hagel IT-Services
Festpreis-Angebot
12 Min.

Palo Alto GlobalProtect: Ein Überblick über die Funktionen und Vorteile

KI
Karl Isler in IT-Insights

Inhalt in Kürze

  • Was es ist: Palo Alto GlobalProtect ist der Endpoint-Agent für VPN, ZTNA und Endpoint-Security der Palo-Alto-Plattform - kein reines VPN, sondern eine Kombination aus Tunnel, Geräte-Postur-Prüfung (HIP) und Cloud-Gateway-Zugriff.
  • Was 2026 zählt: Always-On VPN, HIP-Profile, SAML/MFA, Prisma Access als Cloud-Variante und tiefere Cortex-XDR-Integration. Reine VPN-Konzepte ohne Geräteprüfung sind kein Stand der Technik mehr.
  • Für wen sinnvoll: Mittelständische Unternehmen mit Remote-/Hybrid-Workern, die schon eine Palo-Alto-Firewall im Einsatz haben oder eine zentrale Lösung für mehrere Standorte suchen.
  • Was es kostet: Klassisch lizenziert ab ca. 80 bis 150 Euro pro Arbeitsplatz und Jahr (inkl. Hardware, Subscription, Implementierung, Support). Prisma Access ab ca. 12 bis 18 Euro pro User und Monat.
  • Wer hilft: Wir betreuen Cybersecurity-Projekte in Hamburg seit über 20 Jahren - inklusive Firewall-Migrationen, GlobalProtect-Rollouts und Always-On VPN.

Was Palo Alto GlobalProtect 2026 wirklich ist

Kurzdefinition:

Palo Alto GlobalProtect ist der VPN-Client von Palo Alto Networks für sicheren Remote-Zugriff auf Unternehmensnetze. Es kombiniert klassisches VPN (IPSec, SSL) mit Zero-Trust-Network-Access (ZTNA), Host-Compliance-Check und ist tief integriert mit Palo Alto NGFW und der Prisma-Access-SASE-Plattform. Aktuelle Version 2026: GlobalProtect 6.3.x auf PAN-OS 11.x.

Palo Alto GlobalProtect ist der Endpoint-Agent von Palo Alto Networks. Er stellt zwei Dinge gleichzeitig her: einen verschlüsselten Tunnel zum Unternehmensnetz und eine Sicherheitsprüfung des Endgeräts. Ohne diese Kombination ist Remote-Zugriff in 2026 keine ernsthafte Option mehr.

Der entscheidende Unterschied zu einem klassischen VPN: GlobalProtect prüft permanent, ob das Endgerät den Sicherheitsvorgaben entspricht - Betriebssystem-Patches, Virenschutz, Festplattenverschlüsselung, Domain-Mitgliedschaft. Erfüllt das Gerät die Vorgaben nicht, gibt es entweder gar keinen Zugriff oder nur eingeschränkten. Diese Prüfung läuft über sogenannte HIP-Profile (Host Information Profile).

In Verbindung mit Prisma Access, Palo Altos Cloud-Plattform, wird aus GlobalProtect ein vollwertiges Zero Trust Network Access (ZTNA) - Zugriff nur auf einzelne Anwendungen, nicht auf das gesamte Netz, kontinuierliche Trust-Verifizierung statt einmaligem Login.

GlobalProtect vs. FortiClient vs. Cisco Secure Client

Die drei großen Endpoint-Agents im direkten Vergleich – Kurzfassung für die Vorauswahl:

  • Palo Alto GlobalProtect (6.3.x): Premium-Segment, granularste HIP-Profile am Markt, tief integriert mit PAN-OS 11.x und Prisma Access SASE. Beste Wahl, wenn die Palo-Alto-Firewall bereits steht oder ZTNA strategisch ausgebaut wird.
  • FortiClient (7.4.x): Stärkstes Preis-Leistungs-Verhältnis, ZTNA über FortiSASE, Postur-Check via FortiClient EMS. Standardwahl für KMU mit FortiGate-Firewall.
  • Cisco Secure Client (ehemals AnyConnect, 5.x): Enterprise-Standard mit ISE-/Cisco-Secure-Access-Integration. Erste Wahl in Cisco-Landschaften mit Active Directory und vielen Standorten.

Detaillierte Tabelle mit Postur-Check, MFA und Lizenzmodell weiter unten im Abschnitt „Vergleich”.

Wichtig:

Klassisches VPN ohne Endgeräteprüfung ist seit Jahren ein bevorzugtes Einfallstor für Ransomware. Sobald ein Mitarbeiter sich von einem ungepatchten Privatlaptop per VPN einloggt, ist die Firmen-Firewall faktisch wirkungslos. GlobalProtect mit HIP-Profilen schließt genau diese Lücke - aber nur, wenn die Profile auch konfiguriert sind. In der Praxis sehen wir das regelmäßig nicht.

Die wichtigsten Funktionen im Überblick

GlobalProtect ist kein einzelnes Feature, sondern ein Bündel aus VPN-Funktionen, Identitäts-Integration und Endpoint-Security. Die folgenden Funktionen sind 2026 die wichtigsten - alles andere ist Beiwerk.

Always-On VPN und Pre-Logon

Der Tunnel ist permanent aktiv, sobald das Gerät online ist. Anders als bei On-Demand-VPN kann der Mitarbeiter ihn nicht pausieren oder vergessen. Pre-Logon stellt die Verbindung sogar schon vor dem Windows-Login her - so können Gruppenrichtlinien aus Active Directory angewendet werden, bevor der Nutzer überhaupt seinen Desktop sieht. Laut Palo-Alto-Knowledgebase ist das einer der häufigsten Konfigurationspunkte beim Rollout.

HIP-Profile (Host Information Profile)

Das Herzstück der Geräte-Sicherheitsprüfung. Der Agent meldet:

  • Betriebssystem und Patch-Stand
  • Aktiver Antivirus oder EDR (z.B. CrowdStrike, Defender for Endpoint)
  • Festplattenverschlüsselung (BitLocker, FileVault)
  • Domain-Mitgliedschaft
  • Firewall-Status auf dem Endgerät
  • Installierte Anwendungen und Versionen

Die Firewall-Policy liest diese Daten aus und entscheidet pro Anwendung: voller Zugriff, eingeschränkter Zugriff oder Block. Beispiel aus der Praxis: Nur Geräte mit aktiver BitLocker-Verschlüsselung und aktuellem Defender dürfen auf das ERP zugreifen. Geräte ohne Verschlüsselung sehen nur Webmail und SharePoint.

SAML, MFA und SSO

GlobalProtect integriert sich nativ in Identity Provider wie Microsoft Entra ID (Azure AD), Okta oder Ping. Multi-Faktor-Authentifizierung ist Pflicht - das BSI empfiehlt MFA seit Jahren als Standard für Remote-Zugriffe. Der Mitarbeiter loggt sich einmal ein, GlobalProtect übernimmt die Identität, die Firewall regelt die Zugriffsrechte.

Split-Tunneling und Cloud-Routing

Nicht jeder Datenverkehr muss durch die Firma geleitet werden. Microsoft 365, Zoom, Teams oder YouTube laufen direkt zum Cloud-Anbieter - das spart Bandbreite und reduziert Latenz. Geschäftskritischer Verkehr (ERP, Fileserver, interne Apps) läuft durch das GlobalProtect-Gateway. Diese Aufteilung ist in 2026 Standard, weil 80 bis 90 Prozent des typischen Office-Traffics ohnehin in der Cloud liegen.

Prisma Access (Cloud-Gateway)

Wer keine eigene Firewall-Hardware will oder mehrere Standorte versorgt, nutzt Prisma Access. Die Gateways laufen in der Palo-Alto-Cloud, der Verkehr wird dort inspiziert. Vorteil: Skalierung in Minuten, weltweite Präsenz, keine Hardware-Beschaffung. Nachteil: Höhere monatliche Kosten, Abhängigkeit von einem Cloud-Anbieter.

URL-Filtering und Threat Prevention

GlobalProtect nutzt die gleichen Threat-Feeds wie die Palo-Alto-Firewall. Phishing-Domains, Command-and-Control-Server und bekannte Malware-Quellen werden auf dem Endgerät blockiert - auch dann, wenn der Mitarbeiter im Café-WLAN unterwegs ist. Im Vergleich dazu: Ein klassisches VPN schützt nur, wenn der Nutzer sich aktiv verbindet.

GlobalProtect Firewall-Konfiguration: LAN-Switch und Patch-Panel im Server-Rack
Eine saubere GlobalProtect-Konfiguration steht und fällt mit den HIP-Profilen - Always-On VPN ohne Postur-Check ist nur ein halber Schutz.

Vergleich: GlobalProtect vs. Cisco AnyConnect vs. FortiClient

Wer GlobalProtect bewertet, vergleicht ihn meistens mit den beiden Wettbewerbern. Hier eine ehrliche Einschätzung aus der Praxis:

KriteriumPalo Alto GlobalProtectCisco AnyConnect / Secure ClientFortiClient
Plattform-BindungPalo-Alto-Firewall oder Prisma AccessCisco-Firewall (FTD/ASA) oder Cisco Secure AccessFortiGate oder FortiSASE
Postur-CheckHIP-Profile (sehr granular)Hostscan / Posture ModuleFortiClient EMS (gut, aber weniger granular)
ZTNAÜber Prisma Access (ausgereift)Über Cisco Secure Access (jünger)Über FortiSASE (jünger)
MFA / SAMLNativ, alle gängigen IdPsNativ, alle gängigen IdPsNativ, alle gängigen IdPs
Cloud-VariantePrisma Access (Marktführer)Cisco Secure AccessFortiSASE
LizenzmodellSubscription pro Firewall + UserSubscription pro Firewall + Apex LizenzenEMS-Lizenz pro Endpoint + FortiGate
KMU-EignungSehr gut (PA-440/450)Eher EnterpriseSehr gut (60F/100F)
KomplexitätHoch, aber gut dokumentiertHoch, viele Legacy-KonzepteMittel, schnellere Einführung
Preis-LeistungPremium-SegmentPremium-SegmentMittleres Segment

Kurz gesagt: GlobalProtect ist für Unternehmen, die schon eine Palo-Alto-Firewall haben oder bereit sind, ins Premium-Segment zu investieren. AnyConnect ist die Standardwahl in Cisco-Umgebungen mit AD-Anbindung. FortiClient ist die Preis-Leistung-Empfehlung für KMU mit FortiGate.

Vorteile aus Sicht der Geschäftsführung

Die technische Sicht ist eine Seite. Die andere: Was bringt GlobalProtect dem Unternehmen?

99 %
Angriffsabwehr durch MFA + HIP
80 %
der Office-Traffic läuft direkt in die Cloud
3-5 Tage
Implementierung bei 30-80 Arbeitsplätzen
4 h
Vertragliche Reaktionszeit bei hagel IT

Sicherer Remote-Zugriff ohne Kompromisse

Mitarbeiter arbeiten von überall - und zwar mit dem gleichen Sicherheitsniveau wie im Büro. Always-On VPN sorgt dafür, dass niemand “vergisst”, den Tunnel zu starten. HIP-Profile garantieren, dass nur saubere Geräte ins Netz dürfen. Ein typisches Szenario: Der Vertriebsmitarbeiter startet morgens den Laptop im Hotel - GlobalProtect verbindet sich automatisch, prüft den Patch-Stand und gibt erst dann Zugriff frei.

Endpoint-Schutz auch außerhalb des Firmennetzes

Phishing- und Malware-Filter laufen permanent - egal ob der Mitarbeiter im Café, im Zug oder zuhause sitzt. Das ist ein massiver Unterschied zu klassischem VPN, das nur schützt, solange der Tunnel aktiv ist. Wir sehen in unseren Hamburger Kunden-Projekten regelmäßig, wie viele Phishing-Klicks GlobalProtect tatsächlich abfängt - oft mehr als die zentrale Firewall.

Compliance-Fähigkeit für NIS-2 und DSGVO

GlobalProtect protokolliert lückenlos: Wer hat sich wann von wo eingeloggt, welches HIP-Profil hatte das Gerät, welche Anwendungen wurden genutzt. Diese Logs sind für NIS-2-Berichtspflichten Gold wert. Auch DSGVO-Audits werden einfacher, weil Zugriffe nachvollziehbar sind.

Skalierbarkeit ohne Hardware-Wechsel

Mit Prisma Access skaliert das System ohne neue Firewall. Ein Kunde von uns ist von 40 auf 120 Mitarbeiter gewachsen, ohne die Firewall zu tauschen - die Cloud-Gateways haben die Last übernommen. Bei klassischer Lizenzierung muss man die Firewall-Größe entsprechend planen.

Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter - und macht 99 Prozent der Angriffe wirkungslos. Bei GlobalProtect ist MFA nicht optional, sondern Standard. Genau so muss das sein.

Jens Hagel Jens HagelGeschäftsführer, hagel IT-Services GmbH

Aus der Praxis: Worauf KMU bei GlobalProtect achten müssen

Wir betreuen IT in Hamburg und Norddeutschland seit über 20 Jahren. Bei GlobalProtect-Projekten sehen wir immer wieder die gleichen Fallstricke - die meisten davon haben mit Konfiguration zu tun, nicht mit dem Produkt selbst.

Häufige Fehler bei der Einführung

  • HIP-Profile werden nicht konfiguriert. Die Firewall steht, der Tunnel läuft - aber niemand prüft, ob das Endgerät sicher ist. Damit bleibt das System ein klassisches VPN mit hübscher Oberfläche.
  • Always-On wird nicht aktiviert. Der Mitarbeiter kann den Tunnel pausieren - und tut es regelmäßig, weil "Teams hängt" oder "die Cloud-Drucker nicht funktionieren". Damit ist das Schutzkonzept gebrochen.
  • SAML/MFA wird nachgelagert. Erst wird GlobalProtect mit lokaler Authentifizierung produktiv geschaltet, MFA "kommt später". Später kommt aber der Phishing-Angriff zuerst.
  • Split-Tunneling wird vergessen. Sämtlicher Cloud-Traffic läuft durch die Firewall - die Bandbreite reicht für 30 Mitarbeiter im Homeoffice nicht aus, Teams-Calls hängen.
  • Pre-Logon wird ignoriert. Domain-Anmeldung im Homeoffice schlägt fehl, weil der Tunnel erst nach dem Login aufgebaut wird. Klassischer Fall für Ticket-Eskalation.

So sieht ein sauberer Rollout aus

  1. Tag 1 - Firewall-Vorbereitung: PAN-OS auf aktuelle Version, Zertifikate für Portal/Gateway, GlobalProtect-Lizenz aktivieren.
  2. Tag 2 - Identitäts-Integration: SAML mit Entra ID/Okta, MFA-Policy für alle User, Test mit Pilotgruppe.
  3. Tag 3 - HIP-Profile definieren: Mindestens drei Profile - "Vollzugriff" (Domain-Gerät, BitLocker, Defender aktuell), "Eingeschränkt" (Privatgerät mit MFA), "Block" (alles andere).
  4. Tag 4 - Pilot-Rollout: 5 bis 10 User, alle Funktionen testen, Logs prüfen, Feedback einholen.
  5. Tag 5 - Vollroll-Out: Verteilung über Intune/MEM, Anwender-Schulung (1-2 Stunden), Hotline-Rufbereitschaft erste 48 Stunden.
Aus der Praxis:

Bei einer Hamburger Spedition mit 45 Mitarbeitern haben wir GlobalProtect 2025 eingeführt. Knackpunkt war nicht die Technik, sondern die HIP-Profile: Die Geschäftsführung wollte am Anfang "alle dürfen alles". Wir haben drei Stufen vorgeschlagen, die Profile gemeinsam definiert und die Policy stufenweise scharf geschaltet. Heute kommen ungepatchte Privatgeräte gar nicht erst rein - vor zwei Jahren wäre das in dieser Branche undenkbar gewesen.

Wir wollen uns nicht um IT kümmern müssen. Wenn ein neuer Mitarbeiter kommt: Laptop da, E-Mail eingerichtet, Telefon funktioniert. Wenn jemand geht: Zugänge gesperrt. Einfach. Zuverlässig.

Niklas Roth - Geschäftsführer, Beteiligungsgesellschaft, 5-8 Mitarbeiter

Was kostet GlobalProtect für KMU wirklich?

Die Lizenzkosten sind nur ein Teil der Wahrheit. Die echte Rechnung enthält Hardware, Implementierung, Schulung und laufenden Support.

PositionKlassisch (PA-440 + Lizenzen)Cloud (Prisma Access)
Hardwareca. 3.500-5.000 € einmalig0 €
GlobalProtect Subscriptionca. 1.500-3.000 €/Jahrinkl.
Threat Prevention / WildFireca. 2.000-4.000 €/Jahrinkl.
Prisma Access User-Lizenz-ca. 12-18 €/User/Monat
Implementierung (3-5 Tage)ca. 4.500-7.500 € einmaligca. 4.500-7.500 € einmalig
Laufender Support (Managed)ca. 50-80 €/Arbeitsplatz/Monatca. 50-80 €/Arbeitsplatz/Monat

Für einen typischen KMU-Kunden mit 30 bis 80 Arbeitsplätzen rechnen wir mit 80 bis 150 Euro pro Arbeitsplatz und Jahr - inklusive Hardware-AfA, Lizenzen, Implementierung und Managed IT Services. Den genauen Preis liefert unser IT-Kosten-Kalkulator in 2 Minuten.

GlobalProtect-Alternativen: Wann ist etwas anderes besser?

GlobalProtect ist nicht für jeden die richtige Wahl. Drei Szenarien, in denen wir Alternativen empfehlen:

  • Sehr kleines KMU mit 5-15 Arbeitsplätzen, einem Standort, geringes Risikoprofil: Eine WatchGuard Firewall mit Mobile VPN oder Sophos Connect liefert 80 Prozent der Funktionen zu deutlich geringeren Lizenzkosten.
  • Existierende Cisco-Landschaft mit AD-Bindung: Cisco AnyConnect (Secure Client) ist hier oft die einfachere Wahl, weil die Integration mit ISE und Cisco Secure Access ausgereift ist.
  • Microsoft-365-fokussierte Umgebung ohne eigene Server: Wenn fast alles in der Cloud läuft, kann Entra Conditional Access plus Microsoft Defender ohne klassisches VPN reichen.

Welche Lösung passt, hängt vom Bedrohungsprofil, der bestehenden Infrastruktur und dem Budget ab. Wir machen mit Geschäftsführern und IT-Leitern eine Cyber-Risikoanalyse, bevor wir eine Empfehlung aussprechen.

Das Wichtigste: Palo Alto GlobalProtect ist 2026 die ausgereifteste Endpoint-Plattform für Remote-Zugriff im Premium-Segment - aber nur dann, wenn HIP-Profile, Always-On VPN und MFA von Anfang an konfiguriert sind. Ohne diese drei Bausteine ist es ein teures VPN.

Weiterführende Quellen

Ihr nächster Schritt

Sie überlegen, GlobalProtect einzuführen oder Ihre bestehende VPN-Lösung zu modernisieren? Wir analysieren in einem 15-Minuten-Erstgespräch ohne Vertriebsdruck, was zu Ihrer Infrastruktur passt - GlobalProtect, FortiClient, AnyConnect oder eine schlankere Alternative. Inklusive Aufwandsschätzung und Lizenz-Kalkulation für Ihre Mitarbeiterzahl.

Sicherer Remote-Zugriff für Ihr Unternehmen?

15 Minuten. Kostenlos. Ohne Vertriebsdruck. Direkt mit Geschäftsführer Jens Hagel.

Erstgespräch buchen →
Karl Isler
Karl Isler
IT-Experte & Autor, hagel IT-Services GmbH

Karl Isler ist ein erfahrener IT-Experte und Autor. Seine Fachkenntnisse in den Bereichen IT-Strategie, Cloud Computing und Datensicherheit ermöglichen es ihm, fundierte Artikel für unseren IT-Entscheider-Blog zu verfassen.

Frage stellen Profil ansehen
Thorsten Eckel

«Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.»

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
Fallstudie · Gesundheit
Vom IT-Chaos zur sicheren Praxis: Einblicke in unsere Infrastruktur-Analyse (ISA) am Beispiel einer Therapiepraxis
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Alle ansehen
Kostenlos & unverbindlich

IT-Herausforderungen? Wir helfen.

Sprechen Sie mit unseren Experten — 15 Minuten, kostenlos, kein Vertriebsdruck.

Festpreis-Angebot anfordern Lieber direkt Termin?

Häufig gestellte Fragen

Palo Alto GlobalProtect ist der VPN-Client von Palo Alto Networks für sicheren Remote-Zugriff auf Unternehmensnetze. Es kombiniert klassisches VPN (IPSec, SSL) mit Zero-Trust-Network-Access (ZTNA), Host-Compliance-Check (HIP-Profile) und ist tief integriert mit Palo Alto NGFW (PAN-OS 11.x) und der Prisma-Access-SASE-Plattform. Aktuelle Version 2026: GlobalProtect 6.3.x.

Der GlobalProtect-Client (Windows, macOS, Linux, iOS, Android) ist als Download kostenlos. Für den produktiven Einsatz braucht es jedoch eine GlobalProtect-Portal- und Gateway-Lizenz auf der Palo-Alto-Firewall oder einen Prisma-Access-Tenant. Single-Internal-Gateway-Szenarien (nur interne Postur-Prüfung, kein externer Tunnel) sind ohne Subscription möglich. Sobald externer Remote-Zugriff oder HIP-Checks aktiv genutzt werden, ist die Subscription Pflicht.

Direkte Wettbewerber sind Cisco Secure Client (ehemals AnyConnect) mit Cisco Secure Access, FortiClient mit FortiSASE und Check Point Harmony Connect. Im SASE-Umfeld konkurrieren zudem Zscaler Private Access, Cloudflare Access und Netskope ZTNA. Für reine Microsoft-365-Umgebungen kann Entra Private Access plus Conditional Access eine schlankere Alternative sein. Welche Lösung passt, hängt von vorhandener Firewall, Identity Provider und Standort-Topologie ab.

GlobalProtect ist Palo Altos Endpoint-Agent für sicheren Remote-Zugriff. Anders als ein klassisches VPN prüft GlobalProtect über HIP-Profile zusätzlich den Sicherheitsstatus des Geräts (Patches, Antivirus, Festplattenverschlüsselung) und kann Zugriff verweigern, wenn das Endgerät nicht den Vorgaben entspricht. In Verbindung mit Prisma Access wird daraus ein Zero-Trust-Network-Access (ZTNA), bei dem nicht das gesamte Netz, sondern nur einzelne Anwendungen freigegeben werden.

Always-On VPN, Pre-Logon-Verbindung, HIP-basierte Zugriffskontrolle, Split-Tunneling, SAML-Authentifizierung, Multi-Faktor-Integration, Cloud-Gateways über Prisma Access, IPv6-Support, Web Security inkl. URL-Filtering und Threat Prevention auf dem Endgerät. Auf der Roadmap stehen 2026 vor allem ZTNA-2.0-Erweiterungen und tiefere Cortex-XDR-Integration.

GlobalProtect ist Bestandteil der Palo-Alto-Firewall-Plattform. Klassisch lizenziert: Einmalig die Firewall (PA-440/PA-450 für KMU ab ca. 3.500 Euro Listenpreis) plus jährliche Subscription für GlobalProtect-Portal/Gateway und Threat Prevention. Cloud-Variante via Prisma Access: nutzungsbasiert pro User/Monat. Für 25 bis 100 Arbeitsplätze landet man inklusive Hardware, Lizenzen, Implementierung und laufendem Support typischerweise bei 80 bis 150 Euro pro Arbeitsplatz und Jahr.

Cisco AnyConnect (heute Secure Client) und FortiClient sind ebenfalls Endpoint-Agents mit VPN- und ZTNA-Funktionen, aber an die jeweilige Hersteller-Plattform gebunden. GlobalProtect ist tiefer in Palo Altos App-ID, User-ID und Cortex-Stack integriert; HIP-Profile sind granularer als die meisten Postur-Checks der Konkurrenz. AnyConnect punktet bei reiner Skalierung, FortiClient beim Preis. Welches System passt, hängt vor allem von der vorhandenen Firewall ab.

HIP steht für Host Information Profile. Der GlobalProtect-Agent meldet Daten zum Endgerät an das Gateway: Betriebssystem, Patch-Stand, aktiver Virenschutz, BitLocker oder FileVault, Domain-Mitgliedschaft, Disk-Encryption-Status. Die Firewall-Policy nutzt diese Daten, um Zugriff freizugeben, einzuschränken oder zu blockieren. Beispiel: Nur Geräte mit aktiver Festplattenverschlüsselung dürfen auf das ERP zugreifen, alle anderen sehen nur Webmail.

Always-On VPN bedeutet: Der Tunnel ist permanent aktiv, sobald das Gerät online ist. Der Nutzer kann ihn weder pausieren noch umgehen. In Kombination mit HIP-Profilen, MFA und URL-Filtering blockiert GlobalProtect bekannte Phishing- und Command-and-Control-Server, bevor der Browser sie erreicht. Vorteil gegenüber On-Demand-VPN: Auch im Café-WLAN sind DNS-Anfragen und Webtraffic geschützt, ohne dass der Mitarbeiter daran denken muss.

Ja, über Prisma Access. Das ist Palo Altos Cloud-basierte Variante: Die Gateways laufen in der Palo-Alto-Cloud, der Datenverkehr wird dort inspiziert. Vorteil: Keine eigene Firewall-Hardware nötig, Skalierung in Minuten, weltweite Präsenz für verteilte Teams. Nachteil: Höhere monatliche Kosten und Abhängigkeit vom Cloud-Anbieter. Für reine KMU-Szenarien mit einem Standort ist die On-Premise-Firewall meist günstiger, ab drei bis vier Standorten lohnt sich Prisma Access.

Bei einem mittelständischen Kunden mit 30 bis 80 Arbeitsplätzen rechnen wir mit drei bis fünf Tagen Implementierung: Tag 1 Firewall-Konfiguration und Zertifikate, Tag 2 GlobalProtect-Portal/Gateway und SAML/MFA-Integration, Tag 3 HIP-Profile und Policy-Tests, Tag 4 bis 5 Rollout der Clients via Intune oder MEM. Plus zwei bis drei Stunden Anwender-Schulung. Voraussetzung: vorhandene Palo-Alto-Firewall mit aktueller PAN-OS-Version.

Das könnte Sie auch interessieren

IT-Insights

Maklerbüro Hamburg: IT-Stack 2026 für Immobilienprofis
IT-Insights

Hafen-IT 4.0: Die Digitalisierung der Hamburger Logistik 2026
IT-Insights

n8n vs Make vs Microsoft Power Automate: Workflow-Tools 2026 für Hamburger KMU