Hallo zusammen,
für das komplexxe Thema konnte ich leider über die Suchfunktion nichts finden 
Wir planen eine Migration in ein Rechenzentrum, auf den bisherigen OnPremise-Clients haben wir als AV/EPP/EDR etc. Sophos Intercept-X.
In der Zentrale und in den Aussen-Standorten sind Sophos XGS (z.B. 3100) verbaut. Wir steuern und filtern dadurch unter anderem den Internet-Zugriff der physikalischen Clients auf Gruppen-/Benutzerebene.
Im neuen RZ soll nun Citrix XenApp / Storefront etc. verwendet werden (bisher haben die Benutzer der OnPremise-Citrix-Virtualisierung keinerlei Internetzugriff).
Der Plan war eigentlich, im RZ eine Sophos-XGS VOR deren Firewall zum Internet-Breakout installieren und die Citrix-Worker mit den Sophos-Clients zu versorgen. Das hat lizenzrechtliche und Verwaltungstechnische Gründe.
Für eine transparente Lösung dazu müssen sich die (Citrix-) Clients an der Firewall authentifizieren.
Der Sophos-Dienstleister hatte mir in der Presales-Phase mitgeteilt, dass es dazu einen einfachen Client gibt, der nichts anderes als das macht. Nach aktuellen Informationen wäre dieser aber inzwischen EOL und es müssten auf allen Clients (also auch auf den Citrix-Workern im RZ) Intercept-X installiert werden, die AV/EPP Funktion könnte dabei nicht deaktiviert werden.
Der RZ-Dienstleister sagt wiederum, dass er eine eigene AV-Lösung hat, beide gleichzeitig nicht laufen dürfen und er in diesem Falle eine weitere Segmentierung vornehmen müsste und sie dann keinerlei Verantwortung übernehmen würden. Kosten / Aufwand entsprechend.
Er würde mir aber natürlich gerne seine EDR/XDR-Lösung inklusive SOC und einen nicht-transparenten Proxy verkaufen, wo ich dann alle Policies doppelt einpflegen darf.
Dies würde meine Kosten um ca. 10EUR/User/Monat erhöhen und ich habe die Sophos-Lösung natürlich u.a. aus dem Grund erworben, dass die Lizenzierung pro User auf mehreren Geräten (u.a. auch auf der Citrix-Lösung) gilt. Bei 600 Usern ist das schon ein Batzen.
Des weiteren hätte ich natürlich Bock auf eine ganzheitliche Lösung, für die ich auch bisher schon ganz gut löhne.
Nun meine Frage:
Ist es tatsächlich so, dass eine Benutzer-Authentisierung gegenüber einer XGS ausschließlich über den Einsatz des Intercept-X Clients möglich ist, oder gibt es eine Lösung, dass der RZ-Betreiber seine AV-Lösung betreiben kann und wir den User gegenüber der Firewall authentifizieren können?
Oder kurz:
Werde ich veralbert?
Vielen lieben Dank für alle Eingaben
VG Bernhard
This thread was automatically locked due to age.
