Netzwerk-Firewalls sind auch im Zeitalter der Cloud unverzichtbar
Nahezu alle Unternehmen verfügen aktuell über irgendeine Form von Cloud-Infrastruktur, und 89% benutzen gar Multi-Cloud-Implementierungen. Im Allgemeinen setzt sich dieser Trend fort, und viele Unternehmen planen, weitere Assets in die Cloud zu verlagern.
Mit der Einführung von Cloud-Infrastrukturen müssen Unternehmen ihre bestehenden Sicherheitsinfrastrukturen überdenken. Einige Sicherheitslösungen sind für die Absicherung von Cloud-Umgebungen schlecht geeignet, und die Cloud bringt neue Sicherheitsrisiken und Herausforderungen mit sich, die es zu bewältigen gilt. Die Netzwerk-Firewalls bleiben zwecks Zonenbildung und Micro-Segmentierung auch im Zeitalter der Cloud eine relevante und wichtige Sicherheitskomponente.
Cloud-Sicherheit kann kompliziert sein
Unternehmen nutzen die Cloud aufgrund der zahlreichen Vorteile, die sie bietet. Cloud-Implementierungen erhöhen die Skalierbarkeit und Flexibilität der IT-Infrastruktur und sind auch besser geeignet, um ein verteiltes Unternehmen zu unterstützen, das aus Mitarbeitern vor Ort sowie an entfernten Standorten besteht. Darüber hinaus unterstützt die Cloud neue Methoden der Anwendungsentwicklung, wie etwa den Übergang zu serverlosen Anwendungen.
Ein weiteres wichtiges Verkaufsargument für die Cloud ist, dass die Kunden die Verantwortung für einen Teil ihres Infrastruktur-Stacks an den Dienstanbieter auslagern können. Bis zu einer bestimmten Ebene ist der Dienstanbieter vollständig für die Konfiguration, Wartung und Sicherung der gemieteten Infrastruktur verantwortlich. Dies bedeutet jedoch keine vollständige Übergabe der Sicherheitsverantwortung. Im Rahmen des Modells der geteilten Verantwortung für die Cloud ist der Cloud-Kunde für die Verwaltung und Sicherung des Teils des Infrastruktur-Stacks verantwortlich, auf den er zugreift und den er kontrolliert.
Cloud-Implementierungen unterscheiden sich erheblich von herkömmlichen On-Premise-Rechenzentren. Viele Unternehmen tun sich schwer damit, ihre Sicherheitsmodelle und
-architekturen effektiv an ihre neuen Cloud-Umgebungen anzupassen, was zu verbreiteten Sicherheitsfehlkonfigurationen und Cloud-Datenverletzungen führt.
Die Verbindung zwischen On-Premise- und Cloud-Umgebungen sowie zwischen Anwendungen innerhalb von Cloud-Implementierungen macht die Netzwerksicherheit zu einem wichtigen Faktor für die Cloud-Sicherheit. Netzwerk-Firewalls spielen dabei eine entscheidende Rolle, da sie den zwischen verschiedenen Bereichen fließenden Datenverkehr überprüfen und das Risiko begrenzen, dass Bedrohungen in das Unternehmensnetzwerk eindringen oder sich darin ausbreiten.
Worauf Sie bei einer Netzwerk-Firewall achten sollten
Viele Unternehmen verfügen bereits über Netzwerk-Firewalls. Sofern diese diese nur für den Schutz des Unternehmens-LANs konzipiert sind, eignen sie sich jedoch nur bedingt für den Schutz eines verteilten Unternehmens-WANs. Im Zuge der Verlagerung von Unternehmen in die Cloud sollte eine Netzwerk-Firewall über eine Reihe von Kernfunktionen verfügen:
Standortunabhängig
Unternehmen werden immer verteilter. Zusätzlich zu den traditionellen Rechenzentren vor Ort verlagern Unternehmen die Datenspeicherung und Anwendungen in eine Cloud-basierte Infrastruktur, oft als Teil von Multi-Cloud-Implementierungen. Gleichzeitig bewegen sich die Mitarbeiter mit der Zunahme von Remote- und Hybrid-Arbeitsplätzen sowie der Nutzung mobiler Geräte für geschäftliche Zwecke außerhalb der traditionellen Netzwerkgrenzen.
Aus diesem Grund müssen Netzwerk-Firewalls in der Lage sein, standortübergreifenden Schutz zu bieten. Das Backhauling des Datenverkehrs in das Unternehmensnetzwerk zur Sicherheitsüberprüfung ist ungeeignet, da es die Netzwerkleistung beeinträchtigt und die Belastung der lokalen IT-Infrastruktur erhöht. Netzwerk-Firewalls müssen genauso segmentiert sein, wie der Rest der IT-Ressourcen eines Unternehmens.
Leistung
Unternehmen sind zunehmend auf Software-as-a-Service (SaaS)-Anwendungen angewiesen, um wichtige Funktionen sowohl für Mitarbeiter vor Ort als auch für externe Mitarbeiter bereitzustellen. Diese SaaS-Anwendungen sind häufig latenzempfindlich, und die Netzwerkleistung muss dieser Tatsache Rechnung tragen.
Netzwerk-Firewalls müssen eine hohe Leistung bieten, um Kompromisse zwischen Netzwerkleistung und Sicherheit zu vermeiden. Wenn Netzwerk-Firewalls aufgrund von ineffizientem Routing oder der Unfähigkeit, den Datenverkehr mit Leitungsgeschwindigkeit zu prüfen, Latenzzeiten verursachen, werden sie mit größerer Wahrscheinlichkeit umgangen oder anderweitig unterminiert.
Skalierbarkeit
Unternehmen sind zunehmend auf Software-as-a-Service (SaaS)-Anwendungen angewiesen, um wichtige Funktionen sowohl für Mitarbeiter vor Ort als auch für externe Mitarbeiter bereitzustellen. Diese SaaS-Anwendungen sind häufig latenzempfindlich, und die Netzwerkleistung muss dieser Tatsache Rechnung tragen.
Netzwerk-Firewalls müssen eine hohe Leistung bieten, um Kompromisse zwischen Netzwerkleistung und Sicherheit zu vermeiden. Wenn Netzwerk-Firewalls aufgrund von ineffizientem Routing oder der Unfähigkeit, den Datenverkehr mit Leitungsgeschwindigkeit zu prüfen, Latenzzeiten verursachen, werden sie mit größerer Wahrscheinlichkeit umgangen oder anderweitig unterminiert.
Integration von Lösungen
Da die Sicherheitsarchitekturen von Unternehmen immer komplexer werden, kann die Vielfalt der Umgebungen und Endpunkte, die Sicherheitsanalysten absichern müssen, zu einer Vielzahl von eigenständigen Sicherheitslösungen führen. Dieser Wildwuchs an Sicherheitslösungen wird durch die Entwicklung der Cyber-Bedrohungslandschaft und die Notwendigkeit, Schutzmaßnahmen gegen neue und aufkommende Bedrohungen zu implementieren, noch verschärft.
Diese komplexen und unzusammenhängenden Sicherheitsarchitekturen überfordern das Sicherheitspersonal und beeinträchtigen die Fähigkeit eines Sicherheitsteams, Bedrohungen schnell zu erkennen und darauf zu reagieren. Eigenständige Lösungen erfordern eine individuelle Konfiguration und Verwaltung, erzwingen bei der Untersuchung eines Vorfalls einen Kontextwechsel zwischen Dashboards und machen eine Sicherheitsautomatisierung schwierig oder unmöglich.
Eine Netzwerk-Firewall ist die Grundlage der Sicherheitsarchitektur eines Unternehmens. Um konsistente Sicherheitsrichtlinien und -kontrollen für alle IT-Ressourcen eines Unternehmens durchzusetzen – einschließlich vor Ort befindlicher, Cloud-basierter und entfernter Systeme – benötigen Unternehmen eine Netzwerk-Firewall, die in all diesen Umgebungen effektiv arbeiten kann. Darüber hinaus sollte diese Firewall in die übrige Sicherheitsarchitektur eines Unternehmens integriert sein, um eine schnelle Erkennung von und Reaktion auf Bedrohungen zu unterstützen und eine Sicherheitsautomatisierung zu ermöglichen.
Vereinfachung der Netzwerksicherheit mit SASE
Der Übergang zu einer Cloud-basierten Infrastruktur macht ein Überdenken und eine Neugestaltung der Sicherheitsarchitektur eines Unternehmens erforderlich. Cloud-Umgebungen sind verteilter und potenziellen Bedrohungsakteuren stärker ausgesetzt als On-Premise-Umgebungen, und Sicherheitsmodelle, die in der Vergangenheit auf einem Perimeter basierten, gelten nicht mehr, wenn sich der Perimeter schnell auflöst. Unternehmen können zwar versuchen, ihre eigenen Sicherheitsarchitekturen mit verschiedenen Einzellösungen aufzubauen und zu integrieren, doch ein besserer Ansatz ist die Einführung von Sicherheitslösungen, die für moderne Unternehmensnetzwerke konzipiert sind.
Secure Access Service Edge (SASE) implementiert Sicherheit mit einem Netzwerk von Cloud-basierten Points of Presence (PoPs), die alle Anforderungen einer modernen Netzwerk-Firewall erfüllen:
- Standortunabhängig: Die SASE PoPs werden als virtuelle Appliances in der Cloud bereitgestellt. Dadurch können sie überall eingesetzt werden, so dass sie geografisch günstig für Geräte sind, die sich vor Ort, an anderen Orten oder in der Cloud befinden.
- Leistung: Jeder SASE PoP führt einen vollständigen Sicherheitsstapel zusammen, so dass Sicherheitsüberprüfung und Richtliniendurchsetzung sofort und überall erfolgen können. Dadurch entfällt die Notwendigkeit, den Datenverkehr für die Überprüfung per Backhaul zu übertragen.
- Skalierbarkeit: SASE PoPs hosten Cloud-native Software, die die Skalierbarkeitsvorteile der Cloud-Infrastruktur nutzen kann. Eine SASE-Cloud kann vertikal mit mehr Rechenleistung und Durchsatz in einem bestimmten PoP und horizontal mit mehr PoPs an neuen geografischen Standorten elastisch skalieren.
- Sicherheitsfunktionen, einschließlich einer Firewall der nächsten Generation, Intrusion Prevention System (IPS), Zero-Trust Network Access (ZTNA), SD-WAN und mehr. Eine Lösung, die diese Funktionen in einer einzigen Plattform zusammenführt, kann deren Zusammenspiel in einem Maße optimieren und rationalisieren, wie es mit Einzellösungen nicht möglich ist.
- Lösungskonvergenz: SASE PoPs konvergieren eine Reihe von Netzwerk- und Sicherheitsfunktionen, einschließlich einer Firewall der nächsten Generation, Intrusion Prevention System (IPS), Zero-Trust Network Access (ZTNA), SD-WAN und mehr. Eine Lösung, die diese Funktionen in einer einzigen Plattform zusammenführt, kann deren Zusammenspiel in einem Maße optimieren und rationalisieren, wie es mit Einzellösungen nicht möglich ist.
Cato bietet die weltweit robusteste SASE-Plattform eines einzigen Anbieters, die Cato SD-WAN und einen Cloud-nativen Security Service Edge, Cato SSE 360, einschließlich ZTNA, SWG, CASB/DLP und FWaaS in einem globalen Cloud-Service zusammenführt. Mit über 75 PoPs weltweit optimiert und sichert Cato den Anwendungszugriff für alle Benutzer und Standorte und lässt sich einfach über eine einzige Oberfläche verwalten.
Cato Blog von Eyal Webber Zvik, Retrieved 2022, October 10
Der Inseya CareFree Service
Inseya, der erste Cato Networks «distinguished support Partner» der Schweiz, verfügt über hervorragend ausgebildete und zertifizierte Engineers, um Kundenprojekte erfolgreich zu implementieren und zu betreiben. Wohin und wie Sie sich auch entwickeln, wir werden über die erforderlichen Expertenressourcen verfügen und Sie in der Herausforderung, der sich jede WAN-Transformationsinitiative stellen muss, begleiten und unterstützen.
Inseya unterstützt sie auf Ihrem Weg zur Cloud und Firewall as a Service, indem die schrittweise Umsetzung gemeinsam erarbeitet wird. Nebst den technischen Aspekten wird viel Wert auf Usability, Kommunikation und den Einbezug aller Stakeholder gelegt.
Cloud und Datacenter Integration
Mit der SASE Architektur gelingt die präzise und sichere Integration der Layer-3 Sicherheit durch die Firewall / FWaaS Funktion in der Cloud und den Datacenters. Das Zonenkonzept bietet transparente und durchgängige Sicherheitsregeln sowie Mikro-Segmentierung über das gesamte Netzwerk hinweg.
Transport Layer Management Option
Damit Enterprise Kunden vom one-stop-shop Erlebnis profitieren, integriert Inseya auf Wunsch auch den Transport Layer. Design, Topologie und Kapazität werden mit dem Netzwerk Provider managed und laufend nach den Kundenbedürfnissen optimiert. Darin enthalten ist auch das ‘last mile montoring’ inbegriffen.
Betrieb und Change Management
Sämtliche operativen Aufgaben, Incident Support sowie die Configuration Changes sind durch den CareFree Support abgedeckt. Die Service Meetings unter Leitung der fest zugeteilten Service Engineers stellen zudem das optimale Kundenerlebnis sicher.
Stephan ist Head of Technology bei Inseya. Er ist ein entschiedener Befürworter der SASE-Architektur, um die besten Kundenlösungen für Secure Networking zu finden. Vorher hatte er bei UMB als Head Security Services den Bereich MSSP etabliert. Seine Freizeit verbringt er gerne in leistungsfähigen Sportwagen.