was kostet uns sicherheit ? was kostet uns sicherheit ? anschaffung, trends, laufende kosten johann...
TRANSCRIPT
Was kostet uns Sicherheit ?Was kostet uns Sicherheit ?Anschaffung, Trends, laufende Kosten
Johann Ladwein Sen. Sales-Development
Mgr.
Firmengeschichte 1990
1994
2001
Eintritt in den Sicherheitsmarkt
Als Sicherheitslieferant gegründet
•verkaufte Sicherheitslösungen anderer Hersteller
•benutzte eigene, anerkannte Expertise für Integrationslösungen
Aufbau eines globalen
Netzwerks
Anerkannter Markenname für
IT-Sicherheit
Globaler Hersteller von Hochverfügbarkeit
•In den 90ern noch kein Markt für Hochverfügbarkeit
•Stonesoft brachte StoneBeat heraus, schuf den Markt für HA-Firewalls
•Zusatzprodukt für Firewalls anderer Hersteller
Globaler Hersteller von Netzwerksicherheit
•brachte StoneGate High Availability Firewall und VPN heraus
•beinhaltet HA/LB für Netzwerk-Provider
•starke Finanzlage + schuldenfrei !
Kosten pro Ausfallstunde
Kosten pro Ausfallstunde
Von Applikationen / Servern
Quelle:Eagle Rock Alliance, Ltd. 2001
www.eaglerockalliance.com
€ 50,000 oder weniger (46%)
€ 101,000 - € 250,000 (13%)
€ 251,000 - € 500,000 (9%)
€ 500,000 - €1 mil (9%)
€ 1 mil - € 5 mil (4%)
Über € 5 mil (4%)
€ 51,000 - € 100,000 (15%)
Stonesoft Produkte
Multi-threaded, multi-tasking für Höchstleistung und Stabilität
Clustering und Hochverfügbarkeit sind Standardeigenschaften
Läuft auf Standard-Hardware
Integriertes Betriebssystem
Lastverteilung zwischen ISP-Anbindungen
Neue Inspektionsmethoden
Bietet entweder geclusterte oder “Hot-Standby“-Redundanz für mehrere Firewall/VPN-Lösungen
Markführende Lösung hochverfügbare Sicherheits-Softwarelösungen
Über 8000 Kunden weltweit
Problem #1 : Heterogenes Netz
Unternehmensinterne Netze T1, FrameRelais, Fibre, ...
E-Mail WWW
RAS-Router
Printer
Mobile Anwender
Terminals Lokale User
Applikation
RDBMS
Apple Any UNIXNovell
Netware
Win NT
W2000
IBM MVSDEC VMS
Toni Token Internet
Fax
Geschützter Perimeter
FirewallFirewallFirewallFirewall
DMZ
Lokales Netz(LAN)
Firmennetz(Intranet)
Geschäfts-Partner
(Extranet)
Das Internet
Problem: Entfernung vom Administrator
Grad desGrad desSicherheits-Sicherheits-
RisikosRisikos++
Höhe derHöhe derKostenKosten
Entfernung von der AdministrationEntfernung von der Administration
Die Kosten steigen mit der Entfernung vom AdministratorDie Kosten steigen mit der Entfernung vom Administrator
Ständige Verwaltungsaufgaben
Entwickeln einer Standard-Konfiguration
Einführung der Standard-Konfiguration
Test der Standard-Konfiguration
Grundeinstellung für den Geschäftsbedarf
Neuer Geschäftsbedarf
Neue Hard- oder Software
Neue Anwender
Veraltete Hard- oder Software
Änderung
Angriff erkannt
Was Kostet Sie der Betrieb ?
Kunden-Problem Alt-Firewalls
Patchen des Betriebssystems (nach CERT)OSOS
HA/LBHA/LBFW/VPNFW/VPN
OSOSFW/VPNFW/VPNHA/LBHA/LB
OSOS
HA/LBHA/LB
FW/VPNFW/VPN
OSOSFW/VPNFW/VPNHA/LBHA/LB
OSOS
HA/LBHA/LB
FW/VPNFW/VPN
OSOSFW/VPNFW/VPNHA/LBHA/LB
Update der Firewall + Policy Änderungen
Anpassen der Hochverfügbarkeit
2 Consolen
GUI
GUI
2 x Consolen
GUI
StoneBeat
Zentrale GUI
Patchen des Betriebssystems (nach CERT)
Update der Firewall + Policy Änderungen
Anpassen der Hochverfügbarkeit
Patchen des Betriebssystems (nach CERT)
Update der Firewall + Policy Änderungen
Anpassen der Hochverfügbarkeit
Jede Änderung zieht eine Kette weiterer Änderungen/Anpassungen nach sich !
2 x Consolen
GUI
Checkpoint FW1
wechseln zu NGwechseln zu NG
bleiben
bleiben
4.14.1 Migration Migration zu zu StoneGatStoneGatee
Traditioneller Ansatz: Design
Traditionell = Schichten OS, bedarf Härtung,
Aktualisierung, Pflege Firewall, benötigt
Konfiguration,Wartung
HA benötigt Konfiguration,Wartung
High Availability
Software
Firewall
Software
Betriebs-
system
Betriebssystem Inst.
- Sicherheitshärtung
- Routingconfig. etc.
Firewall-Sofware Inst.
- Konfiguration
HA-Software Inst.
- Konfiguration
Betriebssystem Inst.
- Sicherheitshärtung
- Routingconfig. etc.
Firewall-Sofware Inst
- Konfiguration
HA-Software Inst.
- Konfiguration
Herkömmliche Firewalls mit HA
Betriebssystem Inst.
- Sicherheitshärtung
- Routingconfig. etc.
Firewall-Software Inst.
- Konfiguration
HA-Software Inst.
- KonfigurationPermanentes Management
Auf allen drei Ebenen
der Lösung nötig
- High Availability
- Firewall
- Betriebssystem
Installationsdauer
etwa 5 Stunden
- High Availability
- Firewall
- BetriebssystemBei geclusterten Lösungen muß jeder
Knoten getrennt installiert und einzeln verwaltet
werden
Altkunde:Technologie-
wechsel
Zeit
Der Vertriebszyklus von Securityprodukten
Neukunde:Probeweiser Einstieg
ausgewähler Service / Anwender
Altkunde:strategische
Entscheidung
Ablösung durch „Mitbewerb“
möglich
!
Profitabler KundeProfitabler Kunde
Kostenexplosion
VPN KostenersparnisMittelständiges Unternehmen in München mit Büros in Frankfurt und Kiel:
Internetzugänge pro Monat:
3 x ISDN 128kBps, Flatrate à 199,40 € 598,20 €
Standleitungen:
2 x 2 MBps, à 2.467,58 € 4.935,16 €
Kosten Altlösung: 5.533,36 €
Standleitungen für VPN zum ISP:
3 x 2 MBps à 1.426,50 € 4.279,50 €
Kosten VPN-Lösung: 4.279,50 €
Monatliche Einsparung: 1.253,86 €
Bestes Preis-Leistungsverhältnis
s/w-Appliance mit Standard h/w (Stonegate & Intel)ano.-Appliance
über +1 Gbps Durchsatz
1,000,000 gleichzeitige Verbindungen
3DES - +130 Mbps VPN Durchsatz
10,000 gleichzeitige VPN-Tunnel
Preis der ano. h/w ohne FW-Lizenz
€ 56.645
Standard-Hardware-Lösung über 1,3 Gbps Durchsatz
1,000,000 gleichzeitige Verbindungen
AES128 - 138 Mbps VPN Durchsatz
10,000 gleichzeitige VPN-Tunnel
z.B.Preis einer IBM x345 KO32XGE ohne StoneGate
€ 5.590
Enterprise VPN-Firewall LIC-SG-GSC-VPN € 41.340,-
Das Dilemma: scheinbar günstiger
H/W-WAN Loadbalancer € 39.973,-Gesamtkosten (ohne Hardware) €
96.225,-
MultiLink WAN-HA/LB - inklusive -
StoneGate läuft auf Standard Intel, SPARC-Hardware oder IBM zSeries !
Enterprise VPN-Firewall LIC-SG-GSC-VPNErste zwei Knoten für unbegrenzte Anz. IP-Adressen, Enterprise Management-System für unbegrenzte Anzahl VPN/Firewall (oder Cluster), Remote-UpdateInkl.: Gehärtetes, integriertes, LINUX-basiertes Betriebssystem (Debian), HA und dynamisches Loadbalancing, Multiprozessor-Fähigkeit, Echtzeit-Log, LDAP, hierarchische OO-Regelbasis, Lizenzmanagement, …Kosten Software € 41.340,-
Traditionelle Firewall-Lösung:VPN-1 PRO-Enterprise CPVP-VEE-U-NG €
23.800,-
Traditionelle Firewall-Lösung:FW mit VPN HA-Lizenz € 16.958,-Loadbalancing € 11.900,-Management System € 23.800,-Multi CPU € 3.570,-Hartes RH-LINUX € 24,-Kosten Software €
56.252,-
Kundenbedarf Sicherheit +Härtung des Betriebssystems
+Untersuchung von Level 2 bis 7+VPN (GW2GW + GW2cli)+Public-Key-Einbeziehung
Hochverfügbarkeit +Integrierte Hochverfügbarkeit+Lastverteilung / Skalierbarkeit+Mehrere Internetanbindungen
Multi-Routing Verbindungen
für VPNs
+Stabile VPN-Verbindungen+Mit HA und Lastverteilung
Management-System +Zentrales Management+Mehrere Gateways administrierbar+Audit-Trail und Revision+Relationale Datenbankanbindung+LDAP-fähig (Im-/Export)
Die Antwort auf viele Fragen
Management system
Database
Managementserver
Komponenten
GUI client GUI client GUI client
Engine 2Engine 1 Engine 3
Firewall cluster
Einstellung:
integer, authentisch, geheim
Verwaltung:
Log und Management getrennt
Gateway-Cluster:
Kein Direktzugriff,
SSL
. . . Engine 16
Database2
Log server
1n
SSL
Einfache Installation
Gehärtetes Betriebssystem, Firewall und HA-Software in einem Installationsvorgang
Der Rest der Konfiguration wird mittels des GUI ausgeführt Definition der Firewalls
(single oder cluster = HA) drag & drop Bearbeitung
des Routings Automatische Anti-
spoofing Einstellung Automatische proxy ARP
Erzeugung
Softwareinstallation-einfach und schnell
(ca. 5 Min.
pro Knoten)
Für einzelne...… und geclusterte
Firewalls
Einfache Verwaltung
ServerNode
Permanentes Management
Für alle Ebenen (OS, FW, HA)
GUI Management Server Firewall-Knoten
3 geschichtete StoneGate Architektur
Alle Arbeiten im
Management
- OS, FW, HA -
werden mit dem
StoneGate GUI
ausgeführt
Open-Appliances
Firewall
Firewall-Cluster
Firewall-zSeries-Cluster
Software-Appliance
Standard IntelTM , SPARCTM oder IBM zSeriesTM Hardware
Sowie dedizierte Appliances
Open-Appliances
Firewall-Appliance Vorteile:
• Plug & Play – leichte Installation
• Vorinstallierte Firewall (leere Template-Policy)
• 19-Zoll Formfaktor
• Schnelle Installation – schnelle Aufrüstung
• Hohe Redundanz und Packungsdichte
• zentralisiertes StoneGate Enterprise-Management
Kundenvorteile
Zeitersparnis + Schnelle Installation von OS, Firewall/VPN und HA/Loadbalancing+ OS bereits gehärtet (kein CERT- check)
+ Eine Administrationskonsole für OS, FW, VPN und HA/LB+ Kein Security-Spezialwissen nötig
Kostensenkung
Ressourcennutzen + Standard Hardware (Intel/SPARC)+ Hochleistungs VPN statt RAS+ Multi ISP-Nutzung der günstigsten
Leistung
Reputationsgewinn + Immer Online, immer Verfügbar+ Keine Wartezeiten im eCommerce+ Schnelle Ladezeiten der Webinhalte+ Höchste Sicherheit+ Sichere mobile Anwender
All-in-one-Solution
Internet
Internal network
Multiple ISP’s
HA
HA
HA
RedundantMulti-ISP hw solution Redundant
Multi-ISPinbound LBhw solution
RedundantInbound LBhw solution Additional
HA software solution
DMZServer
Managementserver
VPN Diagram
Partner 1 Net
Partner 2 Net
Helsinki Net
StoneGate
INTERNET
ISP 1 ISP 2ISP 3
ISP A
ISP B
ISP C
ISP N
MultiLink:
dynamischesMulti-ISP
Multi-VPN
Multi-Line
StoneGate VPN-Performanz: 5.100 Tunnel/Knoten, 70Mbps (3DES) – 165Mbps (AES128)
Ersatz-
Sicherheits-Leitung
Sicheres Multi-Link VPN
Indirektes Management-System über authentische SSL-Verbindungen
Voll integriert:Firewall und Betriebssystem
Multi-Layer Inspection mit Protocol Agents (Proxies)
Kombiniert das Beste aus Stateful- Inspection und Proxy-Technologie
Lastverteilung über mehrere ISPs
Maximale Sicherheit
StoneGate bietet den höchsten Level an Ausfallsicherheit und die grösste VPN-Sicherheit im heutigen Markt.
StoneGate Policy Manager
Template vererbt die
Grund-policy
drag&drop cut&paste schnelles EInfügen
Sub-bases und Sprung-
befehle
Reseller-Problem mit alten Firewalls
Reseller Service: $$$$$$$$$$- Reseller Kosten $$$$$
•Reisekosten $
•Zeitaufwand $
•Personalkosten $
•Ausbildung $$ . (4.1-> NG jedes Modul)
Box C Box P
L7-LB Box N
Switch
Router
HA
/ L
B
Legacy
Neue VersionM
igra
tion
Reseller Profit: 00000$$$$$
Verlust durch hohe Pflegekosten !
• Kosten des Kunden
• Kosten des Resellers
Alles schon in der Packung:Zentrales ManagementRemote-AdministrationLizenzmangerRemote Engine-Update
(OS + FW / VPN + HA / LB)
MultiLink WAN-HA / LB
VAR und Kunde verlieren bares Geld !
Version WDie Roadmap: weitere ProdukteDie Roadmap: weitere Produkte
For additional information, please visit:
http://www.stonesoft.com/
For additional information, please visit::
http://www.stonesoft.com/
For additional information, please visit:
http://www.stonesoft.com/
Stonesoft solide KontakteStonesoft Germany GmbHC a r l – Z e i s s – R i n g 1 38 5 7 3 7 I s m a n i n gG e r m a n y
T e l . + 4 9 8 9 9 6 9 7 8 2 - 0F a x . + 4 9 8 9 9 6 9 7 8 2 - 2 0
Allways highly available:
S a l e s :S a l e s @ S t o n e s o f t . C o m
T e c h . S u p p o r t :S u p p o r t @ S t o n e s o f t . C o m
GOOGLE sei Dank
Die Zeichen der Zeit erkannt !!!