WAF und FQDN

Sorry, ungenau gewünscht, die erwähnten fehlenden Features beziehen sich auf die XGS. Hab das korrigiert.

Also, ich habe mit der ZTNA as a Service eine bessere Implementation von Clientless Apps gefunden. Als Sophos Partner kann ich nur eine NFR empfehlen und das mal ausprobiereren. 
Wer das einmal genutzt hat, möchte keine WAF mehr zurück. 

Ok, ZTNA Agentless schau ich mir an, aber überwacht das ZTNA Gateway denn public Traffic wie die WAF (sprich SQL Injection, HTTP Injection) es tun SOLLTE? Evtl. sogar besser und sicherer?

Im Grunde nein. Weil das auch nicht die Aufgabe von einer ZTNA Lösung ist. ZTNA soll die Verbindung herstellen und absichern. Nicht was in der Verbindung passiert - Weil die Verbindung gilt als "gesichert" nachdem der User sich auch autorisiert hat. SQL Injection werden "selten" von Benutzern ausgeführt, die zum Unternehmen gehören. SQL Injection und andere Themen werden primär gefordert, wenn die Benutzer nicht bekannt sind: Webserver die im Internet stehen und wo unbekannte Benutzer darauf Surfen. Das ist weniger die Anforderung von ZTNA. 

Sieht du jetzt mein Problem :-) ZTNA hilft mir nicht, weil eben die Pakete nicht überwacht werden und WAF könnte es, kann aber kein FQDN :-(

Und ich werde gerade etwas nervös, wenn ich das hier lese:

30. Juni 2026 - Sophos SG-Serie End-of-Life und End-of-Support Hardware Appliances

Das heißt ihr habt jetzt 3 Jahre WAF zu fixen - ich sehe schwarz...

Welches Problem? Du hast einen Webshop hinter der WAF? Weil ich kann mir vorstellen, im Jahre 2023 kann es nicht mehr wirtschaftlich sein, einen on premise Webshop anzubieten, der eine WAF und ähnliches benötigt. Alle Ressourcen, die dafür notwendig sind (Material, Server, Strom, Lizenzkosten etc.) können in meinen Augen nicht mehr so günstig sein, dass onpremise gegenüber eine Cloud basierten Lösung anzubieten.

Daher die Frage, ob diese Art von "Ressource für alle (unbekannten) User" on premise weiterhin anbieten zu können, weiterhin hinter einer WAF on Premise passiert. 

Für die Applikationen, die einen bekannten Benutzer haben, das bedeutet, ich kenne die Person, eignet sich ZTNA sowieso besser. Dort kann ich nämlich Client und Server schützen und nutze nur den Transportlayer ZTNA mit Authentifizierung drüber gestülpt. 

Hallo LuCar Toni,

Such doch nicht ständig nach Ausreden für fehlende / fehlerhafte Funktionalität. Nimm uns doch mal ernst.

Wenn ständig die Fragen nach diesen Themen kommen, ist doch offensichtlich Bedarf da.

Ich selbst habe etliche Kunden (meist KRITIS), welche Dyn-DNS für die Zugangsbeschränkung zu lokalen Webserver-Ressourcen nutzen.

Auch die in der Firewall fehlende 2FA für WAF ist derzeit häufig mit der SG im Einsatz.

... und ja, diese Art von "Ressource für alle (unbekannten) User" on premise ... wird von jeder Stadtverwaltung eingesetzt die ich kenne, um die E-GOV-Ressourcen anzubieten. Hast du in der letzten Zeit schon mal nen Führerschein, Ausweis,KFZ-Kennzeichen o.Ä. beantragt? 

Dann gerne zu deinem Sales Rep. Ich bin nicht im Product Management Team und kann auch keine Entscheidungen tätigen. Bisher habe ich nur selten die Anforderung von meinen Kunden erfahren, die wir nicht mit ZTNA besser handhaben können. Und auch Public Kunden setzen vermehr auf SaaS Lösungen.