TechLeague

    Palo Alto

    Das Ende von Panorama: Warum Palo Alto PAN-OS 11.2 und Strata Cloud Manager die Zukunft sind

    TechLeague Editorial··14 Min. Lesezeit

    Panorama ist offiziell auf der Intensivstation, auch wenn Palo Alto Networks diese Worte noch nicht verwenden wird. Mit der Veröffentlichung von PAN-OS 11.2 und dem aggressiven Schwenk hin zum Strata Cloud Manager (SCM) erleben wir eine fundamentale Entkopplung der Management-Ebene von Legacy Local-Disk-Appliances. Wenn Ihre Infrastruktur-Roadmap für 2026 immer noch auf hierarchische Panorama M-Series Appliances für die globale Policy Orchestration setzt, bauen Sie technische Schulden in Ihre Security-Architektur ein.

    Der strukturelle Wandel: Strata Cloud Manager vs. Panorama

    Zwanzig Jahre lang war Panorama der Goldstandard für zentralisiertes Management. Doch seine Architektur – basierend auf einer XML-API und einem starren Push-Modell – kann mit der ephemeren Natur von Cloud-nativen Workloads und den datenintensiven Anforderungen moderner AIOps nicht mithalten. SCM repräsentiert ein „Cloud-First“-Paradigma, bei dem die Management-Ebene eine verteilte SaaS-Anwendung ist und nicht eine monolithische VM oder physische Box.

    Der Hauptunterschied liegt in der Unified Data Platform. Während Panorama als Log-Aggregator und Config-Pusher fungiert, ist SCM auf dem Data Lake aufgebaut. Dies ermöglicht eine Echtzeit-Telemetrie-Korrelation, die Panorama ohne massiven Compute-Overhead einfach nicht erreichen kann. In 11.2 sehen wir die erste echte Integration von AIOps direkt in den Provisionierungs-Workflow. SCM pusht nicht nur eine Policy; es analysiert die Auswirkungen dieser Policy auf aktive Traffic-Muster, bevor Sie auf 'Commit' klicken.

    Wesentliche Architekturunterschiede:

    • State Management: Panorama verwendet ein „Template Stack“-Modell, das notorisch schwer zu auditieren ist. SCM nutzt eine „Folder Hierarchy“ ähnlich wie Prisma Access, die eine viel sauberere Vererbung ermöglicht.
    • Skalierbarkeit: Panorama M-700s sind durch IOPS und Festplattenspeicher begrenzt. SCM wird von Palo Alto elastisch skaliert, wodurch der Engpass der „Log Ingestion“ vollständig beseitigt wird.
    • Intelligenz: SCM enthält nativ die „Best Practice Assessment“ (BPA), die überlappende Regeln und Security Gaps in Echtzeit, während der Eingabe, identifiziert.

    PAN-OS 11.2: Das „Cloud-Ready“ OS

    PAN-OS 11.2 ist nicht nur ein kleines Versionsupdate; es ist die erste OS-Version, bei der Funktionen speziell entwickelt werden, um „SCM-aware“ zu sein. Wir sehen einen massiven Vorstoß in Richtung Zero Trust Management (ZTM) und eine verbesserte Hardware-Beschleunigung für die Entschlüsselung.

    Eines der wichtigsten Updates in 11.2 ist die erweiterte App-ID- und Device-ID-Korrelation. In früheren Versionen waren IoT-Geräte oft ein blinder Fleck. Jetzt nutzt die NGFW Inline Machine Learning, um Gerätetypen zu identifizieren und automatisch Security Policy Regeln vorzuschlagen. Aus Konfigurationssicht bewegen Sie sich von IP-basierten Regeln zu Identitäts-basierten Regeln, die global über Ihre On-Prem PA-1400 Serie und Ihre VM-Series in AWS/Azure hinweg konsistent sind.

    # Beispiel 11.2 CLI Snippet für AI-gesteuerte IoT Policy
set deviceconfig setting iot-security insight-mode enable
set rulebase security rules "IoT-Isolation" to "Untrust" from "IoT-VLAN" 
set rulebase security rules "IoT-Isolation" source-id "Smart-Camera" 
set rulebase security rules "IoT-Isolation" action deny

    Config-as-Code: Terraform, SCM und der Tod der GUI

    Engineering-Teams sollten im Jahr 2026 nichts mehr über die WebUI konfigurieren, außer für die Notfall-Fehlerbehebung. Die Verbindung von PAN-OS 11.2 und SCM ist für einen Version Control System (VCS)-Workflow konzipiert. SCM bietet eine viel robustere API-Oberfläche als die veraltete XML-API von Panorama.

    Wir bewegen uns auf ein Modell zu, bei dem der SCM „Provider“ in Terraform den globalen Zustand verwaltet. Dies ermöglicht GitOps für Firewalls. Wenn ein Entwickler einen neuen Dienst benötigt, reicht er einen PR ein. Die SCM-API validiert die Änderung mithilfe ihrer AIOps-Engine gegen den bestehenden Sicherheitsstatus und klont die Änderung dann über die relevanten „Folders“ (früher Device Groups).

    Betrachten Sie die PA-400 oder PA-1400 Serien-Deployments in Zweigstellen. Zero Touch Provisioning (ZTP) in 11.2, verwaltet über SCM, ermöglicht es einem Ingenieur, eine werkseitig voreingestellte Box an einen Remote-Standort zu versenden, die ihre vollständige Konfiguration – einschließlich komplexer IPsec-Tunnel und GlobalProtect-Einstellungen – ausschließlich basierend auf ihrer Seriennummer und einem Hardware-Zertifikat abruft.

    AIOps für NGFW: Jenseits der Buzzwords

    AIOps in SCM wird oft als Marketing-Floskel abgetan, aber in 11.2 steht es für Proaktives Health Monitoring und Predictive Analytics. Das System überwacht das „Expected Behavior“ für jede Firewall in Ihrer Flotte. Wenn eine PA-3410 jeden Dienstag um 10:00 Uhr einen Anstieg der CPU-Auslastung um 5% aufweist, korreliert SCM dies mit bestimmten App-ID-Signaturen oder dem SSL-Entschlüsselungs-Overhead.

    Die Funktion „Impact Analysis“ ist besonders wirkungsvoll. Bevor eine Änderung vorgenommen wird, die einen BGP-Peer unterbrechen oder eine geschäftskritische Anwendung blockieren könnte, führt SCM Ihre vorgeschlagene Konfiguration anhand der Traffic-Logs der letzten 7 Tage aus. Wenn Ihre neue Regel 1.200 Sessions von legitimen Traffic blockiert hätte, gibt SCM eine Warnung mit hoher Priorität aus. Dies reduziert die „Change Management“-Angst, die große Unternehmensumgebungen plagt.

    Kostentechnisch, während die SCM-Lizenz einen Aufschlag gegenüber Panorama hat (oft in die „Core“- oder „Ultra“-Security-Abonnements integriert), macht die Reduzierung der Mean Time to Resolution (MTTR) und die Eliminierung der Panorama Hardware-Refresh-Zyklen (durchschnittlich 50.000 bis 150.000 US-Dollar für hochverfügbare M-Series) den ROI deutlich.

    Migrationsmuster: Panorama zu SCM

    Sie können Panorama nicht einfach auf SCM „upgraden“. Es ist eine Migration der Logik. Der empfohlene Ansatz für 2026 ist eine phasenweise Umstellung mithilfe des Strata Cloud Manager Migration Tools.

    1. Phase 1: Log Forwarding. Panorama für das Management beibehalten, aber alle NGFW-Logs an den Cortex Data Lake weiterleiten. Dies füllt die AIOps-Engine.
    2. Phase 2: Shadowing. Ihre NGFWs im „Read-Only“-Modus in SCM integrieren. Verwenden Sie die SCM BPA, um Inkonsistenzen in Ihren Panorama-Templates zu identifizieren.
    3. Phase 3: Pivot. „Folders“ einzeln verschieben. Beginnen Sie mit Entwicklungs-/Testumgebungen und Zweigstellen (PA-400-Serie), bevor Sie zu den Hochdurchsatz-PA-5400/7000-Serien-Rechenzentrumskernen übergehen.

    Weitere Informationen zur Hardware-Lebenszyklusplanung finden Sie in unserem Leitfaden zu PA-5450 Performance Benchmarks und wie sie sich in den 11.x Software-Branch integrieren.

    Erweitertes Policy Management in 11.2

    Die Version 11.2 führt „Advanced Threat Prevention“ (ATP)-Funktionen ein, die streng Cloud-basiert bereitgestellt werden. Wenn Ihre Management-Ebene offline oder nur lokal ist (altes Panorama), verlieren Sie die Möglichkeit, das Inline Deep-Learning-basierte Analyse von 0-Day-Bedrohungen durchzuführen. SCM stellt sicher, dass die Inline ML-Engine der lokalen Firewall ständig durch den globalen Datensatz aller Palo Alto-Kunden optimiert wird.

    Wir sehen auch die Formalisierung der Universal Policy. Egal, ob es sich um einen Benutzer handelt, der über GlobalProtect verbunden ist, ein Büro, das durch eine PA-1410 geschützt wird, oder einen Container, der durch eine CN-Series Firewall gesichert ist – das Policy-Objekt ist in SCM dasselbe. Diese „Write Once, Apply Anywhere“-Logik ist der heilige Gral der Netzwerksicherheit.

    # SCM API Aufruf zur Aktualisierung eines globalen Adressobjekts
POST https://api.strata.paloaltonetworks.com/config/v1/address-objects
{
  "name": "Critical-Financial-Apps",
  "ip_netmask": "10.50.0.0/16",
  "description": "2026 Multi-Cloud Backbone",
  "folder": "Global-Shared"
}

    Das Fazit: SCM ist nicht verhandelbar

    Die 11.2-Version ist der Scheidepunkt. Panorama ist jetzt ein Legacy-Tool für Air-Gapped-Umgebungen oder ultrakonservative Organisationen mit starren „Only On-Prem“-Anforderungen. Für jedes zukunftsorientierte Unternehmen ist Strata Cloud Manager der einzig praktikable Weg. Die Integration von AIOps, die Verlagerung hin zu Config-as-Code über SCM-APIs und die native Unterstützung für die Hardware-Reihe von 2026 machen es zur überlegenen Wahl.

    Das Verbleiben bei Panorama wird irgendwann zu einer „Feature-Lücke“ führen, bei der neue PAN-OS-Funktionen einfach nicht mehr über die alte Oberfläche verwaltbar sind. Wenn Sie heute eine Green-Field-Bereitstellung starten, kaufen Sie nicht einmal eine Panorama-Lizenz. Gehen Sie direkt zu SCM. Wenn Sie eine Brown-Field-Umgebung haben, beginnen Sie jetzt mit Ihrer Migrationsplanung, um diese mit Ihrem nächsten Hardware-Refresh abzustimmen.

    Der Übergang vom Legacy Panorama zu SCM erfordert ein tiefes Verständnis sowohl Ihrer bestehenden Policy-Schulden als auch der neuen AIOps-gesteuerten Workflows. Um zu erfahren, wie wir Ihrem Team helfen können, diesen Übergang zu automatisieren und Ihre Infrastruktur für 2026 zu sichern, sehen Sie sich unsere Expert-Consulting-Pakete unter techleague.io an.

    Häufige Fragen

    Ist Strata Cloud Manager nur 'Panorama in der Cloud'?+

    Nein. SCM ist eine separate SaaS-basierte Management-Plattform. Während es ähnliche Funktionen wie Panorama ausführt, verwendet es eine andere Datenarchitektur (Cortex Data Lake) und ein anderes Policy-Vererbungsmodell (Folders vs. Template Stacks).

    Was sind die herausragenden Funktionen von PAN-OS 11.2?+

    PAN-OS 11.2 führt eine verbesserte AI-gestützte IoT-Geräteidentifizierung, Advanced Threat Prevention (ATP)-Optimierungen und native Integration für die neuesten Hardware-Revisionen der PA-1400 und PA-3400 ein. Es ist für das SCM-Management optimiert.

    Kann ich SCM ohne eine Cortex Data Lake Lizenz verwenden?+

    Der Cortex Data Lake ist für SCM obligatorisch. SCM speichert Logs nicht lokal; es ist auf den Data Lake für alle Telemetrie-, AIOps-Analyse- und Reportingfunktionen angewiesen.

    Kann ich meine bestehende Panorama-Konfiguration zu SCM migrieren?+

    Ja, über das SCM Migration Tool. Da SCM jedoch eine 'Folder'-Struktur anstelle der 'Template Stack'-Logik von Panorama verwendet, müssen Sie Ihre Konfigurationslogik wahrscheinlich überarbeiten, um unnötige Komplexität zu vermeiden.

    Gibt es einen Grund, im Jahr 2026 bei Panorama zu bleiben?+

    Panorama ist immer noch für strikt Air-Gapped-Umgebungen (ohne Internetverbindung) erforderlich. SCM benötigt eine dauerhafte Verbindung zur Palo Alto Cloud für Management und Logging.

    Wie verbessert SCM Config-as-Code Workflows?+

    SCM bietet eine modernere, RESTful API im Vergleich zur Legacy XML-API von Panorama. Dies erleichtert die Integration in moderne CI/CD-Pipelines, Terraform-Provider und Ansible-Playbooks erheblich.