Eine komplette Security-Umgebung im Würfelformat

Eine komplette Security-Umgebung im Wuerfelformat - Bild 1

4. Juni 2022 - Boll hat mit der Security Fabric as a Rack zu Demo- und Schulungszwecken eine komplette Sicherheitsumgebung in Form eines kompakten Würfels gebaut. Wir haben uns mit Ruedi Kubli, der den Würfel initiiert hat, über seine Idee unterhalten.

Boll Engineering hat die Security Fabric as a Rack vorgestellt und beweist damit, dass der Begriff Engineering nicht umsonst den Namen des Security-VADs ziert. Bei der Security Fabric as a Rack handelt es sich nämlich um eine Eigenentwicklung, hinter der massgeblich Ruedi Kubli steckt, seines Zeichens Sales Engineer und seit rund anderthalb Jahren für Boll tätig. «Swiss IT Reseller» hat sich mit dem Tüftler unterhalten.

«Swiss IT Reseller»: Bevor wir auf das Rack zu sprechen kommen, das Sie entwickelt haben: Können Sie zum Einstieg ausführen, worum es bei der Security Fabric geht und welche Herausforderung damit adressiert wird?
Ruedi Kubli:
Eine grundsätzliche Herausforderung für Unternehmen ist, dass es immer komplexer wird, ein Sicherheitsdispositiv aufzustellen, mit dem man sich wirksam gegen die zunehmenden Angriffe verteidigen kann. Es gilt den Endpoint zu sichern, die Server-Systeme, den Perimeter, der mit einer Firewall geschützt werden will, mobile Komponenten, WLAN, eine Switch-Architektur, über die all die Komponenten ins Netzwerk integriert werden, und meist noch einiges mehr. Dabei wird in der Regel eine Vielzahl von Herstellern eingesetzt, die mal besser, mal schlechter zusammenspielen, aber selten zentral gemanagt werden können. An dieser Stelle kommt Fortinet ins Spiel. Fortinet deckt – in meinen ­Augen als einer von wenigen Herstellern – weitgehend das gesamte Produktportfolio ab, mit dem sich alle Bereiche schützen lassen – vom Netzwerk inklusive WLAN über den Perimeter und die Server-Systeme bis hin zum Endpoint. All die verschiedenen Komponenten kommunizieren miteinander und werden in der Security Fabric zusammengebracht, wo sie über ein einheitliches Interface verwaltet und konfiguriert werden können. Als Herz einer Security Fabric dient dabei die Fortinet-Firewall, um die dann die Umsysteme gebaut werden – Switch-Komponenten, WLAN-Komponenten, Endpoint-Komponenten, Incident-Detection- und Response-Lösungen, eine VPN-Lösung bis hin zu Management- und Analyse-Tools.
(mw)

Und Sie haben diese Security Fabric nun in ein Rack gepackt und portabel gemacht. Was war Ihre Idee dabei?
Eine Schwierigkeit, wenn man das Security-Fabric-Konzept einem Endkunden oder einem Partner demonstrieren will, liegt darin, dass man jeweils verschiedene Komponenten braucht – phyische wie virtuelle. Man braucht eine Firewall, idealerweise einen Switch, und eine WLAN-Komponente. Zudem sollte man einen VPN-Client demonstrieren können und benötigt die Verwaltungs- und Analyselösungen Fortimanager und Fortianalyzer, die als virtuelle Maschinen laufen. Das bedeutet, man braucht physische Hardware, die mit einer Virtualisierungsplattform kommunizieren kann – was zu Demonstrationszwecken in einer produktiven Umgebung nicht ganz einfach aufzubauen ist. Vor allem die Anbindung an die virtuelle Maschine ist herausfordernd. Mein Gedanke war deshalb, dass ich im Idealfall eine Lösung habe, die all die benötigten Komponenten vereint – und das möglichst kompakt in einem Würfel verpackt.

Was umfasst die Security Fabric as a Rack denn alles?
Wir verbauen einen Mini-PC, auf dem die virtuellen Instanzen laufen. Dann haben wir eine Fortigate-Firewall integriert, einen WLAN Access Point verbaut, genauso wie einen Switch. Ausser­dem steckt eine Stromschiene im Würfel, sodass sich das gesamte Rack mit nur einem Kabel anschliessen lässt und alle Komponenten einer Security Fabric in diesem kleinen Rack stecken.

Und dieses Rack soll primär zu Demonstrations- und Trainingszecken dienen?
Genau, mit der Security Fabric as a Rack soll ein System Engineer – egal ob seitens Partner oder beim Endkunden – die Möglichkeit erhalten, mit der Lösung herumzuspielen und sich damit vertraut zu machen, ohne dass er mit einer produktiven Infrastruktur in Berührung kommt. Für den Partner bietet die Lösung ausserdem einen Weg, das Konzept der Security Fabric seinen Endkunden ganz einfach vorzustellen, ebenfalls ohne in irgendeiner Form auf die Infrastruktur ebendieses Endkunden zugreifen zu müssen. Man braucht theoretisch noch nicht einmal zwingend einen Internetzugang, respektive es besteht die Möglichkeit, einen mobilen Router im Rack zu verbauen, um übers Mobilnetz autonom online zu gehen.
(mw)

Und man kann die Security Fabric – eine Lösung, die auf dem Papier vielleicht eher schwierig greifbar ist – erlebbar machen?
Genau. In einer zunehmend virtuellen Umgebung Produkte zu präsentieren, wird immer mehr zur Herausforderung. Mit dem Rack können wir zeigen, welche physischen Komponenten zu einer Security Fabric gehören, und welche virtuellen Komponenten Teil davon sind. Zudem kann man aufzeigen, dass Fortinet mehr ist als nur eine Fire­wall, dass der Hersteller das ganze Lösungsspektrum abdeckt.

Die Komponenten, die in der Security Fabric as a Rack verbaut werden, sind vordefiniert? Oder kann ein Partner selbst auswählen, was im Rack verbaut wird?
Grundsätzlich ist das Rack ausgelegt auf die Desktop-Komponenten, die wir verbaut haben und die wir auch häufig verkaufen. Natürlich wäre es möglich, auch andere Komponenten zu verbauen, sofern das Design respektive die Grösse des Racks dies zulassen. Wie gesagt kann man das Rack auf Wunsch beispielsweise um einen Internetzugang via Fortiextender mit SIM-Karte erweitern. Zudem haben wir die Idee, das Rack um Operational-Technology-Komponenten erweitern zu können, bei denen es darum geht, Systeme im Industriebereich abzusichern. Fortinet hat Komponenten im Angebot, mit denen sich Industrieprotokolle in der Produktion überwachen lassen. Das kann man mit dem Rack ebenfalls zeigen. Denkbar wäre zum Beispiel, dass man zu Demonstrationszwecken eine digitalisierte Eisenbahnanlage aufbaut und zeigt, wie diese gesteuert oder geschützt werden kann. Oder man macht dasselbe mit einer Pumpe, die einen Ballon füllt. Die Möglichkeiten sind vielfältig.

Könnte ein Endkunde die Security Fabric as a Rack auch produktiv einsetzen?
In der Theorie schon, dafür gemacht ist sie allerdings nicht. Ein produktiver Einsatz ist allein schon aus Single-Point-of-Failure-Überlegungen nicht ratsam. So ist beispielsweise der Mini-Rechner, auf der die virtuellen Instanzen laufen, nicht redundant ausgelegt. Aber was die Komponenten angeht wäre es absolut möglich, die Security Fabric as a Rack auch produktiv einzusetzen. (mw)

Welche Partner werden die Möglichkeit haben, eine Security Fabric as a Rack zu beziehen? Nur die Fortinet-Reseller von Boll Engineering?
Wir stellen keine Bedingungen bezüglich dessen, welcher Partner ein Rack beziehen darf. So ist die Lösung ja auch für Reseller prädestiniert, die bis anhin noch keine Erfahrungen mit Fortinet gemacht haben. Das Einzige, das sie dafür tun müssen ist, sich bei Fortinet als Partner zu registrieren, um so die NFR-Komponenten zu erhalten. Für bestehende Fortinet-Partner dürfte das Rack vor allem spannend sein, um bei den Endkunden eine Demo-Umgebung aufstellen zu können oder um neue Mitarbeitende im geschützten Rahmen Erfahrungen mit Fortinet sammeln zu lassen.

Wie viel kostet die Lösung denn?
Die Kosten belaufen sich auf rund 2500 bis 3500 Franken pro Rack – je nach Ausstattung. Wobei die Hälfte der Komponentenkosten auf den Mini PC entfallen, den wir verbauen. Denn der PC braucht doch eine gewisse Leistung, um alle die Virtuellen Maschinen betreiben zu können.

Wird Boll auch Trainings rund um die Security Fabric as a Rack anbieten?
Im Trainingsbereich stellen wir aktuell Überlegungen an, ob wir eintägige Einführungskurse für die gesamte Security Fabric organisieren wollen, bei denen wir jedem Teilnehmer ein Rack auf den Tisch stellen, um den Teilnehmern einen ersten Einblick in das Konzept der Security Fabric zu geben – und das nicht aus Marketingperspektive, sondern mit Fokus auf den realen Einsatz.

(mw)

Wurden Sie respektive Boll bei der Entwicklung des Racks von Fortinet unterstützt?
Nein, das Konzept des Racks haben wir im Team in Eigenregie entwickelt. Ich habe mich dann an einem Wochenende hingesetzt, mich mit einem CAD-Programm vertraut gemacht und einen Prototypen zu zeichnen begonnen, den ich dann auf dem 3D-Drucker eines Bekannten ausgedruckt habe – in allen möglichen Farben mit den Filamenten, die wir gerade vorrätig hatten.

Haben Sie die Lösung ersten Partnern von ­Ihnen bereits gezeigt?
Wir hatten unseren Prototypen am Fortinet Security Day im letzten Herbst mit dabei, der damals auf viel Interesse stiess und uns letztlich dazu bewogen hat, mit der Entwicklung weiterzumachen.

Und wie viele Racks wird Boll nun bauen?
Das Ziel ist, vorerst 50 Racks als Kleinserie zu produzieren. Sobald diese gebaut sind, werden wir die Racks unseren Partnern anbieten, und sind dann gespannt, wie sie vom Markt aufgenommen werden. Abhängig davon entscheiden wir dann, wie es weitergehen soll.

Wäre die Rack-Idee eigentlich auch mit anderen Herstellern möglich?
Theoretisch schon. Man könnte die Einschübe auf die Produkte eines anderen Herstellers anpassen und dann dessen Komponenten verbauen. Aber wie bereits erwähnt bieten nur wenige Hersteller die Produktbreite, wie Fortinet es tut. (mw)

Copyright by Swiss IT Media 2023