Barracuda SecureEdge: Produktmerkmale

SecureEdge basiert auf der gleichen Technologie wie CloudGen Firewall, der bewährten Enterprise-Firewall von Barracuda. SecureEdge wurde speziell für die Cloud entwickelt und bietet fortschrittliche mehrstufige Security, um Ihre geschäftskritischen Ressourcen zu schützen:

• Advanced Threat Protection
• Intrusion Detection und Prevention
• Malware Protection
• SSL-Inspektion
• Stateful Deep Packet Inspection
• Single-Pass Architektur
• URL Filtering und Application-basierte Access Control List

Während herkömmliche Lösungen Netzwerkbedrohungen in der Regel erst erkennen, nachdem sie in das Netzwerk eingedrungen sind, implementiert Barracuda Advanced Threat Protection (ATP) eine vollständige Systememulation, die einen umfassenden Einblick in das Verhalten von Malware bietet. Die Dateien werden mit einer kryptografischen Hash-Datenbank abgeglichen, die ständig aktualisiert wird. Falls eine Datei unbekannt ist, wird sie in einer virtuellen Sandbox ausgeführt und analysiert, wodurch schädliches Verhalten rechtzeitig entdeckt wird. Barracuda ATP bietet Administratoren eine granulare, auf Dateitypen basierte Kontrolle, einschließlich automatischer Quarantäne- und Blocklisting-Funktionen, um den höchsten Schutz für das Netzwerk eines Unternehmens zu gewährleisten.

Barracuda SecureEdge kann IPS, Virenschutz, Application Control, URL-Filter und Advanced Threat Protection auf SSL-verschlüsselten Datenverkehr im Web anwenden, indem es den standardisierten „Trusted Man-in-the-Middle“ verwendet. Die SSL Interception kann so eingestellt werden, dass lokale Netzwerke, Benutzer/Gruppen, URL-Filterkategorien oder benutzerdefinierte Domänen von der SSL-Überprüfung ausgenommen werden.

Das Intrusion Prevention System (IPS) von SecureEdge erhöht die Netzwerksicherheit erheblich, indem es einen vollständigen und umfassenden Echtzeit-Netzwerkschutz gegen eine breite Palette von Netzwerk-Bedrohungen, Schwachstellen, Exploits und Gefährdungen in Betriebssystemen, Anwendungen und Datenbanken bietet. Es wehr Netzwerkangriffe ab, wie z. B.:

• SQL-Injektionen und beliebige Codeausführungen
• Zugriffskontrollversuche und Privilegienerweiterungen
• Cross-Site Scripting und Buffer-Overflows
• Denial of Service(DoS)- und Distributed Denial of Service(DDoS)-Angriffe
• Directory-Traversal-, Probing- und Scan-Versuche
• Backdoor-Angriffe, Trojaner, Rootkits, Viren, Würmer und Spyware

Barracuda SecureEdge ist daher in der Lage, raffinierte Umgehungsversuche und Verschleierungstechniken, die von Angreifern zur Umgehung und zur Täuschung herkömmlicher Intrusion-Prevention-Systeme eingesetzt werden, zu erkennen und zu blockieren.

Automatische Signatur-Updates werden regelmäßig oder bei Notfällen, wenn sich neue Schwachstellen auftun, außerplanmäßig bereitgestellt. So bleibt Barracuda SecureEdge immer auf dem neuesten Stand.

SecureEdge setzt Security mit ACLs, Application Control, URL-Filterung, AV und Advanced Threat Protection vollständig durch und ermöglicht so Netzwerksegmentierung und -kontrolle innerhalb von Azure Virtual WAN. Dadurch werden Sicherheitsgruppen, eine Azure Firewall oder Azure-Security-Partner überflüssig und durch eine einzige flexible Lösung ersetzt, die einfach zu bedienen und kosteneffizient ist. SecureEdge bietet darüber hinaus eine beispiellose Transparenz des gesamten eingehenden und im virtuellen WAN erzeugten Datenverkehrs in Echtzeit.

Adaptive Session Balancing gewährleistet über alle SD-WAN-Standorte hinweg für alle verschlüsselten Tunnel die Verwendung des besten verfügbaren Uplinks für das jeweilige Anwendungsprofil. Wenn der Integritätszustand des ursprünglichen Uplinks wiederhergestellt wurde, wird der verschlüsselte SD-WAN-Verkehr transparent auf diesen Uplink zurückgeschaltet. Anwendungsbasiertes Routing, das die Ergebnisse der dynamischen Bandbreiten- und Latenzerkennung berücksichtigt, wendet das selbe Konzept für ausgehenden Internet-Traffic an, um sicherzustellen, dass SaaS-Anwendungen wie Office 365 immer den besten verfügbaren Uplink nutzen, selbst wenn sich die Bedingungen häufig ändern.

Um das bestmögliche Benutzererlebnis im WAN zu erreichen, messen alle SecureEdge-Standortgeräte proaktiv die verfügbaren Bandbreiten und Latenzzeiten zwischen allen Internet-Uplinks und VPN-Endpunkten. Die Ergebnisse stehen direkt der Sicherheits- und SD-WAN-Policy-Engine zur Verfügung, um den am besten geeigneten Uplink pro Anwendung auszuwählen oder einen Uplink zu disqualifizieren, wenn die Bandbreite oder Latenzzeit außerhalb der akzeptablen Grenzen liegt.

Eine einzigartige Kombination aus Next-Generation-Security und adaptiver WAN-Routingtechnologie ermöglicht Barracuda SecureEdge die dynamische Zuweisung verfügbarer Bandbreiten-, Uplink- und Routinginformationen, die nicht nur auf Protokoll-, Benutzer-, Standort- und Content-Informationen basieren, sondern auch auf Anwendungen, Anwendungskategorien sowie Webinhaltskategorien. Dadurch bleiben teure, hochverfügbare Leitungen für geschäfts- und unternehmenskritische Anwendungen frei, die Latenzzeiten werden deutlich verringert und zusätzliche Bandbreite freigegeben.

Eine aktuelle Liste der Anwendungen und Teilanwendungen, die vom Application-Based Routing mit SecureEdge abgedeckt werden, finden Sie im Online Application Explorer.

Barracuda SecureEdge nutzt dynamische Bandbreiten- und Latenzerkennung, um vorhandene Sessions innerhalb logischer VPN-Tunnel über alle verfügbaren Uplinks automatisch auszugleichen. Dieses Echtzeit-Balancing optimiert die Netzwerkeffizienz und Bandbreitennutzung zu jedem beliebigen Zeitpunkt.

Wenn Dynamic Bandwidth und Latency Detection anzeigt, dass die gemessene Bandbreite eines Uplinks nicht ausreicht, um gewisse Formen des geschäftskritischen Datenverkehrs aufrechtzuerhalten (z. B. VoIP), verschiebt Barracuda SecureEdge automatisch Sitzungen für nicht geschäftskritischen Datenverkehr auf sekundäre Verbindungen, um Bandbreite für kritischen Datenverkehr freizugeben.

Secure SD-WAN zwischen Geräten von Barracuda Networks nutzt standardmäßig das TINA-Protokoll (Transport Independent Network Architecture), eine erweiterte Version des IPsec-Protokolls, das dessen bauartbedinge Limitationen beseitigt. Das TINA-Protokoll nutzt eine Kombination aus TCP, UDP und ESP für Hochgeschwindigkeits-VPN-Verbindungen und verbessert die VPN-Verbindungsleistung signifikant. Außerdem schafft das Protokoll Verbindungen von Endpunkt zu Endpunkt (nicht nur von einem Netzwerk zum anderen), liefert integrierte Kompatibilität mit NAT, HTTPS und SOCKS4/5 Proxies, unterstützt dynamische Adressen und bietet eine bessere VPN-Tunnelqualität mit fortschrittlichen dynamischen Heartbeat-Monitoring.

Mit dem optionalen USB LTE-Modem können SecureEdge-Standortgeräte die 4G/LTE-Konnektivität und die Mobilfunk-Infrastruktur nutzen, um Breitbandgeschwindigkeit als Ausfallsicherung oder in Load-Balancing-Konfiguration bereitzustellen. Standorte ohne kabelbasierte Breitbandoptionen, aber mit ausreichender Mobilfunkabdeckung, können das USB LTE-Modem als Hauptinternetverbindung nutzen. Das Barracuda USB LTE-Modem kann sogar für Zero-Touch-Deployment von SecureEdge-Standortgeräten in Regionen genutzt werden, wo noch kein kabelbasiertes Internet verfügbar ist.

Um den SASE-Service mit Leitungsgeschwindigkeit auf jedes Gerät am jeweiligen Standort auszuweiten und die mit gemeinsam genutzten Uplinks (z. B. Breitbandverbindung) einhergehenden Einschränkungen herkömmlicher SD-WAN-Technologien zu umgehen, bietet SecureEdge eine Uplink-Optimierungstechnologie mit Forward Error Correction und automatischer Regulierung des Datenverkehrs. Dies ermöglicht eine effektivere Nutzung der verfügbaren physischen Bandbreite und die Ausweitung der Vorteile von SD-WAN auf Standorte mit einzelnen Uplinks sowie eine optimierte Nutzung von gemeinsam genutzten Uplinks.

Der Barracuda SecureEdge SASE-Service ist entweder als SaaS verfügbar, der direkt von Barracuda Networks verwaltet wird, oder als SecureEdge für Virtual WAN in Microsoft Azure, der von Microsoft verwaltet wird, bzw. als virtuelle und Hardware-Geräte, die vom Kunden oder vertrauenswürdigen Partner verwaltet und gehostet werden. Unabhängig von der Art der Bereitstellung erfolgt das gesamte gezielte Konfigurationsmanagement über das SecureEdge Manager-Cloud-Portal. Der Service kümmert sich dann um die Weitergabe und Durchsetzung der Änderungen an jedem Service-Edge, jedem Standort bzw. für jeden Benutzer oder jedes Objekt.

Sobald es angeschlossen und eingeschaltet ist, nutzt jedes Standortgerät automatisch alle verfügbaren Uplinks, um eine Verbindung zum SASE-Service herzustellen. Da die SD-WAN-Richtlinieneinstellungen für Tausende gängiger Geschäftsanwendungen vordefiniert sind, gewährleisten die Geräte, dass immer der beste Uplink-Pfad für die Anwendung verwendet wird.

Barracuda SecureEdge Service und SecureEdge Access Agent bieten sicheren Zugriff gemäß Zero-Trust-Prinzipien auf jede private oder SaaS-Anwendung, unabhängig davon, wo sie gehostet werden. Zero Trust Network Access (ZTNA) bietet Benutzern Zugriff auf Geschäftsanwendungen mit den geringsten Privilegien und minimiert so das Geschäftsrisiko. Die Zero-Trust-Security von Barracuda SecureEdge etabliert eine beispiellose Zugriffskontrolle für sämtliche Anwender und Geräte, ohne die Leistungseinbußen eines herkömmlichen VPN. Es bietet Fernzugriff, bedingten und kontextabhängigen Zugriff auf Ressourcen und reduziert den Zugriff mit übermäßigen Berechtigungen und die damit verbundenen Risiken für Dritte.

Die Verbindung zu Unternehmensressourcen leidet häufig unter den Einschränkungen, die durch gemeinsam genutzte verlustbehaftete Internet-Breitbandleitungen verursacht werden. Die Optimierung der letzten Meile für den Anwendungsdatenverkehr über SecureEdge optimiert das Endbenutzererlebnis, indem Paketverluste reduziert werden und ein größerer Teil der verfügbaren Bandbreite für gemeinsam genutzte Leitungen verwendet wird, was die Qualität von Sprach- und Videoanrufen verbessert. Die zugrunde liegende Technologie zur Behebung von Paketverlusten basiert auf zufälligen linearen Netzwerkcodes (Random Linear Network Codes, RLNC), einem neuen Schema zur algorithmischen Programmierung, das viel schneller auf Verluste reagiert, diese im Handumdrehen behebt und so weniger Neuübertragungen erfordert und den Overhead auf den Geräten reduziert.

Die SecureEdge Access Agent-App ist für alle Desktop- und Mobilplattformen verfügbar und bietet einheitliche Sicherheit und ZTNA-Funktionalität. Das Beste daran: Die Lizenzierung erfolgt benutzerbasiert und deckt bis zu 5 Geräte pro Benutzer ab.

Die Rückführung des gesamten Datenverkehrs zu einem zentralen Zugangspunkt kann Auswirkungen auf latenzempfindliche Anwendungen wie Microsoft 365 oder Zoom Call haben. Um die bestmögliche Servicequalität zu bieten, ermöglicht SecureEdge die Definition von Anwendungen, die sich direkt mit solchen Diensten verbinden können, und welcher Anwendungsverkehr zur weiteren Verarbeitung zurückgeleitet werden soll.

Die integrierte Optimierung des Internetverkehrs vom Service zum SASE-Agenten ermöglicht es den Endgeräten, mehr von der verfügbaren Bandbreite auf gemeinsam genutzten Internetleitungen zu nutzen und so die Anwendungsleistung zu verbessern. Die zugrunde liegende Technologie zur Behebung von Paketverlust basiert auf zufälligen linearen Netzwerkcodes (RLNC), einem leistungsstarken Codierungsschema. Algorithmen auf RLNC-Basis reagieren wesentlich schneller auf Verluste und beheben diese schneller ad hoc, benötigen daher weniger Neuübertragungen von Paketen und reduzieren die Betriebskosten für Geräte.

Die sichere Web-Gateway-Funktionalität des SecureEdge Service wird auf den Endpunkt mit dem SecureEdge Access Agent für Secure Internet Access (SIA) erweitert. Der Agent blockiert bekannte verbotene oder unerwünschte Webkategorien ohne weitere Überprüfung. Es gibt keinen Grund, diese Art von Daten-Traffic zur Überprüfung an die Cloud zu senden, wenn er am Endpunkt blockiert werden kann. Dabei kann es sich um Inhalte handeln, die mit der Einhaltung gesetzlicher Vorschriften oder von Unternehmensvorschriften in Konflikt stehen, bzw. um Websites, die als bösartig bekannt sind. Dazu gehören sogar „ausgehende Anrufe“ von bösartiger Software, die sich bereits auf dem Gerät befindet und versucht, nach Hause zu telefonieren. Der Zugriff auf „bekanntermaßen gute“ SaaS-Anwendungen ist standardmäßig zulässig, ohne dass er zur Sicherheitsüberprüfung an den Cloud-Dienst gesendet wird. Kunden haben die volle Kontrolle, indem sie den Zugriff über mehr als 100 Inhaltsfilterkategorien und Tausende von Anwendungsdefinitionen aktivieren oder deaktivieren.

Eine vollständige Sicherheitsüberprüfung wird für Anwendungen und Websites durchgeführt, die weder als gut noch als schlecht bekannt sind oder die die IT-Abteilung nur aus Compliance-Gründen vollständig überprüfen muss. Der Datenverkehr zu und von diesen Zielen wird automatisch für eine umfassende Sicherheitsüberprüfung der nächsten Generation an den SecureEdge Service gesendet, einschließlich IPS, Deep SSL Inspection und Advanced Threat Protection über die Barracuda BATP Cloud.

Die Content-Filterfunktion von SecureEdge ermöglicht Ihnen das Erstellen und Durchsetzen wirksamer Content- und Zugangsrichtlinien für das Internet mit hochgranularem Echtzeit-Einblick in die Online-Aktivität, aufgeschlüsselt nach einzelnen Benutzern und Anwendungen. Sie schützt die Produktivität der Benutzer, blockiert Malware-Downloads und andere webbasierte Bedrohungen und unterstützt die Compliance, indem der Zugriff auf unerwünschte Websites und Server blockiert wird. Dadurch bietet diese Option neben der Application Control eine zusätzliche wichtige Sicherheitsebene.

SecureEdge-Dienste und SecureEdge-Site-Geräte umfassen vorgefertigte englischsprachige Wörterbücher mit Schlüsselwörtern und Phrasen im Zusammenhang mit Belästigung, Waffen, Terrorismus und Pornografie. Administratoren werden benachrichtigt, wenn online nach Inhalten gesucht wird, die diese Schlüsselwörter oder Phrasen enthalten. Die Warnungen sind mit echten Netzwerkbenutzeridentitäten, Zeitstempeln, IP-Adressen und Suchbegriffen versehen, sodass die Quelle unabhängig von Online-Profilen leicht identifiziert werden kann. Benutzerdefinierte Schlüsselwörter zur Überwachung können einfach über die webbasierte Benutzeroberfläche hinzugefügt werden.

Auch wenn bösartige und unangemessene Websites blockiert werden, können Benutzer über beliebte Suchmaschinen weiterhin auf unangemessene Inhalte zugreifen. SecureEdge-Site-Geräte und SecureEdge-Dienste bieten die Möglichkeit, die SafeSearch-Option für die gängigsten Suchmaschinen und YouTube zu erzwingen. Da dies auf Netzwerkebene erzwungen wird, können Endbenutzer diese Einstellung nicht über ihre eigenen Konten manipulieren oder umgehen.

SecureEdge-Dienste und SecureEdge-Site-Geräte bieten die Möglichkeit, Online-Werbung transparent zu entfernen, ohne eine Blockierungsmeldung oder aufmerksamkeitsstarke Benachrichtigungen anzuzeigen.

Das unübertroffene globale Bedrohungsinformationen-Netzwerk von Barracuda nimmt riesige Mengen vielfältiger Echtzeit-Bedrohungsinformationen von Millionen von Datensammelpunkten auf der ganzen Welt auf. Barracuda CloudGen Access nutzt dieses System zur kontinuierlichen Verbesserung seiner Bedrohungserkennungs-Funktionen und um auf sich schnell entwickelnde Bedrohungstrends zu reagieren.

SecureEdge ist einfach einzurichten und erfordert keine speziellen IT-Kenntnisse. SecureEdge arbeitet mit einer intelligenten Standardkonfiguration, die für alle Cloud- und SaaS-Anwendungen geeignet ist. Der Service kann entweder als reine SD-WAN-Lösung neben bestehenden Firewalls oder als sichere SD-WAN-Lösung, die bestehende Firewalls ersetzt, an allen Standorten ausgerollt werden.

Mit Zero-Touch-Deployment können Sie SecureEdge Site Devices direkt von der Fabrik an den gewünschten Standort liefern lassen und in Betrieb nehmen, ohne dass IT-Personal vor Ort benötigt wird. Schließen Sie das Gerät an, schalten Sie es ein und es wird automatisch seine Konfigurationsdatei anfordern, empfangen und installieren. So können Sie SecureEdge Site Devices in weit verteilten Organisationsstrukturen äußerst einfach, schnell und günstig ausrollen. Für Standorte, an denen noch kein kabelbasiertes Internet verfügbar ist, kann das optionale Barracuda USB LTE-Modem den Rollout unterstützen.

Der SecureEdge Manager ermöglicht die zentrale Verwaltung über alle Regionen und alle Standorte in Ihrem globalen WAN hinweg, unabhängig von der Anzahl der Cloud-Zugangspunkte oder Standorte. Das zentrale Cloud-Portal bietet den höchsten Grad an Automatisierung und eine beispiellose Benutzerfreundlichkeit. Der SecureEdge Manager überwacht und optimiert kontinuierlich die Netzwerk-Performance, um eine unterbrechungsfreie Always-On-Konnektivität und hohe Service-Qualität für Ihren geschäftskritischen Datenverkehr und Ihre Applikationen zu gewährleisten.

Für Content-Filterung, Malware Protection, SSL-Überprüfung, IPS und Firewall-Regeln (ACLs) können Benutzer oder Gruppen mit Inklusionskriterien definiert werden. Sie können bestimmte Website-Kategorien für bestimmte Benutzer oder Gruppen zulassen (z. B. dem Marketing-Personal Zugang zu Facebook gewähren, die Website aber für alle anderen sperren) oder bestimmte Benutzer oder Benutzergruppen von IPS oder SSL-Scanning ausnehmen.

In der Vergangenheit waren Sicherheitslösungen entweder kompliziert in der Anwendung oder hatten keine ausreichenden Sicherheitsfunktionen. Firewalls und andere Sicherheitslösungen basierten auf der Zuweisung von Netzwerken, IP-Bereichen und Produktsicherheitsfunktionen zu diesen Netzwerken. Als Teil des Konzepts von SecureEdge Manager wurden für unsere vereinheitlichte SASE-Plattform absichtsbasierte Operationen von Grund auf entwickelt. Die Barracuda SecureEdge SASE-Plattform ist strikt benutzer-, gruppen- und anwendungsspezifisch. Remote-Benutzer können dadurch viel schneller auf private und öffentliche Cloud-Anwendungen und das Internet zugreifen.

Zusätzlich zu Tausenden vordefinierter Anwendungen können Sie mit der SecureEdge SASE-Plattform private Anwendungen erstellen, die überall gehostet werden können. Das geht schnell, ist einfach und muss nur einmal durchgeführt werden – und wird dann mit Security-, SD-WAN- und ZTNA-Richtlinien-Definitionen geteilt. Alle notwendigen Netzwerk- und Routing-Optimierungen werden völlig transparent im Hintergrund durchgeführt und automatisch auf jeden Standort, jeden Benutzer oder jede Dienstinstanz angewendet.

Die kleine SD-WAN-Connector-Anwendung ermöglicht die Anbindung beliebiger Cloud- oder lokaler Standorte, auf denen Windows- oder Linux-Dienste oder -Server für den direkten Anwendungszugriff über ZTNA laufen, und macht diese für Ihre Mitarbeiter verfügbar.

Azure Monitor und das ihm zugrunde liegende Azure Log Analytics sind die Lösung von Microsoft zur Erfassung, Überwachung, Analyse und Umsetzung von Telemetriedaten aus Anwendungen, die in Azure und in lokalen Umgebungen gehostet werden, und auch für entsprechende Netzwerk- und Sicherheitsausrüstung. So können Kunden die Analyse der Basisdaten automatisieren, Benachrichtigungen einrichten und durch maschinelles Lernen Einblicke gewinnen, mit denen sie schnell Probleme bezüglich Sicherheit und Konnektivität ihrer Cloud-Infrastruktur finden und beheben können, ohne die eigentlichen Geräte zu protokollieren. Sie können SecureEdge so konfigurieren, dass die für Sie relevanten Logdaten bezüglich Sicherheit, Konnektivität, SD-WAN und Point-to-Site zur weiteren Auswertung an Azure Log Analytics gesendet werden.

Azure Secured Hub ist ein abgesicherter Azure Virtual WAN Hub mit eigenen Sicherheits- und Routing-Richtlinien, die vom Azure Firewall Manager konfiguriert werden. Die Outbound Security wird dabei durch einen geprüften Azure Sicherheitspartner-Service gewährleistet. Barracuda SecureEdge bietet volle Kompatibilität zur Bereitstellung in diesen Szenarien und gewährleistet SD-WAN-Konnektivität und Next-Generation Firewall-Sicherheit für alle Standoerte, wie auch hochperformanten Private Access zu Cloud-Ressourcen für Endpunkte.

SecureEdge Manager bietet eine anpassbare und dennoch intuitive Dashboard-Oberfläche für einen schnellen Überblick über Benutzer, Bedrohungen, Aktivitäten im Netzwerk, Infrastrukturstatus und SD-WAN-Konnektivitätsstatus. Weitere Dashboards mit benutzerdefinierten Konfigurationen, die aus einer Auswahl von Dutzenden vordefinierter Kacheln bestehen, sind nur ein paar Klicks entfernt.