Ich habe mit einiger Überraschung das Interview mit Jay Chaudry, CEO von Zscaler, in CRN gelesen, in dem er erklärte, dass die „Netzwerk-Firewalls den Weg des Mainframes gehen werden“, dass das „Netzwerk nur Klempnerarbeiten durchführt“ und dass die Zscaler-Proxy-Overlay-Architektur sie durch ihre „Anwendungszentrale“ ersetzen wird.
Nun, unsere gemeinsame Geschichte in der Netzsicherheit lehrt uns eine ganz andere Lektion. Dies ist meine Meinung.
Das erste Mal traf ich Jay Chaudry 1995 in einem Büro in Atlanta. Wir begannen mit dem Aufbau des Check Point-Partnernetzwerks, und Jay hatte gerade SecureIT gegründet, ein Unternehmen für Vertriebspartner, Dienstleistungen und Schulungen rund um unser Produkt.
bJay war schon immer ein Visionär. Er wettete, dass die Check Point-Netzwerk-Firewall etablierte Firewall-Player wie Raptor, Gauntlet TIS und Sidewinder schlagen würde. Kennen Sie einen dieser Namen? Wahrscheinlich nicht. Es handelte sich hierbei um Proxy-Firewalls, die bestimmte Anwendungen mithilfe von anwendungsspezifischem Code schützten und zu dieser Zeit marktführend waren. Jay verstand richtig, dass eine universellere Firewall, die Netzwerk-Firewall, diesen Kampf gewinnen würde, indem sie die Sicherheit direkt in das Netzwerk einbettet und den gesamten Datenverkehr prüft, nicht nur den Anwendungsdatenverkehr.
Die Netzwerk-Firewall wurde anfangs mit Skepsis betrachtet und nur Visionäre wie Jay sahen die Zukunft. Mit der zunehmenden Verbreitung von Protokollen und Anwendungen und der wachsenden Komplexität des Sicherheitsstacks war es jedoch klar, dass die Netzwerk-Firewall die beste Lösung war. Die Proxy-Firewalls wurden abgeschafft. Jay hat die richtige Entscheidung getroffen, als er sein Unternehmen um die Check Point-Netzwerk-Firewall herum aufbaute, und nutzte diesen Erfolg und seinen Unternehmergeist, um Zscaler zu gründen.
Zscaler bietet ein sicheres Web-Gateway (SWG) als Dienstleistung an. Es löste ein dringendes Problem: Die Nutzer wünschten sich einen direkten Internetzugang von jedem Ort aus, ohne dass ein Backhaul zu den VPN-Konzentratoren des Unternehmens oder den Firewalls des Rechenzentrums erforderlich war. Da das öffentliche Internet das zugrundeliegende Netzwerk ist, bestand die einzige Option für Zscaler darin, seine Lösung als Overlay-Proxy aufzubauen.
Infolge von SWG entstand der Bedarf an CASB, das die gleiche Proxy-Architektur wie SaaS-Anwendungen verwendet. Schließlich verwendete ZTNA denselben Ansatz für den Zugriff auf private Anwendungen in Rechenzentren. Aus dieser Entwicklung entstand ein milliardenschweres Sicherheitsunternehmen. Doch mit dem Auftauchen dieser verschiedenen Produkte wuchs auch die Komplexität. Die Unternehmen mussten ihre MPLS-Netzwerke, SD-WANs und Netzwerk-Firewalls instand halten und darüber die SWG-, CASB- und ZTNA-Proxys legen.
Diese komplexe Realität wollten Gur Shatz und ich ändern, als wir 2015 Cato Networks gründeten. Wir schufen die Architektur und die Kategorie, die Gartner später als SASE bezeichnen würde, und erklärten sie zur Zukunft von Wide-Area-Netzwerken und Netzwerksicherheit. Die Idee hinter Cato ist einfach. Wir wollten einen Cloud-Service schaffen, der die Netzwerk- und Netzwerksicherheitsfunktionen von Appliances und die von Proxys wie SWG, CASB und ZTNA zusammenführt. Der resultierende Cloud-Service wird diese Funktionen über eine Single-Pass-Architektur verfügbar machen, die elastisch auf der ganzen Welt und an allen Rändern bereitgestellt wird – physische Standorte, Cloud- und physische Rechenzentren, Remote-Benutzer, IoT usw. Ähnlich wie ein AWS für Netzwerke und Sicherheit ermöglicht es Cato SASE Unternehmen, diese Funktionen zu nutzen, ohne den Stack zu besitzen, der sie bereitstellt. SASE ermöglicht es jeder konvergenten Fähigkeit, zur Effektivität aller anderen beizutragen. Das Netzwerk bietet eine 360-Grad-Sichtbarkeit mit einem vollständigen Echtzeit-Kontext, der Echtzeit-Entscheidungen und eine präzise Erkennung und Reaktion ermöglicht.
Was Gur und ich im Wesentlichen geschaffen haben, war ein völlig neuer Formfaktor der Netzwerk-Firewall, der für die Cloud entwickelt wurde. Ich hatte das Glück, zusammen mit Gil Shwed das erste Projekt zu entwickeln: den Software-Formfaktor, der Firewall-1 genannt wurde. Ich hatte das Glück, den ersten Scheck an Nir Zuk auszustellen, der den zweiten Formfaktor der konvergenten NG-Firewall-Appliance bei Palo Alto Networks entwickelte. SASE und seine Umsetzung durch Cato sind der dritte Formfaktor: das Secure Cloud Network.
Jay, Firewalls werden bleiben, nur in einem anderen Formfaktor. Es ist der Proxy-Ansatz von Zscaler, der verschwinden wird. Sie wussten es schon vor 28 Jahren besser; Sie sollten es auch jetzt besser wissen.
Shlomo Kramer
Shlomo ist Mitbegründer und CEO von Cato Networks. Er ist Netzwerksicherheitsexperte und Multiunternehmer. Shlomo ist Mitbegründer von Check Point Software, dem Entwickler der ersten kommerziellen Firewall, und Imperva, dem Erfinder der Web Application Firewall. Shlomo hat frühzeitig in äußerst erfolgreiche Unternehmen für Unternehmenssoftware investiert, darunter Palo Alto Networks, Trusteer, Gong und zahlreiche mehr.