Zero-Touch, Low-Touch – ein kurzer Überblick über die aktuellen Möglichkeiten bei der Auslieferung von Firewalls

Die andauernde Weiterentwicklung in allen Bereichen der Informatik und die damit einhergehende Vereinfachung von Arbeitsschritten sind auch bei der Weiterentwicklung von Netzwerksicherheitsprodukten ein großes Thema. Auch hier im TO Blog waren in der Vergangenheit verschiedene Neuerungen in Bezug auf Firewall-Funktionen und -Services bereits Thema von Beiträgen.

Dieser Beitrag wird sich allerdings mit den alternativen Varianten des Auslieferungsprozesses von Firewalls beschäftigen. Von dieser meist Low- oder Zero-Touch genannten Techniken sollen, bei richtiger Umsetzung, sowohl Dienstleister als auch Kunden im hohen Maße profitieren. Da sich durch die Teil-Automatisierung der Aufwand für die involvierten Mitarbeiter sowohl auf Dienstleister- als auch auf Kundenseite reduzieren soll.

Im Rahmen der bei intern durchgeführten Evaluation wurden Lösungen verschiedener Hersteller getestet, um zu sehen, ob diese die versprochene Vereinfachung einhalten können. Zusätzlich wurde überprüft, ob bei der Übertragung der Daten momentane Standards eingehalten wurden.

Wie funktioniert Low-Touch?

Unter den Namen Low- bzw. Light-Touch bieten verschiedene Hersteller die Möglichkeit bereits Teile der Konfiguration und damit des Auslieferungsprozesses zu vereinfachen. Dabei werden, herstellerübergreifend betrachtet, mindestens die einzustellenden Optionen und Parameter der Grundkonfiguration vom Dienstleister nach Bestellung der jeweiligen Hardware auf einem USB-Stick gespeichert. Die neue Hardware muss dann nur noch mit diesem USB-Stick gestartet werden und nimmt dann selbstständig die Konfiguration auf Grundlage der vorher gespeicherten Daten vor.

Nach diesem Prinzip lassen sich so beispielsweise eine größere Anzahl neu-auszuliefernder Firewalls deutlich schneller mit den gleichen Einstellungen versehen. Alternativ kann dies auch sehr hilfreich sein, wenn beispielsweise Außenstellen von Kunden in Betrieb genommen werden, ohne einen Techniker des Dienstleisters vor Ort haben zu müssen.

Wie funktioniert Zero-Touch?

Die Zero-Touch-Funktionalität baut weitgehend auf dem Prinzip von Low-Touch auf. Auch dabei werden die nötigen Einstellungen nicht direkt auf der bestellten Hardware ausgeführt, sondern im Vorfeld bereits gespeichert. Allerdings nicht, wie bei Low-Touch, auf einem USB-Stick, sondern auf einem vom jeweiligen Hersteller bereitgestellten Online-Speicher. Sobald die Hardware dann an ihrem Einsatzort ausgepackt wurde, muss diese lediglich mit Strom und einer Internetverbindung versorgt werden, damit dann im Anschluss automatisch die zugehörigen Konfigurationsdaten heruntergeladen und die Selbst-Konfiguration durchgeführt werden kann.

Bei den Online-Speichern setzen die Hersteller auf unterschiedliche Konzepte. Einige bieten die Möglichkeit über ein Online-Portal alle nötigen Einstellungen im Voraus zu speichern. Die Hardware verbindet sich dann automatisch mit dem Portal und lädt die nötigen Daten herunter. Danach stehen dann verschiedene Möglichkeiten offen die Firewall zur Verwaltung mit einem Management zu verbinden. Bei einem anderen Konzept werden alle benötigten Einstellungen in einem Online-Management vorgenommen, welches im Anschluss auch als alleinige Verwaltungsplattform dient. Daraus ergibt sich der Vorteil, dass bei der Dimensionierung des Managements keine zukünftigen Planungen miteingeschlossen werden müssen, da die online Ressourcen-Verwaltung komplett in der Hand des Herstellers liegt.

Die Auslieferungs-Prozesse im Vergleich

Im Schaubild lässt sich gut erkennen, dass unter optimalen Voraussetzungen bei den teilautomatisierten Auslieferungen mit Low- oder Zero-Touch einige Schritte wegfallen, bzw. durch gleichzeitige Durchführung von einzelnen Schritten Wartezeiten und Abhängigkeiten reduziert werden.

Der Vorteil für Kunden als auch Dienstleister liegt dabei auf der Hand: Durch die deutliche Vereinfachung der abschließenden Inbetriebnahme – das reine Anschließen der Hardware an Strom und Internet kann auch von einem Mitarbeiter des Kunden durchgeführt werden, der nicht technisch versiert ist –  sowie der schnelleren Vor-Konfiguration lassen sich hier Personal- und Zeitaufwand reduzieren.

Zusammenfassung der Tests

Insgesamt wurde festgestellt, dass die Konzepte etablierter Hersteller besser durchdacht und deutlich flexibler einsetzbar sind, da sie direkt auf den bislang angebotenen Möglichkeiten zur Auslieferung aufbauen und diese einfach durch ein Online-Portal erweitern, welches der Datenübertragung dient. Dabei ist besonderes Check Point positiv hervorzuheben, die das bewährte Verfahren zur Konfiguration mittels eines Skriptes in ein übersichtliches Online-Portal integrieren. Andere Hersteller gehen hier deutlich umständlichere Wege, bei denen die Konfiguration im Management mittels eines Assistenten erstellt und anschließend zuerst auf das Online-Portal geladen werden muss. Der Einsatz dieses Assistenten lässt nur auf umständlichem Weg individuell-abweichende Konfigurationen zu, dafür wird aber eine deutlich kürzere Einarbeitungszeit benötigt als beispielsweise für die Erstellung eines Skriptes.

Alle getesteten Hersteller benutzten zur Übertragung der Daten eine Verbindung mit TLS in der Version 1.2. In Verbindung mit der eingesetzten Cypher-Suite genügt dies den aktuellen Anforderungen laut BSI.

Abschließend lässt sich sagen, dass unter bestimmten Voraussetzungen bereits Auslieferungsprozesse mit Zero-Touch durchaus denkbar und auch absolut sinnvoll sind. Um jeden Rollout neuer Firewalls per Zero-Touch zu realisieren, bedarf es aber einem hohen Grad an Standardisierung auf Grundlage einer Basiskonfiguration, welche dann nur noch auf die individuellen Besonderheiten und Wünsche des Kunden angepasst werden muss.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *