SG zu XG Migration
Wie migriert man eine SG Firewall? Unser Experte Christian Berg gibt in dieser News hilfreiche Tipps und Anregungen, damit der Umstieg von SG zu XG gelingt.
UTM steht für "Unified Threat Management". Die Idee dahinter: Warum soll eine Firewall nur Pakete filtern, wenn Sie doch viel mehr kann? So hat man im Laufe der Jahre Intrusion Prevention, URL-Filter, Antispam, Client VPN und viele weitere Funktionen auf einer gemeinsamen Hardware (in der Regel ein Cluster) betrieben. Man könnte UTM auch mit ELWS abkürzen - EierLegendeWollmichSau :-)
Aber was mache ich, wenn die eierlegende Wollmilchsau nicht mehr so ganz zu den heutigen Anforderungen passt? Oder im Falle von Sophos SG-Systemen, die ab diesem Jahr End of Sale und spätestens ab 2026 in den Zustand "unsupported" übergehen?
Wir gehen mal von einer mittelgroßen UTM Installation aus:
- 500 Mitarbeiter
- 1000 Geräte
- 150 Firewall Regeln und 50 NAT-Regeln
- IPS aktiv
- Webfilter aktiv (Web Protection)
- Zwei abgesicherte Webserver (Webserver Protection)
- Client-VPN mit Anbindung an lokales Active Directory
- 5 eigene Außenstellen über VPN zu kleinen SG-Firewalls
- 10 externe VPNs via IPSEC
- 5 Red-Anbindungen für Homeoffices
- Mail Security für einen lokalen Exchange Server
- 10 Accesspoints
Die Gretchenfrage Nummer 1: Bigbang Umstellung oder Schritt für Schritt?
Bigbang würde bedeuten:
Ihr migriert ALLES auf ein neues XGS Cluster und schaltet das dann statt der alten SG an einem Wartungsfenster aktiv. Am besten seid Ihr dabei nicht vor Ort, denn aus der Ferne lässt sich das anschließende Kundentelefonat vermutlich besser ertragen. Denn in diesem Setup sind einfach zu viele Abhängigkeiten gegeben.
Um nur ein paar zu nennen:
- Die VPN-Clients werden nicht funktionieren
- Einige Accesspoints und REDs sind nicht unter XGS oder in Sophos Central unterstützt.
- Ob alle VPNs, Firewall Regeln mit NAT und Nextgen Funktionen direkt danach laufen ist mehr als fraglich, denn vorherige Tests waren unter diesen Umständen schwer möglich.
Ein System mit 20 Regeln, ein paar Interfaces und reiner Web-Protection kann noch ad-hoc umgestellt werden. Ab einer gewissen Größe und Komplexität kommt ein SG Kunde nicht umhin, sich mit einer stufenweisen Migration auseinander zu setzen. Dabei gilt: Je besser man in die Planung investiert, desto eher gelingt eine sanfte Migration. Denn einige Umstellungen erfordern Zeit und Mitwirkung des Kunden, andere können vorab durchgeführt werden und wieder andere sind relativ einfach umsetzbar. In vielen Fällen ergibt sich der folgende Ablauf:
Die grau markierten Themenbereiche müssen vor der eigentlichen Umstellung berücksichtigt und können häufig parallel vorbereitet werden. Beim Umstellungstermin selbst wird in aller Regel die IP-Adressen des alten Systems übernommen. Dann wird es spannend. Funktionieren meine VPNs? Passt das Regelwerk? Was machen unsere Tests?
Tipp: Nehmt Euch ausreichend Zeit für den ersten Arbeitstag nach der Umstellung. Trotz bester Planung agiert man nun mal am Herzstück des Netzwerks und nicht jede Abhängigkeit kann direkt erkannt werden. Und wenn man dann in ruhiges Fahrwasser kommt: Feiert Euch ab, Ihr habt es verdient! Nach ein paar Tagen solltet Ihr aber auch überlegen, was man alles noch optimieren kann und gebaute Provisorien wieder auflösen. Sicher habt Ihr auch alles sauber dokumentiert :)
IT-Sicherheit ganzheitlich betrachtet
Sie brauchen Hilfe bei einem ganzheitlichen Cybersicherheitskonzept?
Unsere Leistungen finden Sie hier im Überblick. Bei Fragen vereinbaren Sie auf der Seite direkt einen Termin mit Ihrer Schweickert-Ansprechperson.
