Zpedia 

/ Was ist Firewall as a Service?

Was ist Firewall as a Service?

Firewall as a Service (FWaaS) ist eine auf einer Cloud Firewall basierende Netzwerksicherheitstechnologie, die erweiterte Layer-7/NGFW-Funktionen (Next-Generation Firewall) bereitstellen kann. Dazu zählen Zugriffskontrollen wie URL-Filterung, Schutz vor komplexen Bedrohungen, Eindringschutzsysteme (Intrusion Prevention Systems, IPS) und DNS-Sicherheit.
fs

Warum ist eine FWaaS erforderlich?

FWaaS-Lösungen dienen nicht einfach nur dazu, Netzwerk-Firewall-Appliances zu virtualisieren – sie machen diese Appliances tatsächlich überflüssig. Organisationen können somit ihre IT-Infrastruktur vereinfachen und für eine erhöhte Cybersicherheit sorgen. FWaaS ermöglicht eine zentrale Verwaltung über eine einzige Konsole. So können Unternehmen die Herausforderungen rund um Änderungskontrolle, Patch-Management, Koordinierung von Ausfallzeiten und Richtlinienverwaltung im Zusammenhang mit NGFW-Appliances bewältigen. Gleichzeitig lassen sich Richtlinien unabhängig vom Standort der User konsistent durchsetzen.

Wie unterscheiden sich FWaaS-Lösungen von herkömmlichen Firewalls?

Herkömmliche On-Premise-Firewalls wurden für die Überprüfung des Netzwerk-Traffics in den Niederlassungen von Unternehmen konzipiert und programmiert. Wie der Name besagt, wird die FWaaS-Lösung über die Cloud bereitgestellt, wobei der Hauptunterschied darin besteht, dass On-Premise-Firewalls sich nur schwer skalieren lassen und kaum Anpassungsmöglichkeiten an veränderte Netzwerkanforderungen und die Weiterentwicklung von Bedrohungen bieten. Aufgrund ihrer Cloud-nativen Eigenschaften unterliegt die FWaaS-Lösung nicht denselben Problemen und bietet diese beiden Vorteile sehr wohl. Unternehmen steht somit ein weitaus besseres Tool zur Absicherung von Daten und Endgeräten sowie zur Durchführung gründlicher Sicherheitsüberprüfungen zur Verfügung.

In der Vergangenheit, als Geschäftsabläufe vorwiegend im Büro abgewickelt wurden, boten herkömmliche Firewalls eine ausreichende Netzwerksicherheit. Da sich Mitarbeiter fast ausschließlich in den Büros aufhielten, war das Ausmaß der Bedrohungen auf die Unternehmensstandorte selbst beschränkt. Es gab schlicht keinen Anlass für Sicherheits- und IT-Teams, die Funktion der Firewall über den Installationsort hinaus auszuweiten.

Die heutige Situation ist jedoch eine ganz andere, da immer mehr Organisationen mit Cloud-Services wie SaaS arbeiten, Endgeräte über unzählige Orte verteilt betrieben werden und ständig neue Bedrohungen aufkommen. Das hat zur Folge, dass Firewalls nicht länger nur im Rechenzentrum angesiedelt sein sollten. Vielmehr müssen sie in die Cloud verlagert und die Schutzfunktionen so ausgeweitet werden, dass sich die Sicherheit auf Ressourcen und Mitarbeiter an jedem Standort erstreckt.

Der Durchbruch von FWaaS

Traffic-Backhauling zur NGFW eines Unternehmens oder zum regionalen Rechenzentrum war sinnvoll, als die Anwendungen noch in Rechenzentren untergebracht waren und die meisten Mitarbeiter noch vom Büro aus arbeiteten. Doch mit der Verlagerung der Applikationen vom Rechenzentrum in die Cloud sowie der Zunahme von Zweigstellen und Remote-Arbeit verloren diese NGFWs an Effizienz.

Und als Mitarbeiter im Zuge der COVID-19-Pandemie das Unternehmensnetzwerk nicht länger nutzen konnten und sich von unterschiedlichen Standorten aus verbinden mussten, erwiesen sich die traditionellen Netzwerk- und Sicherheitsansätze einschließlich der NGFWs als unzureichend. Der Grund dafür ist, dass NGFWs – genau wie andere Appliances – nie mit Blick auf die Cloud entwickelt wurden.

Zitat

Sie können Ihre traditionellen Sicherheits-Tools und deren Funktionalität nicht einfach auf die Cloud übertragen und dort ausführen. Sie müssen sicherstellen, dass Sie die richtige Technologie einsetzen.

Frederick Janssen, VP Global IT Infrastructure Portfolio, Siemens

FWaaS und NGFWs im Vergleich

Cloud-Applikationen wie Salesforce und Microsoft 365 wurden für den direkten Zugriff über das Internet entwickelt. Aus diesem Grund muss der Internet-Traffic lokal geroutet werden, damit eine schnelle Anwendererfahrung gewährleistet werden kann. Es macht also keinen Sinn mehr, den Traffic zunächst zurück zu den Firewalls der nächsten Generation (NGFWs) in Unternehmenszentren zu leiten, um ins Internet zu gelangen.

Lokale Internet-Breakouts mit herkömmlichen Sicherheitsansätzen absichern zu wollen, würde jedoch bedeuten, dass der Security-Stack einer Organisation an jedem einzelnen Standort repliziert werden müsste. Dies erfordert den Einsatz von NGFWs oder hardwarebasierten Security-Stacks in sämtlichen Zweigstellen. Aufgrund der Kosten und Komplexität ist die Bereitstellung und Verwaltung jedoch schlichtweg unrentabel.

Um es noch einmal zu wiederholen: Firewalls der nächsten Generation wurden nicht für Cloud-Applikationen konzipiert. Angesichts der fehlenden Skalierbarkeit sind NGFWs von dem hohen Volumen permanenter Verbindungen in Cloud-Umgebungen schnell überfordert. Hinzu kommt, dass sie SSL-verschlüsselten Traffic nicht nativ überprüfen können – ein Manko, das angesichts der dramatischen Zunahme des verschlüsselten Traffics in den vergangenen Jahren verstärkt ins Gewicht fällt.

Damit eine SSL-Überprüfung überhaupt erst möglich ist, müssen NGFWs durch Proxy-Funktionen aufgestockt werden. Die Überprüfung wird dann nicht auf der Chip-Ebene, sondern softwarebasiert ausgeführt, was die Performance beeinträchtigt und infolgedessen auch zu negativen Anwendererfahrungen führt.

Aufgrund ihrer cloudnativen Eigenschaften eignen sich FWaaS-Lösungen viel besser für die Durchführung von Funktionen wie Deep Packet Inspection und Data Loss Prevention. Da diese Lösungen speziell für die Cloud konzipiert sind, ermöglichen sie es Organisationen, Sicherheitsfunktionen in großem Maßstab zu skalieren. Auch wenn Anbieter von Firewalls der nächsten Generation dies nicht gern zugeben, können NGFWs hier schon lange nicht mehr mithalten. In den meisten Fällen handelt es sich bei den angebotenen Sicherheitslösungen um virtualisierte Firewall-Appliances. Zwar eignen sie sich gut als Sicherheitspuffer, aber nicht für die langfristige Absicherung einer Belegschaft in Cloud- und Hybridumgebungen.

Warum brauchen Unternehmen FWaaS?

Immer mehr Unternehmen setzen mittlerweile auf Cloud-Infrastrukturanbieter wie AWS, um eine erhöhte Skalierbarkeit zu ermöglichen. Dabei darf die Bereitstellung von Unternehmensfirewall-Funktionen für alle User an sämtlichen Standorten nicht vernachlässigt werden. Leider eignen sich NGFWs nicht für die Unterstützung von Cloud-Applikationen oder die besonderen Anforderungen des Cloud-Computing, da sie vor mehr als einem Jahrzehnt entwickelt wurden.

Virtuelle Firewalls weisen ähnliche Einschränkungen und Probleme wie herkömmliche NGFW-Appliances auf, wodurch die Effektivität beim Schutz vor modernen Cyberangriffen gemindert wird. Es machst also Sinn, nicht nur Anwendungen, sondern auch Firewalls Cloud-basiert zu gestalten.

Wie funktioniert FWaaS?

FWaaS-Lösungen (Firewall as a Service) ermöglichen es Organisationen, sichere lokale Breakouts für sämtliche Anwendungen einzurichten, ohne dass Sicherheitsappliances gekauft, bereitgestellt oder verwaltet werden müssen. Die Sicherheitsfunktionen einschließlich einer vollständigen Layer 7-Firewall werden als Cloud-Service bereitgestellt. Mit diesem flexibel skalierbaren Cloud-Service können Organisationen die SSL-Überprüfung, den zunehmenden Bandbreiten- und User-Bedarf sowie den von Cloud-Anwendungen generierten Traffic mit langlebigen Verbindungen problemlos bewältigen.

Dank der zentralen Verwaltung über eine einzige Konsole können Organisationen einen identischen Schutz für alle User auf jedem Gerät gewährleisten. Dabei spielt es keine Rolle, wo sich die User verbinden – sei es in der Unternehmenszentrale, in einer lokalen Niederlassung oder von zu Hause aus.

Vorteile von FWaaS

Gegenüber NGFWs bieten FWaaS-Lösungen zahlreiche Vorteile, darunter:

  • Proxy-basierte Architektur: Bei diesem Konzept wird der Traffic aller User, Anwendungen und Geräte an allen Standorten dynamisch überprüft. SSL/TLS-Traffic wird in großem Maßstab nativ überprüft, um in verschlüsseltem Traffic versteckte Malware zu entdecken. Darüber hinaus können granulare Netzwerk-Firewall-Richtlinien auf mehreren Layern basierend auf Netzwerkanwendung, Cloud-Anwendung, Domainnamen (Fully Qualified Domain Name, FQDN) und URL durchgesetzt werden.
  • Cloud IPS: Ein Cloud-basiertes Eindringschutzsystem (Intrusion Prevention System, IPS) bietet kontinuierlichen Schutz vor Bedrohungen, unabhängig von Verbindungstyp oder Standort. Der gesamte User-Traffic innerhalb und außerhalb des Netzwerks, einschließlich SSL-Traffic, wird überprüft, um vollständige Transparenz über User, Anwendungen und Internetverbindungen zu gewährleisten.
  • DNS-Sicherheit und -Kontrolle: Mithilfe einer cloudbasierten Firewall als erste Verteidigungslinie kann verhindert werden, dass User auf schädliche Domains zugreifen. Sie optimiert die DNS-Auflösung und verbessert so die Anwendererfahrung sowie die Performance von Cloud-Anwendungen, was bei CDN-basierten Anwendungen besonders kritisch ist. Außerdem bietet sie granulare Kontrollen zur Erkennung und Verhinderung von DNS-Tunneling.
  • Transparenz und vereinfachtes Management: Ein Cloud-basierter Firewall-Service bietet Transparenz, Kontrolle und sofortige Durchsetzung von Sicherheitsrichtlinien in Echtzeit auf der gesamten Plattform. Er protokolliert jede Sitzung detailliert und verwendet erweiterte Analysefunktionen, um Ereignisse zu korrelieren und mittels einer zentralen Konsole Einblicke in Bedrohungen und Sicherheitsrisiken für alle User, Anwendungen und Standorte zu bieten.
  • Auf Zero Trust ausgelegt: In puncto Cloud-Sicherheit gibt es keinen besseren Ansatz als ein Zero-Trust-Framework. Indem Unternehmen FWaaS-Lösungen als Teil ihres Zero-Trust-Frameworks einführen, können die Sicherheitsrichtlinien in Übereinstimmung mit dem SASE-Framework (Secure Access Service Edge) an den Endgeräten der User durchgesetzt werden. In Zeiten, in denen immer mehr Unternehmen auf Remote-Arbeit umsteigen, ist ein SASE-Modell nicht länger wegzudenken. Darüber hinaus kann mit Zero Trust die Latenz reduziert werden, da kein Netzwerkzugriff mehr erforderlich ist.

Nachdem wir nun erläutert haben, wie Unternehmen ihren Sicherheitsstatus mit FWaaS verbessern können, stellt sich die folgende Frage: Was sind die ersten Schritte auf dem Weg zu einer FWaaS-Lösung? Und genau hier ist Vorsicht geboten. Unternehmen auf der Suche nach einer FWaaS-Lösung werden rasch feststellen, dass es eine ganze Reihe von Serviceanbietern gibt, die allesamt einen verbesserten Schutz für Daten, Endgeräte, die Cloud und das IoT anbieten. Doch nur eine Firewall wurde in der Cloud und für die Cloud entwickelt – und zwar die von Zscaler.

Vorteile der Zscaler Cloud Firewall

Zscaler Firewall wird als Modul der integrierten Zscaler Zero Trust Exchange™ bereitgestellt. Kunden profitieren von Firewall-Kontrollen der nächsten Generation sowie erweiterter Sicherheit für alle User, an allen Standorten, für alle Ports und Protokolle. Die Zscaler Cloud Firewall bietet schnelle und sichere lokale Internet-Breakouts. Da der Service komplett über die Cloud bereitgestellt wird, entfallen Kauf, Installation und Verwaltung von Hardware.

Bei Firewalls der nächsten Generation müssen zahlreiche Sicherheitsfunktionen nachgerüstet werden, was insgesamt zu einem starren und schwachen Sicherheitsstatus führt. Die Zscaler Firewall bietet hingegen folgende Vorteile:

  • Festlegung und sofortige Durchsetzung granularer Firewall-Richtlinien
  • Von umfassender Transparenz zu umsetzbaren Informationen in Echtzeit
  • Ununterbrochenes IPS für alle User

Zscaler Firewall bietet unvergleichlichen Firewall-as-a-Service-Schutz, um Ihr Unternehmen agiler und sicherer zu machen.

Empfohlene Ressourcen

Bereitstellung von Zero Trust mit Firewalls der Cloud-Generation
Zum Webinar
Vereinfachung der Netzwerktransformation mit der Zscaler Cloud Firewall
E-Book lesen
Die Next-Generation Cloud Firewall von Zscaler
Zscaler Cloud Firewall: Ein Leitfaden für die sichere Cloud-Migration
Zum Whitepaper
SD-WAN ohne Cloud Firewall? Kommt gar nicht in Frage!
Zum Blogbeitrag

01 / 03