPHOS SYSTEMPROTECTOR
Sophos Cloud
Automatischer Schutz für Endpoints
Heartbeat
SOPHOS FIREWALLBETRIEBSSYSTEM
ApplicationTracking
Threat Engine
Application Control
Reputation
EmulatorHIPS/
Laufzeit-schutz
DeviceControl
MaliciousTraffic
Detection
Web Protection
IoCCollector
Live Protection
SecurityHeartbeat™
Web-Filterung
IntrusionPrevention
SystemRouting
E-Mail-Sicherheit
SecurityHeartbeat™
SelektiveSandbox
ApplicationControl
Data LossPrevention
ATP-Erkennung
Proxy
ThreatEngine
Nicht verwaltete Endpoints ermittelnVerwaltung möglich?Set-up des Self-Service-PortalsBenutzerauthentifizierungSicherheitsprofil-Verteilung
Win | Mac | Mobile
Endpoint
Firewall
20
SOPHOS SYSTEMPROTECTOR
Sophos Cloud
Erkennen und Beseitigen von Kompromittierungen
Heartbeat
SOPHOS FIREWALLBETRIEBSSYSTEM
ApplicationTracking
Threat Engine
Application Control
Reputation
Emulator
HIPS/Laufzeit-
schutz
DeviceControl
MaliciousTraffic
Detection
Web Protection
IoCCollector
Live Protection
SecurityHeartbeat™
Web-Filterung
IntrusionPrevention
SystemRouting
Email Security
SecurityHeartbeat™
SelektiveSandbox
ApplicationControl
Data LossPrevention
ATP-Erkennung
Proxy
ThreatEngine
Kompromittierung identifizierenUrsprung erkennenAuswirkungen bewertenMalware blockieren/entfernenAndere infizierte Systeme identifizieren und bereinigen
Benutzer | System | Datei
Kompromittierung
Firewall
21
NEXT-GENENDUSER SECURITY
NEXT-GENNETWORK SECURITY
SOPHOS UTM
• NETWORK-PROTECTION-MODUL
SOPHOS CLOUD ENDPOINT
• CLOUD ENDUSER PROTECTION
• CLOUD ENDPOINT ADVANCED
Endpoint und Netzwerk arbeiten zusammen
• FULLGUARD-LIZENZ
• TOTALPROTECT BUNDLE
NEXT-GEN FIREWALL
• NETWORK-PROTECTION-MODUL
• NEXT-GENGUARD-LIZENZ
• NEXT-GENPROTECT BUNDLE
22
Marco Wolf Leiter PSO Business Development Mgr
XG Firewall vs SG Firewall (UTM)
Update durch Sascha Odenthal
37
Product Bundles – mit und ohne HW
Sophos UTM
Network Protection
Web Protection
Email Protection
Web Server Protection
Wireless Protection
Support
Hardware Appliance
FullG
uar
d
Tota
lPro
tect
XG Firewall
Network Protection
Web Protection
Email Protection
Web Server Protection
Tota
lPro
tect
EnhancedSupport
HW/SW/virtual Appliance(incl. Base License)
FullG
uar
d
Network Protection
Web Protection
EnhancedSupport
HW/SW/virtual Appliance(incl. Base LicenseEn
terp
rise
Pro
tect
Ente
rpri
seG
uar
d
neues BundleWas ist neu?• EnterpriseGuard / Enterprise Protect• Heartbeat in Network Protection• keine wireless subscription• ohne Enhanced Support gibt es nur
90 Tage Support + 1 Jahr RMA
40
XG Supportstufen
weitere Details zu Enhanced und EnhancedPlus unter:https://www.sophos.com/en-us/medialibrary/PDFs/Support/Sophos-XG-Firewall-Support-Plans.pdf?la=en
42
Was ist in beiden Varianten gleich?
• Anbindung der REDs
• Wireless + Hotspot
• Advanced Threat Protection
• VPN (außer IPsec Client Config)
• Avira + Sophos AV Engine
• SMTP: Cyren Antispam + IP Reputationsfilter, Quarantäne
• gleiche Config + mehr Features in XG:
○ Web Application Firewall nun mit Templates (z.B. Profil für Exchange Veröffentlichung)
○ HTML5 Portal mit neuen Möglichkeiten: FTP, SFTP, FTPS, SMB
○ detailliertere Authentisierungsserver (AD, LDAP etc.)
43
Was kann die SG, was die XG nicht kann? (1)
• HA Verbund von UTMs mit dynamischen Interfaces (DHCP, PPPoE) -> geht somit nicht bei direkter (V)DSL-Einwahl
• mehr als 2 Knoten im HA Active/Active Verbund
• UTM zu UTM Verbindung über RED Tunnel
• Endpoint Management
• Config für Sophos IPsec Client erzeugen
• SMC Anbindung
• OTP Funktionalität direkt auf der UTM
• Web Proxy Features: mehrere Parent Proxys, Quota auf Categorie Ebene
44
Was kann die SG, was die XG nicht kann? (2)
• Mail kann mit eigenem MTA in Queue gestellt werden
• SMTP Antispam Features: BATV, RDNS / HELO Check, SPF, Greylisting
• Email Encryption S/MIME + OpenPGP
• SPX Reply Portal
• SPX Template - Passwort vom Empfänger festlegen und solangeEmail in der Queue halten
• POP3 Prefetch Mode (+ Quarantäne Report)
• POP3 Emails in Quarantäne halten
• Logfiles und Reportingdaten über längeren Zeitraum auf der Maschine halten
45
Kompatibilität zwischen SG und XG
• IPsec Tunnel: ja
• SSL-VPN Tunnel: nein
• RED-Tunnel: nein
• Config für Sophos IPsec Client erzeugen: nur SG
• Verwalten der bestehenden REDs: beide
• Verwalten der bestehenden APs: beide
• Verwalten der bestehenden Endpoints: nur SG
• Anbindung an Sophos UTM Manager (SUM): nur SG
• Anbindung an Sophos Firewall Manager (SFM): nur XG
• Anbindung an Sophos Mobile Control (SMC): nur SG
• Anbindung an Sophos iView: ab V2 beide
• Config-Import SG in XG Firewall: wird kommen
• Config-Import XG in SG Firewall: wird nicht kommen
46
Features in XG, welche auch für SG 9.4 gekommen sind
• Sophos Transparent Authentication Suite
○ Single-Sign-On (SSO) an Firewall, ohne das der User hierfür etwas gesondert eingeben muss (einmal an Windows Client anmelden reicht)
○ Vorgehen:‒ Client meldet sich an Windows an
‒ ein Agent holt sich die Anmeldeinfo (welcher User an welchem Client) und teilt dies der Firewall mit
‒ somit kann eine Policy (Wer darf wohin?; Applikationen; normale Paketfilterregeln etc.) direkt auf den User erstellt werden
47
alleinige Features der XG im Vergleich zur SG
• granulares Reporting, welche Applikationen über die Firewall kommunizieren
• userbasierte Firewall Regeln• IPS, QoS, Appcontrol und Webfilter direkt in einer Policy (Unified policy
model)• Zonen basiertes Model (z.B. WAN, DMZ, LAN Zone)• einfaches Firmware Downgrade (bei SG beinhaltet dies komplette
Neuinstallation)• TAP mode deployment – XG wird transparent in den Traffic gehangen um
Infos zu sammeln und über das Reporting darzustellen• IMAP Proxy• Configuration API – XG ist über eine Schnittstelle skriptbar• Security Heartbeat mit Endpoint Client• WAF Policy Templates (z.B. Exchange Veröffentlichung)• Pharming protection (prüft ob die DNS Antworten von einem Server mit
denen eines in der Firewall hinterlegten DNS Servers übereinstimmen)
48
Vorteile für Kunden• Modernster Schutz
○ Gegen bekannte und unbekannte Bedrohungen
○ Leistungsstarke APT-Lösung
○ Sicherheit mit Zukunftspotenzial
• Gesenkte Kosten
○ Automatische Reaktion auf Vorfälle
○ Abwehr, Erkennung, Nachforschung, Bereinigung, Verschlüsselung
○ Wechsel von einer Wettbewerbslösung zum Preis der bisherigen Wartung
• Einfache Bedienung
○ Automatische Richtlinien
○ Echtzeit-Reports
• Schnell und kompakt
○ Keine zusätzlichen Agenten – der bestehende Endpoint-Agent übernimmt alleAufgaben
49
FAQ
• Wird SG weiter entwickelt?
○ Ja, SG und XG laufen parallel! Es gibt keine Abkündigungshinweise!
• Warum sind die Durchsatzzahlen auf einer XG besser als auf einer SG, obwohl die Hardware Plattform gleich ist?○ Die XG kann mit der Fastpath Technologie Pakete teils besser routen und
nutzt aufgrund des schlankeren Images die Hardware teils besser aus.
• Sollte man jetzt als Kunde der SG auf XG wechseln?○ Ein Wechsel ist noch nicht empfohlen, weil
‒ XG hat noch nicht alle wichtigen Features der SG
‒ XG Interface ist gewöhnungsbedürftig und verwirrend für SG Kunden
‒ es gibt keine Migrationsmöglichkeit der Config, man muss alles händisch nachziehen
Top Related