Studerus-Blog

Nebula Together – neu mit Zyxel USG FLEX

Geschrieben von Stefan Ziffermayer | 26.5.2021

Unter dem Slogan «Nebula Together» setzt Zyxel einen Meilenstein: Welcome «Nebula Cloud Center NCC v11» und Firewalls USG FLEX in der Cloud!

Die Vorteile eines zentralen, Cloud-basierten Netzwerkmanagements sind nicht von der Hand zu weisen: Verwaltung, Überwachung und Intervention – zu jeder Zeit, von überall her mit einem einzigen Nebula-Login. Als erstes interessiert das Site-spezifische Dashboard: Hier hat man einen vollumfänglichen Überblick der wichtigsten Informationen über den Zustand der Netzwerkkomponenten wie Security-Gateways, Switches und Access-Points, deren Auslastung und deren verbundenen Clients. Aber wie sicher ist der Netzwerkverbund?

Together: Zyxel USG FLEX in Nebula
Schon bei der Lancierung von Nebula im Jahr 2016 standen Firewalls der NSG-Serie für einfachere Einsatzszenarien zur Verfügung. Die Nachfolger-Serie USG FLEX bringt nun einen bedeutenden Schub des Funktionsumfangs. Voraussetzung ist deren Firmwarestand von mindestens ZLD 5.0. Damit können die USG FLEX wahlweise im Standalone-Modus (On-Premises) oder in Nebula konfiguriert und verwaltet werden.

Die Tabelle gibt einen summarischen Überblick über die erhebliche Erweiterung des Funktionsumfangs mittels der USG FLEX gegenüber der Vorgänger-Serie NSG.

Feature-Übersicht Nebula

Features
NSG USG FLEX
Additional Port Grouping
  ✔️
WAN Interface – MTU
  ✔️
WAN Connectivity Check – 2nd IP Check
  ✔️
1:1 NAT – Allowed IP & Port
  ✔️
VPN Orchestrator (Area)
✔️ ✔️
Server and Client VPN
✔️  
Remote Access VPN – Enable both VPN
✔️ ✔️
Remote Access VPN – Dynamic DNS
  ✔️
Remote Access VPN – Edit IPSec VPN proposal
  ✔️
IPSec VPN with Google Auth.
  ✔️
Anti-Malware: Scan Mode
  ✔️
Content Filtering – Multiple Profiles
  ✔️
Applications (Page)
✔️ ✔️
Security Profile Sync
  ✔️
Remote AP
  ✔️
Collaborative Detection & Response
  ✔️
Google Authentication
  ✔️

 

Together: Mit dem Zero-Trust-Sicherheitsprinzip
Oder mit anderen Worten gesagt: «Trau’ niemandem und nichts – sei sicher!»
Mit diesem Konzept werden den Bedrohungen, die aus dem Zugang zum Netzwerk entstehen können, gemeinsam ganzheitlich Rechnung getragen. Die wesentlichen Elemente dabei sind:

  • 2FA – Zwei-Faktor-Authentifizierung: Das Nebula-Login kann schon seit einiger Zeit mit 2FA zusätzlich sicherer ausgelegt werden. Neu lässt sich auch der VPN-Access ins Netzwerk mit 2FA absichern.
  • CDR – Collaborative Detection & Response (Kooperative Verteidigung des Netzwerks): Sicherheitsbedenkliches Verhalten von WLAN-Clients kann mit CDR erkannt werden und die Clients werden in einem Quarantäne-VLAN isoliert.
  • SecureWiFi (Remote AP): Mit dieser Funktionalität kann einem aktuell gängigen Szenario begegnet werden: dem sicheren Zugang zum Unternehmensnetzwerk. Möglich macht dies ein Nebula-Flex-Access-Point im Home-Office. Eine unternehmensspezifische SSID wird per sicherem GRE-Tunnel verbunden. Der Zugang kann noch mit 2FA abgesichert werden. Eine zusätzliche SSID mit lokalem Internet-Zugriff lässt sich für die anderen Home-Office-Mitbewohner und Gäste einrichten.

Together: In jedem Fall? – Das passende Szenario wählen
Eine Cloud-basierte Konfiguration einer USG FLEX wird die Granularität der Konfigurationsmöglichkeiten im Standalone-Modus nicht abbilden. Sie ist aber sehr geeignet für neue Installationen mit eher einfacheren Anbindungen. Auch ist nicht zu erwarten, dass bestehende Geräte-Parks von USG FLEX im Standalone-Modus mit beispielsweise komplexen VPN-Umgebungen nun systematisch zu Nebula migriert werden. Dies wird nur schon deshalb nicht geschehen, weil eine bestehende Standalone-Konfiguration nicht in Nebula übernommen werden kann (Factory Reset).

Together: Organisationen zusammen verwalten mit dem neuen MSP-Portal
Das bisherige MSP-Portal für «Managed Services Provider» bot eine zentrale Übersicht aller Organisationen, bei welchen man über die Administratoren-Rechte verfügte. Ebenso konnte man den Zustand aller Geräte (up/alert/down) dieser Organisationen einsehen.
Mit NCC v11 wurde das MSP-Portal um mächtige Funktionalitäten erweitert (eine Auswahl):

  • Organisationen, deren Owner man ist, können in Gruppen zusammengefasst werden.
  • Innerhalb dieser Gruppen und zwischen Gruppen können Konfigurationen geklont werden.
  • Gruppenweit können Administratoren und ganze Administratoren-Teams verwaltet werden.
  • Gruppenweit lässt sich das ganze Device-Inventar überblicken.

Das neue MSP-Portal kann mit einer Accountbasierenden Lizenz freigeschaltet werden.

Together: Alle Service-Portale zusammengeführt
Das Nebula-Login ist das SSO (Single-Sign-on) zu allen weiterführenden Service- und Tool-Portalen wie etwa zu myzyxel.com für die generelle Geräteregistrierung und -verwaltung oder SecuReporter.


SecuReporter ist ein mächtiges, intuitiv zu bedienendes Analyse- und Reporting-Portal, das einen summarischen Überblick über das Nutzungsverhalten der User und die aktuelle Bedrohungslage, wie sie von den UTM-Services aufgedeckt wurde, bietet. Von hier aus lassen sich granulare und verfeinerte Analysen vornehmen.

Nebula Together: Ausblick
Die Arbeiten an den zukünftigen NCC-Versionen sind im vollen Gange. Für den Juni 2021 ist zum Beispiel die Unterstützung von SIP-ALG für eine reibungslose Integration von VoIP-Anbindungen angesagt. Zum Herbst 2021 wird «Nebula Together» auch für die Zyxel-ATP-Serie angeboten. Wie bereits heute im Standalone-Modus, werden dann auch in Nebula Sandboxing-Funktionalität und IP-Reputations-basierende Dienste unterstützt sein. Auch die Zyxel USG20-VPN, das Einsteiger-
modell für kostengünstige Remote-Anbindungen, wird zu diesem Zeitpunkt zur Nebula-Familie
stossen.

Hier finden Sie die USG-FLEX-Firewalls: studerus.ch/usg-flex-firewalls