Aktuálně hledám řešení SASE jako náhradu za SSL VPN. Vidím, že Sonicwall má nějakou nabídku. Použil to už někdo a mohl by poskytnout zpětnou vazbu?
SonicWall koupil Banyan začátkem tohoto roku. SonicWall musel najít náhradu poté, co Check Point koupil Perimeter 81 loni. Nejsem si jistý, jestli SNWL nebo CP ukončili tu dohodu.
Produkt Banyan není tak dobrý jako P81. Je levnější, ale má příliš mnoho nedostatků, větší Windows klient, chybí podpora IPsec tunelů, takže musíte nasadit Ubuntu VM na jakémkoli místě, které potřebuje tunel do cloud Banyan, a má spoustu zvláštností v administračním rozhraní.
P81 má delší historii, byl ponechán osamocený v dobrém smyslu od CP, a prostě funguje rychle a intuitivně. Podpora by mohla být trochu lepší, ale budete ji potřebovat mnohem méně.
Po přečtení všech komentářů mi přijde, že nabídka CESA není zatím plně připravena? Kolik stojí dodatečně její zavedení? Ulehčí mi to připojení na dálku k jejich desktopům a bude to rychlejší? Ulehčí mi to život?
Použil tu někdo CSE pro připojení a vzdálený přístup k serverům jako RDP, Hypervisor instalované servery apod. bez připojení k firewalu SonicWall?
Chci vědět, jak připojit CSE k těmto serverům, problém je v tom, že dokumentace SonicWall/Banyan je buď zastaralá, neúplná nebo pouze povrchní.
Potřebuji skutečně connectory pro přístup k virtuálním strojům a Windows serverům? Nainstaloval jsem už connector OVA na virtuální stroj, a pak co? Jak k nim vzdáleně přistoupím pomocí softwaru Banyan? Opět bez SonicWall firewallu.
Chci se připojit k různým typům serverů bez použití jiného VPN, chci, aby má CSE fungoval jako VPN pro tyto různorodé on-premise servery, stejně jako by měl, a bez SonicWall firewallu mezi nimi, ale zdá se, že to nedokážu vyřešit, pomozte mi :((
Pracuji teď na připojení přes cloudové servery, ale nemám ještě cloudové zdroje. Doufám, že to bude fungovat, až nějaké najdu.
Má Sonicwall SASE? Podívám-li se na jejich stránku produktů, zdá se mi, že mají zmatek ohledně toho, co to je. Například mají SASE jako hlavní nad ZTNA a Cloud Secure Edge… jako by to byla jejich jediná interpretace (SASE zahrnuje SD-WAN). Každopádně ani jejich ZTNA a Cloud Secure Edge řešení nejsou jejich. Používají Banyan Security.
Takže pokud chcete “SASE” od SonicWall, měli byste použít jejich produkt Secure SD-WAN a zkombinovat ho s Banyan Security. Zní to jako dost složitá instalace a správa. Jedním cílem SASE je sjednotit a zjednodušit síťování a zabezpečení sítě/cloudu. Nejsem si jistý, jak toto řešení toho dosahuje.
Můžete se podívat na Banyan Security a ačkoliv tvrdí, že jsou lídrem na trhu v SSE, nedostali se do Gartner MQ pro SSE za poslední 3 roky, co je venku.
Nejnovější firmware umožňuje přímé připojení firewallu, již nemusíte vyžadovat on-premises VM.
Chystáme se to v příštím měsíci otestovat. Cena je velmi slibná.
Jste si jistí, že nemůžete použít jejich Linux klienta k připojení přes WireGuard?
Souhlasím s vašimi analýzami, testoval jsem P81 a Banyan (nyní SonicWall CSE). Banyan software má hodně problémů, zejména pokud jste uvnitř důvěryhodné sítě a je zapnutý ITP modul. Měl jsem s tím spoustu problémů při POC.
Naplánoval jsem hovor s PM Banyanu, dám mu dobré lekce.
P81 je v pohodě produkt, stále ve vývoji a produkt se zlepšuje s každou aktualizací.
Záleží na tom, jestli jste na privátním nebo globálním okraji pro vaši CSE organizaci.
Pro globální okraj je potřeba connector, protože váš provoz směřuje přes cloud řízený CSE a poslední skok do vaší privátní sítě je přes connector. Pokud používáte soukromý okraj, můžete nasadit přístupovou vrstvu / Netagent vedle vaší interní sítě (například v DMZ). V závislosti na počtu privátních sítí nasadíte více connectorů nebo přístupových vrstev na pokrytí každé sítě.
Není mi jasné, co používáte, ale toto je základní myšlenka.
Po nastavení, existují dva způsoby, jak postupovat. Jeden je založený na WireGuardu, což je víc jako tradiční VPN. To se nazývá “service tunnels” v konzoli CSE, která směruje na příslušné connectory, pokud používáte globální okraj. Druhá možnost je nasadit ZTNA, kde můžete vytvořit jednotlivé služby - hostingové weby, infrastrukturní služby (RDP, SSH apod.) přes vhodné connectory, opět pokud používáte globální okraj.
Po instalaci CSE aplikace a registraci do vašeho CSE orgu s použitím pozvání, který je nastaven v nastavení CSE, se tyto služby zobrazí ve vaší aplikaci a umožní aktivaci jednotlivých služeb nebo nastavení automatického připojení pro service tunnels, RDP, SSH, webové stránky atd., takže se automaticky připojí, kdykoliv je aplikace aktivní na zařízení.
Architektura není příliš složitá, jakmile ji nasadíte. Stačí zajistit, aby vše, čeho se chcete připojit za CSE, bylo dostupné / rozpoznatelné z connectoru (globální okraj) nebo přístupové vrstvy (soukromý okraj). Pokud jsou vaše trasy / CIDR a DNS správně nastavené, mělo by to fungovat.
Omlouvám se za pozdní odpověď.
Sonicwall právě aktualizoval průvodce začátkem: https://www.sonicwall.com/techdocs/pdf/cloud_secure_edge-getting_started.pdf
Můžete také sledovat jejich videa zde:
https://youtube.com/playlist?list=PL4mnjMNj4Iq-OStHZ_d2mv7ZuNJyJQBDq&si=aJU3Zzw9PxxrTGSi
Možná jste to ještě nezkoušeli nebo neslyšeli, ale právě jsem získal zkušební verzi a je to super jednoduše nasaditelné, NAVÍC můžete nyní integrovat do vašeho firewallu Sonicwall. Kromě toho můžete nasadit Docker kontejner… spousta scénářů nasazení a jako MSP mohu nakupovat měsíčně pro své zákazníky… bez minimálního množství a bez smluv, navíc většina jejich produktů je v MSP programu. Jsem ohromen, jak se Sonicwall za 15 let změnil, koupili dvě firmy a je to zajímavé rozhodnutí… Banyan a MSSP řešení, přiznané. Zaměstnanci obou společností jsou zaměstnanci SonicWall, takže se zdá, že poslouchali své partnery.
https://blog.sonicwall.com/en-us/2024/07/give-a-ztna-boost-to-your-sonicwall-firewall/
Ano, to bylo již dříve diskutováno v threadu.
S bodem Banyanu jsem zjistil, že klient je lehčí ve srovnání s Perimeter 81. Jedním z problémů s Perimeter81 je, že klient je těžký a je třeba otevřít několik portů ve firewallu.
Pouze část funguje ve Web gateway bez problémů. Náhrada VPN má problém s připojením k účtu Office 365. Často mám problém s přihlášením.
Všechna doprava se nezaznamenává a zaznamenává se jen ta, která je blokována.
Produkt používá (upravený) WireGuard pro všechno. Problém je v připojení na místa, kam nechcete nebo nemůžete nasadit Linux VM pro tunel do sítě Banyan. Proto téměř všichni ostatní v oblasti SASE podporují IPsec pro site-to-site.
IPsec ve firewallech pro site-to-site tunely je běžný.
Naprosto jsem přehlédl, že SonicWall koupil Banyan. Moje chyba.
Banyan Security je jejich, protože ji koupili. Bohužel, koupě nebo akvizice jiné technologie nezaručuje, že jsou méně jako dva samostatné produkty nebo společnosti, kterými bývali… alespoň pokud jde o technologie a podporu produktu. Ze strany marketingu je to pravděpodobně jedna a ta samá věc, jsem si jistý.
Nedávno jsem s inženýrem Banyanu strávil odpoledne při nasazování produktu včetně Entra auth, kontroly zařízení, filtrování webového obsahu, jednoho Linuxového brány a dalších úprav. Nebylo to úplně jednoduché. Inženýr přiznal, že dokumentace k instalaci a poslední verze Windows klienta jsou problémové.
Produkt se integruje jen s firewally Gen 7 běžícími 7.1.2, což vám umožní vyhnout se nasazení Linuxové brány na místě. Pokud nepoužíváte firewall Gen 7, pořád potřebujete VM.
Existují lepší možnosti pro SASE i za nízkou cenu. Produkt zatím není úplně stabilní.
SonicOS 7.1.2 by měl přijít s integrací založenou na firewallu.
Poslouchali partnery a to je velký mezerou příliš dlouho. Nevím, jestli má SW schopnost navrhnout, otestovat a uvést do provozu produkt, ale strašlivě chyběl v základní oblasti, kterou zcela přepracovali. Play MDR nebylo nic s duševním vlastnictvím, ale uznali, že to nechtějí ani zkoušet, což dává smysl. Banyan ve svůj prospěch měl úspěšný produkt a při akvizici se držel zájmů významných firemních klientů. Vyvážení řešení pro všechny, při integraci programátorských inženýrů, atd., vše, aby potěšili partnery SW. Jsem pro, aby to pomalu probíhalo. Mám několik klientů, pro které to bylo vhodné. Sakra, kybernetické pojišťovny opravdu nastavují pravidla a dávají peníze za to, aby nedošlo k průlomu… budou tedy řídit věci jako v medicínském pojištění a zdravotnictví… Peníze motivují a brzy budou inspektovat SSL provoz jako povinnost… smysl to dává, protože 98 % internetu je šifrovaný provoz, takže pokud to tak bude, pojišťovny vás nebudou hradit, pokud to ve své politice definují, což je správné… Zákazníci to vědí nejlépe, dokud je nezasáhne ransomwarový útok a nezruší IT.
Takže je to téměř jako kdybyste stále kupovali dva různé produkty? SonicWall Firewall & Banyan Security.
Z pohledu správy politik, máte stále vaše politiky SonicWall Firewall pro internetovou nebo WAN bezpečnost (alespoň pro nespolečností koncové body, zabezpečení poboček a datových center) a máte samostatnou politiku pro Banyan Security / komponentu, že?
Zdá se vám, že správa těchto dvou technologií se od doby, kdy SonicWall koupil Banyan, výrazně zjednodušila? To byl přesně ten bod, který jsem se snažil uvést výše.