Live fra ett hotellrom i Amsterdam..

Målet mitt med å bytte jobb til Arrow var å få kunne jobbe mer med Palo Alto Networks, og deres løsninger.
Og en av mine første mål er å bli instruktør, slik at jeg kan spre de glade budskap videre i Norge!

På veien til det målet må jeg gjennomføre 201 og 205 kurset som går ut på oppsett og drift av Palo Alto Networks PAN-OS.
Derfor er jeg denne uken i Amsterdam på Partner trening i hovedkontoret for Palo Alto Networks i EMEA.

Det var her i samtale med de andre som deltar på kurset at det gikk opp for meg.
At jeg aldri hadde tenkt på hvorfor jeg ble så overbevist av Palo Alto Networks sine løsninger.

Så hvorfor ble jeg det? Hvorfor valgte jeg å bytte jobb fra ett sted jeg trivdes kjempegodt? Kun for ett produkt?

Men når jeg fikk tenkt meg om, så var det ikke så rart..
Jeg har de siste 3,5 årene jobbet med diverse løsninger for nettverk sikkerhet, og ofte var det “best of breed” innenfor områder som proxy, apt-deteksjon, antivirus, url-filter, brannmur og SSL-dekryptering.
Om man har 3-4 av disse i løsningene i nettverket så oppnår man ett godt nivå av sikkerhet, men det gir også noen problemer:

  • Policy for nettverket blir spredt over flere løsninger fra forskjellige leverandører
  • En GUI for brannmur, en GUI for APT-deteksjon, en GUI for proxy osv osv..
  • Vanskelig å feilsøke
  • Krever flere ansatte \ Mye opplæring for å kunne vedlikeholde løsningene
  • Forskjellige support-rutiner når noe går galt. Noen må holde kontroll på dette.
  • Oppdateringer av alle løsningene, som ofte sklir ut og man kjører usikre versjoner.
  • Ingen utveksling av informasjon mellom løsningene
  • Ingen god måte å få ett komplett overblikk av nettverket

Det jeg savnet var en løsning som kunne gi meg ett totaloverblikk over nettverket, uten at jeg måtte hoppe mellom 3-4 eller 5 forskjellige GUIer..

En liten periode trodde jeg dette var Checkpoint, som lovet brannmur, antivirus, IPS, URL-filter, Proxy, application-control, Anti-bot ++++. Dette virket jo fantastisk!
Men så begynner man å jobbe med produktet, og det hele rakner etter en stund.

  • Ingen felles policy enda alt er i samme løsning. Man ender med å hoppe mellom “Blades” og definere forskjellige policyer
  • Trenger egen management applikasjon for å gjøre endringer på policy, mens nettverk defineres på Web-GUI. Fragmentert administrasjon.
  • Ingen rød tråd i hvordan “blades” konfigureres eller settes opp. Ett godt eksempel er Mobile Access blade som mangler enkel søk funksjon for hoster, som fører til at man må bla igjennom lange lister. Og slike forskjeller er det igjennom hele management applikasjonen..
  • Ingen mulighet å bygge en firewall policy basert på applikasjoner og porter. Dette gjøres i 2 forskjellige policyer. (Vet at R80 kommer, men det er fortsatt avhengig av application blade)
  • IPS-funksjonalitet som er satt opp som standard for å gi mest mulig ytelse fremfor beskyttelse. Til og med “Recommended Profiles” deaktiverer IPS-signaturer som krever for mye ytelse…
  • Ytelse.. alle som har jobbet eller jobber med checkpoint har angst når det kommer til dette. Checkpoint slår seg på brystet med vanvittige ytelsestall med kun FW aktivert, men så fort man slår på noe mer så går dette tallet rett i bakken. Aktiverer man f.eks IPS så ser man som oftest 90% ytelsestap, da er det ikke så mye rom for å aktivere Application Control, SmartEvent, Mobile Access, Anti-Bot med mer..
  • Og når en checkpoint boks sliter med ytelse, så går dette også utover administrasjon. Ingenting er som å pushe policy på en boks med 90% CPU.. Kaffen venter!
  • Ikke spesialisert hardware. Kjører på x86 CPU som gjør at eneste måten for å oppnå høyere ytelse er høyere kjernefrekvens og flere kjerner.
  • Oppgradering.. aldri enkelt med Checkpoint. Som oftest løste vi det med å slette alt og reinstallere da det bød på mindre problemer.
  • Doktorgraden man må ha for å skjønne Checkpoint lisensiering

Og det er sikkert mer, som dere skjønner er jeg ikke så glad i Checkpoint. Når jeg som tekniker bruker mer tid på å komme meg rundt problemer, enn å faktisk sikre nettverket så blirt det fort sånn..

Så kom Palo Alto Networks på banen, jeg hadde hørt om dem, men enda ikke hatt mulighet til å jobbe med dem. Det endret seg i slutten av 2014.
Jeg var skeptisk, og tenkte at dette var samme visa som Checkpoint, masse lovnader i en powerpoint, der vi alle kan være best. For så finne alle feilene og problemene i praktisk bruk.

Men, det første som møtte meg var ett utrolig bra Web-GUI som ga meg alt jeg var ute etter.

  • En policy for hele nettverket (User-ID, App-ID, Content-ID med mer i en og samme policy!)
  • Lag 7 Inspeksjon innebygget! (Kan ikke deaktiveres!)
  • FPGA for å skanne trafikken i en Singel-Pass
  • Control-Plane for administrasjon, er separert fra Data-Plane som tar seg av trafikken. Dette sikrer at boksen fortsatt føles rask enda man har høy load.
  • Enkle ytelsestall og forholde seg til. 2Gbit\s med kun Applikasjonskontroll, 1Gbit\s med Threat Prevention pakken. Enkelt å planlegge rundt.
  • Gir full synlighet i nettverket. Endelig ser man applikasjoner, og ikke bare porter.
  • Wildfire som stopper ukjente trussler, med kun 15 minutter oppdateringsfrekvens fra skyen
  • Pluss masse masse mer…

Nå er vi i slutten av 2015, og jeg sitter på ett hotellrom i Amsterdam. Kun fordi jeg er like frelst, og jeg gleder meg til fortsettelsen!

One thought on “Live fra ett hotellrom i Amsterdam..

  1. Interessant indlæg omkring Palo Alto Networks platform. Jeg har selv gjort mig de samme observationer.
    Det er vigtigt ikke blot at sammenligne feature mod feature, men se på hele tankegangen bag platformen for at forstå værdien af den.

Comments are closed.