Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 5 subscribers
  • Views 451 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos im RZ: Benutzer Authentifikation durch Client / TS /Citrix / ohne AV/EPP möglich?

Bernhard Sollfrank

Hallo zusammen,

für das komplexxe Thema konnte ich leider über die Suchfunktion nichts finden Slight smile

Wir planen eine Migration in ein Rechenzentrum, auf den bisherigen OnPremise-Clients haben wir als AV/EPP/EDR etc. Sophos Intercept-X.

In der Zentrale und in den Aussen-Standorten sind Sophos XGS (z.B. 3100) verbaut. Wir steuern und filtern dadurch unter anderem den Internet-Zugriff der physikalischen Clients auf Gruppen-/Benutzerebene.

Im neuen RZ soll nun Citrix XenApp / Storefront etc. verwendet werden (bisher haben die Benutzer der OnPremise-Citrix-Virtualisierung keinerlei Internetzugriff).

Der Plan war eigentlich, im RZ eine Sophos-XGS VOR deren Firewall zum Internet-Breakout installieren und die Citrix-Worker mit den Sophos-Clients zu versorgen. Das hat lizenzrechtliche und Verwaltungstechnische Gründe.

Für eine transparente Lösung dazu müssen sich die (Citrix-) Clients an der Firewall authentifizieren.

Der Sophos-Dienstleister hatte mir in der Presales-Phase mitgeteilt, dass es dazu einen einfachen Client gibt, der nichts anderes als das macht. Nach aktuellen Informationen wäre dieser aber inzwischen EOL und es müssten auf allen Clients (also auch auf den Citrix-Workern im RZ) Intercept-X installiert werden, die AV/EPP Funktion könnte dabei nicht deaktiviert werden.

Der RZ-Dienstleister sagt wiederum, dass er eine eigene AV-Lösung hat, beide gleichzeitig nicht laufen dürfen und er in diesem Falle eine weitere Segmentierung vornehmen müsste und sie dann keinerlei Verantwortung übernehmen würden. Kosten / Aufwand entsprechend.
Er würde mir aber natürlich gerne seine EDR/XDR-Lösung inklusive SOC und einen nicht-transparenten Proxy verkaufen, wo ich dann alle Policies doppelt einpflegen darf.

Dies würde meine Kosten um ca. 10EUR/User/Monat erhöhen und ich habe die Sophos-Lösung natürlich u.a. aus dem Grund erworben, dass die Lizenzierung pro User auf mehreren Geräten (u.a. auch auf der Citrix-Lösung) gilt. Bei 600 Usern ist das schon ein Batzen.

Des weiteren hätte ich natürlich Bock auf eine ganzheitliche Lösung, für die ich auch bisher schon ganz gut löhne.

Nun meine Frage:

Ist es tatsächlich so, dass eine Benutzer-Authentisierung gegenüber einer XGS ausschließlich über den Einsatz des Intercept-X Clients möglich ist, oder gibt es eine Lösung, dass der RZ-Betreiber seine AV-Lösung betreiben kann und wir den User gegenüber der Firewall authentifizieren können?

Oder kurz:

Werde ich veralbert?

Vielen lieben Dank für alle Eingaben Slight smile

VG Bernhard



This thread was automatically locked due to age.
  • 0

    Grundsätzlich kannst du mit dem Proxy und Legacy Technologien arbeiten (Keine DPI) oder mit dem Endpoint (server Protection). Bei Sophos Server Protection musst du nur den Server lizenzieren, nicht die Sessions auf dem Server. 

    Grundsätzlich würde ich immer schauen, die Hohheit über die Security im Unternehmen zu haben und entsprechend maßnahmen vornehmen zu können. Das klingt mir nach einem ausgelagerten SOC. Sophos würde sowas mit MDR auch anbieten, wenn daran Interesse besteht. Dort kannst du dann mit dem Intercept X Client auf dem Server auch die DPI Engine verwenden.

    Du kannst auch den alten Proxy verwenden, siehe: docs.sophos.com/.../index.html

    __________________________________________________________________________________________________________________

Unfiltered HTML