Die Globalisierung erfordert die Transformation zur Cloud Firewall

bei

 / 18. December. 2018

Das Implementieren, Patchen, Updaten, Upgraden und Verwalten von Hardware-Firewalls ist kostspielig, komplex und zudem anfällig. International tätige Unternehmen neigen daher zunehmend dazu Cloud-basierte Firewalls einzusetzen, die die Nutzerstandorte übergreifend integrieren, den Verwaltungsprozess vermindern und die gesamte Netzwerk-Sicherheit gewährleisten.

Zwei gängige Modelle an virtuellen Firewall lassen sich unterscheiden. Einerseits wird die Hardware-Firewall, auf der verschiedene virtuelle Instanzen betrieben werden können, zu einem Service Provider verlagert. Das zweite Ansatz wird bei einem Cloud-Anbieter vorgehalten.

Im ersten Modell stellt ein Service Provider eine Managed Firewall zur Verfügung. Nach wie vor kommt Hardware zum Einsatz, deren virtuelle Instanzen nicht nur betrieben, sondern auch gewartet oder aktualisiert werden müssen. Der Aufwand dafür wird allerdings an den Provider ausgelagert. Dieser kann limitiert durch die Kapazität der vorgehaltenen Hardware eine begrenzte Anzahl an Kunden per Firewall hosten.

Bei der Wahl einer Managed Firewall muss die Anzahl der Standorte berücksichtigt werden, an dem gehostete Firewalls zur Verfügung stehen. In aller Regel wird diese durch abgedeckte Geolocations begrenzt sein. Unternehmen müssen sich entscheiden, ob es mit Einschränkungen einhergeht, wenn der Anbieter seine Hardware beispielsweise nur an drei oder sechs Standorten vorhält. Es gilt das Angebot an Lokationen mit den Anforderungen abzugleichen, denn gerade im Bereich der Firewall ist es für viele Services wichtig, dass lokale IP-Adressen zur Verfügung stehen. Ein Beispiel: Wenn ein Unternehmen in Brasilien eine Niederlassung hat, ist für den Zoll eine brasilianische IP-Adresse erforderlich. Weniger Lokationen bedeuten in der Regel auch längere Wege und damit geringe Geschwindigkeit.

Die Systemkomplexität gibt den Ausschlag

Im zweiten Modell der „virtuelle Firewall“ ist die Hardware bei einem Cloud-Provider gehostet. Auch hier steht der Servicegedanke für den Kunden im Mittelpunkt. Ein Amazon-Kunde kann relativ schnell einen Firewall-Service über diesen Dienst aufsetzen und monatlich bezahlen. Auch hier muss geprüft werden, wie es sich mit der Anzahl an angebotenen Standorten verhält. Amazon bietet beispielsweise Verfügbarkeitszonen für seine Services an. Das bedeutet, dass Kunden innerhalb einer Georegion, wie einer Stadt, einem Land oder gar Kontinent auf Verfügbarkeitszonen zugreifen und dort gegebenenfalls sogar auf redundante Services bauen kann. Mit einem solchen Ansatz hat ein Unternehmen seine Skalierbarkeit relativ elegant gelöst.

Amazon bietet den Service der virtuellen Firewall als Infrastructure as a Service (IaaS) an. Der Vorteil gegenüber dem Managed Firewall Ansatz ist die größere Anzahl an Rechenzentren und die Möglichkeit der schnellen Implementierung. Außerdem hat der Kunde mehr Kontrolle über die Firewall. Diese Kontrolle erkauft er sich allerdings wieder durch Mehraufwand für die IT-Abteilung in Form von Konfiguration, Updates, Upgrades und Patchen. Je mehr dieser virtuellen Firewalls betrieben werden, desto mehr Ressourcen müssen für die Verwaltung dieser virtuellen Firewalls einkalkuliert werden.

Bei einer Entscheidung für einen Ansatz sollte die Komplexität der Administration berücksichtigt werden. Muss beispielsweise eine Third Party Software eingesetzt werden für die Verwaltung über mehrere Lokationen hinweg und wie werden Policies verwaltet. Können Policies über alle Standorte hinweg in Echtzeit aktualisiert werden, um im Bedarfsfall schnell mit Patches reagieren zu können, ohne dass kritische Sicherheitslücken auftreten? Auch das Logging über mehrere Standorte darf nicht zur administrativen Herausforderung werden. Im Fall des bei AWS gehosteten Firewall-Ansatzes kommt zur Pflege der Logs ein SIEM-Service zum Einsatz, der lizensiert werden muss. Es gilt also bei der Entscheidung für oder gegen einen Ansatz die Systemkomplexität im Auge zu behalten.

Was kann eine echte Cloud-Firewall?

Weder bei einem Managed Firewall-Service oder einer in der Cloud gehosteten virtuellen Firewall kommen die Vorzüge des echten Cloud-Effekts zum Tragen. Im Unterschied zu dem Betrieb der Firewall in einer virtualisierten Umgebung ist bei einer echten Cloud-basierten Firewall der Cloud-Anbieter für Updates, Upgrades, Capacity Planning und Patches verantwortlich. Die Aufgabe des Aufsetzens und der Wartung der Firewall inklusive der Anforderungen an die Skalierbarkeit geht in die Verantwortung des Cloud Providers über. Deshalb sollten die Service Level Agreements mit dem Anbieter genau geprüft werden. Denn nicht nur der Betrieb, sondern ebenfalls das Trouble Shooting wechselt in den Verantwortungsbereich des Service-Anbieters.

Ein Cloud-basierter Ansatz sollte keine Hardware-Komponente mehr enthalten, sondern von Grund auf als Security as a Service aufgesetzt sein. Der Cloud-Anbieter stellt ein voll integriertes User Interface zur Verfügung, das über alle Standorte und Anwender hinweg in Echtzeit integriert ist. Damit kann Real-Time Log Correlation abgedeckt werden, so dass die Komplexität für die Inbetriebnahme, den laufenden Betrieb und das Trouble-Shooting deutlich verringert sind. Echtzeitkontrolle über Policies ist über das User Interface für den Kunden jederzeit möglich.

Fazit

Unternehmen, die nach einer Firewall-Lösung für Standorte suchen, an denen keine Netzwerksegmentierung erforderlich ist, sind mit einer virtuellen oder Cloud-basierten Lösung gut beraten. An Standorten, an denen sie keine eigene Hardware-Infrastruktur vorhalten können, wie Niederlassungen, ist eine Cloud-Firewall gut geeignet, die erforderliche Sicherheit bei stark verringertem Administrationsaufwand zu bieten. Mit einer steigenden globalen Ausbreitung und der damit einhergehenden wachsenden Anzahl an Niederlassungen und Standorten weltweit ist im Zeitalter der Digitalisierung eine echte Cloud-basierte Firewall der adäquate Lösungsansatz.

Der Autor: Als Area Director und General Manager EMEA Central ist Mathias Widler bei Zscaler verantwortlich für die Geschäftsentwicklung in Zentral- und Osteuropa. Er unterstützt global aufgestellte Unternehmen durch zukunftsträchtige Sicherheitsinfrastrukturen auf dem Weg zur digitalen Transformation. Zero IT-Branch Office, ein Anwender-zentrierter Security Ansatz und Cloud-ready Netzwerke sind kritische Erfolgsfaktoren dabei. Er baut dazu auf seine Erfahrungswerte bei Security- und Networking-Unternehmen in der Region DACH, wie beispielsweise Kaspersky und A10 Networks. Umfangreiche Sicherheitsexpertise bringt er durch seine Stationen bei Cisco und Blue Coat mit.