Firewall-Appliances sind schon seit geraumer Zeit der Renner, niemand kauft mehr eine Firewall-Software die dann auf einem Standardbetriebssystem installiert wird. Gehärtete Betriebssystemvarianten (meist Linux) sind ok, aber dann möchte man auch nicht viel mit der Konfiguration und dem Update des Betriebssystems zu tun haben. Check Point dagegen sah sich lange Zeit als reiner Software-Hersteller und hat das Appliance-Geschäft Partnern überlassen. Beispielsweise gab es Check Point auf IBM, auf Dell-Hardware, kurzzeitig sogar auf Pyramid Appliances …
Inzwischen hat Check Point eingesehen, dass es ohne eigene Hardware nicht geht. Als ersten Schritt hat Check Point die ehemalige Ericcsson-Tochter Sofaware gekauft und daraus die Edge-Appliances geformt. Danach hat Check Point zuerst mit der UTM-1 und später mit der Power-1 eigene Hardware an den Start gebracht. SecurePlatform, das Linux-basierte gehärtete eigene Betriebssystem gibt es ja schon seit geraumer Zeit als „Software-Appliance“.
Gleichzeitig hat Check Point mit der eigenen Hardware jedoch den Appliance-Partnern das Leben schwer gemacht. Ich kenne mehrere Unternehmen, denen die Kosten für Nokia einfach zu hoch wurden und die statt dessen auf Standard-Server mit SecurePlatform wechselten oder gleich zu einer UTM-1, die mit einem (für Check Point) günstigen Bundle-Preis aus Hardware und Software kommt. Der ehemals eigenständige Geschäftsbereich Nokia Internet Communications ist schon vor Jahren dem Bereich Nokia Networks zugeschlagen worden, eine große Zahl der damaligen Nokia-Mitarbeiter hat das Unternehmen inzwischen verlassen.
Konsequenterweise hat Nokia diesen Geschäftszweig jetzt an Check Point verkauft. Ich bin mir sicher, Nokia ist froh diesen Bereich los zu sein, die Gewinne dürften in den letzten Jahren deutlich eingebrochen sein. Allerdings ist mir nicht 100% klar, warum sich Check Point dieses Geschäft ans Bein bindet. Ok, es gibt eine breite Basis installierter Check Point Lizenzen auf Nokia, die Check Point nicht verlieren will. Allerdings wäre es sicher auch denkbar gewesen, diese Kunden auf die Power-1 Appliance zu hieven.
Statt dessen hat Check Point jetzt drei verschiedene Appliance-Typen am Hals:
- Sofaware Edge, die mit einer Firmware ausgestattet sind, die nichts mit der normalen FireWall-1 Software zu tun hat. Insbesondere läuft auf der Edge nicht das gewohnte FireWall-1 Kernel-Modul, das den Firewall-Bytecode in einer VM interpretiert.
- Check Point UTM-1/Power-1 mit SecurePlatform, Linux-basierte Appliances die Check Point aktuell von einem 2.4.22 auf einen aktuellen 2.6.x Kernel umstellt, weil es inzwischen wohl mehr und mehr Probleme mit Treibern für aktuelle Hardware gibt.
- Check Point Nokia, mit dem ursprünglich FreeBSD-basierten IPSO, das sich grundsätzlich anders als Linux verhält, mit eigner Weboberfläche (Voyager) und eigener zentraler Verwaltungssoftware (HorizonManager).
Ich bin gespannt, wie Check Point das zusammenführen will.
Eine Abkehr von SecurePlatform dürfte nicht möglich sein. Ansonsten wird Check Point nur noch Appliances anbieten können, da für IPSO keine Treiber für allgemeine Server Hardware vorhanden ist. Andererseits enthält IPSO einen eigenen Routing-Dämon, SecurePlatform könnte in Zukunft auf den Gate-Dämon verzichten.
Meine persönliche Meinung ist, dass Check Point das Nokia-Geschäft für nen Apple und ’n Ei günstig in der Rezession erworben hat um Zugriff auf die Kundendatenbank von Nokia zu erhalten. Die Kunden werden mittelfristig von der Nokia Hardware mit IPSO auf die Check Point Appliances mit SecurePlatform umgestellt und IPSO wird sterben. Und da Check Point jetzt die Kontrolle über die Nokia Appliance-Entwicklung hat, kann diese Migration ganz nach den Vorstellungen Check Points gesteuert werden.
Nachtrag:
Aber schön, wie in der Pressemitteilung nochmal die alten Slogans ausgegraben werden, beispielsweise „best-of-breed solution“ oder „First Call – Final Resolution“. Nur der Slogan „The Power of Two“ fehlt … aber der ist ja nun auch nicht mehr aktuell.
(via The Register)