Managed Cloud Firewall – Zero Trust ohne VPN

Firewall-as-a-Service für Remote-Nutzer und hybride Teams – Zero Trust, kein VPN, vollständig cloud-verwaltet.

Cloud-native Firewall-as-a-Service – keine Hardware, kein VPN
Drei Schutzstufen: Internet Access, Hybrid (VPN-Ersatz) und Total Access
Zero Trust Network Access (ZTNA) ohne klassisches VPN
Schutz für alle Remote-Nutzer – Homeoffice, unterwegs, hybride Teams
20+

Jahre IT-Praxis

Persönlich

fester Ansprechpartner

DSG

konforme IT-Services

Spezialisiert

auf KMU

Remote-Arbeit ist die neue Norm – der Schutz muss mitgehen

Klassische Firewalls schützen das Büronetzwerk – aber nicht die Mitarbeitenden im Homeoffice, unterwegs oder in der Cloud.

Remote-Nutzer sind ungeschützt

Klassische Firewalls schützen nur das Büronetzwerk. Mitarbeitende im Homeoffice, im Café oder unterwegs arbeiten komplett ohne Schutz – ein offenes Tor für Angreifer.

VPN-Komplexität und Performance-Probleme

Klassische VPNs sind langsam, komplex zu verwalten und bieten nach erfolgreicher Authentifizierung Zugriff auf das gesamte Netzwerk. Die Angriffsfläche ist gross.

Cloud-Anwendungen nicht abgedeckt

SaaS-Tools wie Microsoft 365, Salesforce oder Slack laufen ausserhalb der Büro-Firewall. Ohne Cloud-Sicherheit sind diese Datenströme ungeschützt.

Zero-Trust fehlt

Einmal authentifiziert = Zugriff auf alles. Angreifer können sich lateral bewegen. Zero Trust Network Access prüft Identität und Gerätezustand bei jeder Anfrage.

Zwei WatchGuard FireCloud-Varianten – passend zu Ihrem Schutzbedarf

Beide Varianten werden von KPX vollständig betreut. Der Unterschied liegt im Leistungsumfang – nicht in der Betreuungstiefe.

Variante 1

WatchGuard FireCloud Internet Access

Schutz für Remote-Mitarbeitende gegen internetbasierte Bedrohungen[1] – vollständig verwaltet über WatchGuard Cloud.

  • Intrusion Prevention Service (IPS)

    Echtzeit-Schutz gegen Netzwerkbedrohungen auf allen Protokollen

  • Content Filtering

    Kategorienbasierte Sperrung von Inhalten und Applikationen nach Gruppe und Richtlinie

  • APT Blocker

    Erkennt Merkmale und Verhalten von Advanced Persistent Threat-Malware in Dateien und E-Mail-Anhängen[1]

  • Botnet Detection

    Bekannte Botnet-Adressen werden auf Paketebene blockiert

  • Geolocation

    Verbindungen aus oder in bestimmte Länder gezielt sperren

  • FWaaS & Secure Web Gateway

    Firewall-as-a-Service und Secure Web Gateway – sicherer Zugriff auf Cloud-Applikationen ohne komplexe Hardware[6]

Variante 2 – erweiterter Schutz

WatchGuard FireCloud Total Access

Alles aus Internet Access · zusätzlich Zero Trust Network Access (ZTNA)

+ Alles aus FireCloud Internet Access, zusätzlich:

  • Zero Trust Network Access (ZTNA)

    VPN-Zugriff auf Netzwerkebene wird durch applikationsbasiertes Zero Trust ersetzt. Nutzer werden laufend verifiziert, private Apps bleiben unsichtbar im Internet.[2]

  • Identity-based Access

    Jede Sitzung wird nach Benutzeridentität und Gerätezustand geprüft – laufende Überwachung verhindert Missbrauch und seitliche Bewegung im Netz.[2]

  • Private App Protection

    Interne Applikationen werden vor dem Internet verborgen und nur autorisierten Nutzern zugänglich gemacht.[2]

  • ThreatSync XDR

    ThreatSync – WatchGuards KI-gestützte XDR-Engine – korreliert Bedrohungen über alle Ebenen und priorisiert Reaktionen automatisch.[5]

  • AuthPoint Integration (MFA/SSO)

    Integration mit AuthPoint für MFA und SSO, WatchGuard Endpoint Security – Zero Trust über Identität, Endpunkte und Netzwerk, alles in WatchGuard Cloud verwaltet.[5]

Beide Varianten werden von KPX als vollständiger Managed Service betreut – Inbetriebnahme, Konfiguration, Monitoring, Regelwerk-Pflege und SLA-garantierte Reaktion.

Was wir als Managed Service übernehmen

Cloud-Firewalls brauchen kontinuierliche Pflege – wir übernehmen Konfiguration, Monitoring und Anpassung.

1

Initiale Einrichtung und Onboarding aller Nutzer

2

Konfiguration der Zugriffsregeln und Sicherheitsrichtlinien

3

Laufendes Monitoring aller Verbindungen und Bedrohungen

4

Automatische Signatur- und Bedrohungsdatenbank-Updates

5

Ausfälle und Bedrohungen werden erkannt und innerhalb der vereinbarten SLA beseitigt

6

Monatliche Sicherheitsberichte mit Übersicht über Bedrohungen und Nutzungsverhalten

7

Anpassung der Richtlinien bei organisatorischen Änderungen (neue Mitarbeitende, neue Standorte)

8

Vollständige Dokumentation aller Konfigurationen und Zugriffsregeln

Remote-Arbeit ist Alltag. Die Sicherheit dahinter oft nicht.

In 30 Minuten analysieren wir Ihr Setup – und zeigen Ihnen klar, was gut läuft und wo Handlungsbedarf besteht.

Von der Schutzanalyse zum sicheren Remote-Zugriff

01

Gratis Schutzanalyse

Sie schildern uns Ihr aktuelles Remote-Setup – wir hören zu, fragen nach und verschaffen uns gemeinsam ein klares Bild.

Gratis
02

Erstanalyse

Wir schauen uns Ihr VPN-Setup, Ihre Cloud-Anwendungen und Zugriffsstrukturen genau an und zeigen Ihnen klar, was gut läuft – und wo Handlungsbedarf besteht.

Individuell
03

Persönliche Offerte

Sie erhalten eine auf Sie zugeschnittene Offerte, ohne Kleingedrucktes. Was drin steht, gilt. Sie entscheiden in aller Ruhe.

Transparent kalkuliert
04

Rundum betreut

Wir richten Ihre Cloud Firewall ein, betreuen sie dauerhaft und reagieren bevor Probleme entstehen – damit Remote-Security niemals Ihr Ding werden muss.

Proaktiv

Drei Betreuungsmodelle – passend zu Ihrem IT-Setup

Alle drei Modelle nutzen die KPX Smart Managed Cloud-Firewall-Plattform mit Zero Trust Network Access. Der Unterschied liegt in der Aufgabenteilung – nicht in der Sicherheit.

Rundum

Firmen ohne eigenes IT-Personal

Wir kümmern uns um alles

Plattform & LizenzenKPX übernimmt

KPX Smart Managed Plattform mit WatchGuard Cloud

Überwachung & AlarmierungKPX übernimmt

Überwachung der gesamten IT-Infrastruktur

Störungsbehebung & BetriebKPX übernimmt

Fehlerbehebung, Updates und Weiterentwicklung

Anwender-Support (Helpdesk)KPX übernimmt

Hilfe per Remote-Zugriff, bei Bedarf auch vor Ort.

Gemeinsam

KMU mit eigenem IT-Team

Wir teilen die Aufgaben mit Ihrem Team und erweitern es

Plattform & LizenzenKPX übernimmt

KPX Smart Managed Plattform mit WatchGuard Cloud

Überwachung & AlarmierungGeteilt

KPX überwacht Server & Backup, Sie die Arbeitsplätze.

Störungsbehebung & BetriebGeteilt

Störungen nach Zuständigkeit & gemeinsame Weiterentwicklung

Anwender-Support (Helpdesk)Geteilt

Ihr Team hilft per Remote und vor Ort – KPX bei Bedarf

Eigenregie

Grosse IT Teams

Sie betreiben in Eigenregie – auf unserer Plattform.

Plattform & LizenzenKPX übernimmt

KPX Smart Managed Plattform mit WatchGuard Cloud

Überwachung & AlarmierungIhr Team übernimmt

Überwachung der gesamten IT-Infrastruktur

Störungsbehebung & BetriebIhr Team übernimmt

Fehlerbehebung, Updates und Weiterentwicklung

Anwender-Support (Helpdesk)Ihr Team übernimmt

Hilfe per Remote-Zugriff, bei Bedarf auch vor Ort.

Allgemeine Informationen rund um Managed Cloud Firewall für KMU

Wie Cloud-Firewalls funktionieren, warum Zero Trust sicherer ist als VPN und wann Cloud + Hardware sich ergänzen.

Was ist eine Cloud Firewall?

Eine Cloud-Firewall (Firewall-as-a-Service) ist ein cloud-basierter Sicherheitsdienst, der Nutzer direkt in der Cloud schützt – unabhängig von ihrem Standort oder Gerät. Anders als eine Hardware-Firewall am Bürostandort ist sie nicht an einen Standort gebunden, sondern folgt dem Nutzer.

Warum Zero Trust?

Zero Trust basiert auf dem Prinzip „never trust, always verify“. Jede Zugriffsanfrage wird geprüft – Identität, Gerätezustand, Kontext. Selbst nach erfolgreicher Authentifizierung erhält ein Nutzer nur Zugriff auf die spezifischen Anwendungen, für die er berechtigt ist. Das BACS empfiehlt Zero-Trust-Modelle für moderne Arbeitsumgebungen.

Drei Schutzstufen für jede Anforderung

Internet Access schützt vor Web-Bedrohungen. Hybrid ergänzt erste Zero-Trust-Features. Total Access bietet vollständiges ZTNA. Sie wählen die Stufe, die zu Ihrem Remote-Setup passt – und können jederzeit aufstocken.

Cloud-Firewall vs. Hardware-Firewall – was passt zu Ihnen?

MerkmalCloud-FirewallHardware-Firewall
Schutz für Remote-Nutzer✓ (überall)– (nur Büronetz)
Schutz für Cloud-Anwendungen✓ (nativ)– (via VPN-Tunnel)
Zero Trust Network Access
Hardware vor Ort nötig
Physische Kontrolle über DatenAnbieter-abhängig
Skalierung bei WachstumAutomatischManuell
KPX-Empfehlung für KMURemote-TeamsFeste Standorte

Quellen: Bundesamt für Cybersicherheit BACS / NCSC · NIST Cybersecurity Framework · SwissICT.

Häufige Fragen zu Managed Cloud Firewall

Was ist der Unterschied zwischen einer Cloud Firewall und einer klassischen Hardware-Firewall?

Eine klassische Hardware-Firewall schützt das lokale Netzwerk am Standort. Eine Cloud Firewall schützt Nutzer direkt in der Cloud – unabhängig davon, wo sie sich befinden. Für Unternehmen mit Remote-Mitarbeitenden, mehreren Standorten oder Cloud-Anwendungen ist eine Cloud Firewall die zeitgemässere Lösung.

Was ist der Unterschied zwischen Internet Access, Hybrid und Total Access?

Internet Access schützt Remote-Nutzer vor internetbasierten Bedrohungen: Malware, Phishing, schädliche Webseiten, Botnetze. Hybrid ergänzt dies um erste Zero-Trust-Features – sicheren App-Zugriff ohne vollständigen VPN-Ersatz. Total Access ergänzt dies um vollständiges Zero Trust Network Access (ZTNA): Nutzer erhalten sicheren Zugriff auf interne Unternehmensressourcen – ohne VPN, mit identitätsbasierter Zugangskontrolle.

Warum ist Zero Trust sicherer als ein klassisches VPN?

Ein VPN gibt Nutzern nach erfolgreicher Authentifizierung Zugriff auf das gesamte Netzwerk. Zero Trust gewährt nur Zugriff auf die spezifischen Anwendungen, für die ein Nutzer berechtigt ist – und prüft Identität und Gerätezustand bei jeder Sitzung erneut. Das reduziert die Angriffsfläche erheblich.

Was ist Private Application Cloaking?

Interne Anwendungen werden so konfiguriert, dass sie im Internet nicht sichtbar sind. Sie existieren aus Sicht eines Angreifers nicht – und können daher auch nicht angegriffen werden. Nur autorisierte Nutzer können auf sie zugreifen.

Für welche Unternehmen ist eine Cloud Firewall sinnvoll?

Für alle Unternehmen mit Remote-Mitarbeitenden, Homeoffice-Regelungen oder mehreren Standorten. Besonders empfehlenswert, wenn Mitarbeitende von verschiedenen Geräten und Netzwerken aus arbeiten – und der Schutz nicht vom Standort abhängen soll.

Kann die Cloud Firewall die bestehende Hardware-Firewall ersetzen?

Für viele KMU ja – besonders wenn der Grossteil der Arbeit remote oder in der Cloud stattfindet. In hybriden Umgebungen ergänzen sich Cloud Firewall und Hardware-Firewall optimal: Die Hardware-Firewall schützt den Standort, die Cloud Firewall schützt alle Nutzer ausserhalb.

Servicegebiet

KPX AG

Grindelstrasse 6, 8304 Wallisellen

Kanton Zürich, Schweiz

Cloud-Dienste betreuen wir schweizweit – vollständig remote, ohne Vor-Ort-Einsatz.

KPX AG · Wallisellen ZH

Ihre IT in zuverlässigen Händen

KPX betreibt Ihre Cloud-native Firewall für Remote-Mitarbeitende – mit Zero Trust Network Access und identitätsbasierter Zugriffskontrolle. Drei Schutzstufen, vollständig cloud-verwaltet, SLA-gesichert.

Feste Reaktionszeit (SLA)Datenschutz nach DSG & DSGVOVor-Ort Service aus Wallisellen