Es ist an der Zeit, die Sicherheit in die Cloud zu verlagern.
Am besten fordern Sie gleich heute eine Demo an, um zu erfahren, wie Sie Ihr Unternehmen mit der Cloud-Firewall-as-a-Service von Zscaler agiler und sicherer machen.
Firewall as a Service (FWaaS) ist eine auf einer Cloud Firewall basierende Netzwerksicherheitstechnologie, die erweiterte Layer-7/NGFW-Funktionen (Next-Generation Firewall) bereitstellen kann. Dazu zählen Zugriffskontrollen wie URL-Filterung, Schutz vor komplexen Bedrohungen, Eindringschutzsysteme (Intrusion Prevention Systems, IPS) und DNS-Sicherheit.
FWaaS-Lösungen dienen nicht einfach nur dazu, Netzwerk-Firewall-Appliances zu virtualisieren – sie machen diese Appliances tatsächlich überflüssig. Organisationen können somit ihre IT-Infrastruktur vereinfachen und für eine erhöhte Cybersicherheit sorgen. FWaaS ermöglicht eine zentrale Verwaltung über eine einzige Konsole. So können Unternehmen die Herausforderungen rund um Änderungskontrolle, Patch-Management, Koordinierung von Ausfallzeiten und Richtlinienverwaltung im Zusammenhang mit NGFW-Appliances bewältigen. Gleichzeitig lassen sich Richtlinien unabhängig vom Standort der User konsistent durchsetzen.
Herkömmliche On-Premise-Firewalls wurden für die Überprüfung des Netzwerk-Traffics in den Niederlassungen von Unternehmen konzipiert und programmiert. Wie der Name besagt, wird die FWaaS-Lösung über die Cloud bereitgestellt, wobei der Hauptunterschied darin besteht, dass On-Premise-Firewalls sich nur schwer skalieren lassen und kaum Anpassungsmöglichkeiten an veränderte Netzwerkanforderungen und die Weiterentwicklung von Bedrohungen bieten. Aufgrund ihrer Cloud-nativen Eigenschaften unterliegt die FWaaS-Lösung nicht denselben Problemen und bietet diese beiden Vorteile sehr wohl. Unternehmen steht somit ein weitaus besseres Tool zur Absicherung von Daten und Endgeräten sowie zur Durchführung gründlicher Sicherheitsüberprüfungen zur Verfügung.
In der Vergangenheit, als Geschäftsabläufe vorwiegend im Büro abgewickelt wurden, boten herkömmliche Firewalls eine ausreichende Netzwerksicherheit. Da sich Mitarbeiter fast ausschließlich in den Büros aufhielten, war das Ausmaß der Bedrohungen auf die Unternehmensstandorte selbst beschränkt. Es gab schlicht keinen Anlass für Sicherheits- und IT-Teams, die Funktion der Firewall über den Installationsort hinaus auszuweiten.
Die heutige Situation ist jedoch eine ganz andere, da immer mehr Organisationen mit Cloud-Services wie SaaS arbeiten, Endgeräte über unzählige Orte verteilt betrieben werden und ständig neue Bedrohungen aufkommen. Das hat zur Folge, dass Firewalls nicht länger nur im Rechenzentrum angesiedelt sein sollten. Vielmehr müssen sie in die Cloud verlagert und die Schutzfunktionen so ausgeweitet werden, dass sich die Sicherheit auf Ressourcen und Mitarbeiter an jedem Standort erstreckt.
Traffic-Backhauling zur NGFW eines Unternehmens oder zum regionalen Rechenzentrum war sinnvoll, als die Anwendungen noch in Rechenzentren untergebracht waren und die meisten Mitarbeiter noch vom Büro aus arbeiteten. Doch mit der Verlagerung der Applikationen vom Rechenzentrum in die Cloud sowie der Zunahme von Zweigstellen und Remote-Arbeit verloren diese NGFWs an Effizienz.
Und als Mitarbeiter im Zuge der COVID-19-Pandemie das Unternehmensnetzwerk nicht länger nutzen konnten und sich von unterschiedlichen Standorten aus verbinden mussten, erwiesen sich die traditionellen Netzwerk- und Sicherheitsansätze einschließlich der NGFWs als unzureichend. Der Grund dafür ist, dass NGFWs – genau wie andere Appliances – nie mit Blick auf die Cloud entwickelt wurden.
Frederick Janssen, VP Global IT Infrastructure Portfolio, Siemens
Cloud-Applikationen wie Salesforce und Microsoft 365 wurden für den direkten Zugriff über das Internet entwickelt. Aus diesem Grund muss der Internet-Traffic lokal geroutet werden, damit eine schnelle Anwendererfahrung gewährleistet werden kann. Es macht also keinen Sinn mehr, den Traffic zunächst zurück zu den Firewalls der nächsten Generation (NGFWs) in Unternehmenszentren zu leiten, um ins Internet zu gelangen.
Lokale Internet-Breakouts mit herkömmlichen Sicherheitsansätzen absichern zu wollen, würde jedoch bedeuten, dass der Security-Stack einer Organisation an jedem einzelnen Standort repliziert werden müsste. Dies erfordert den Einsatz von NGFWs oder hardwarebasierten Security-Stacks in sämtlichen Zweigstellen. Aufgrund der Kosten und Komplexität ist die Bereitstellung und Verwaltung jedoch schlichtweg unrentabel.
Um es noch einmal zu wiederholen: Firewalls der nächsten Generation wurden nicht für Cloud-Applikationen konzipiert. Angesichts der fehlenden Skalierbarkeit sind NGFWs von dem hohen Volumen permanenter Verbindungen in Cloud-Umgebungen schnell überfordert. Hinzu kommt, dass sie SSL-verschlüsselten Traffic nicht nativ überprüfen können – ein Manko, das angesichts der dramatischen Zunahme des verschlüsselten Traffics in den vergangenen Jahren verstärkt ins Gewicht fällt.
Damit eine SSL-Überprüfung überhaupt erst möglich ist, müssen NGFWs durch Proxy-Funktionen aufgestockt werden. Die Überprüfung wird dann nicht auf der Chip-Ebene, sondern softwarebasiert ausgeführt, was die Performance beeinträchtigt und infolgedessen auch zu negativen Anwendererfahrungen führt.
Aufgrund ihrer Cloud-nativen Eigenschaften eignen sich FWaaS-Lösungen viel besser für die Durchführung von Funktionen wie Deep Packet Inspection und Data Loss Prevention. Da diese Lösungen speziell für die Cloud konzipiert sind, ermöglichen sie es Organisationen, Sicherheitsfunktionen in großem Maßstab zu skalieren. Auch wenn Anbieter von Firewalls der nächsten Generation dies nicht gern zugeben, können NGFWs hier schon lange nicht mehr mithalten. In den meisten Fällen handelt es sich bei den angebotenen Sicherheitslösungen um virtualisierte Firewall-Appliances. Zwar eignen sie sich gut als Sicherheitspuffer, aber nicht für die langfristige Absicherung einer Belegschaft in Cloud- und Hybridumgebungen.
Immer mehr Unternehmen setzen mittlerweile auf Cloud-Infrastrukturanbieter wie AWS, um eine erhöhte Skalierbarkeit zu ermöglichen. Dabei darf die Bereitstellung von Unternehmensfirewall-Funktionen für alle User an sämtlichen Standorten nicht vernachlässigt werden. Leider eignen sich NGFWs nicht für die Unterstützung von Cloud-Applikationen oder die besonderen Anforderungen des Cloud-Computing, da sie vor mehr als einem Jahrzehnt entwickelt wurden.
Virtuelle Firewalls weisen ähnliche Einschränkungen und Probleme wie herkömmliche NGFW-Appliances auf, wodurch die Effektivität beim Schutz vor modernen Cyberangriffen gemindert wird. Es machst also Sinn, nicht nur Anwendungen, sondern auch Firewalls Cloud-basiert zu gestalten.
FWaaS-Lösungen (Firewall as a Service) ermöglichen es Organisationen, sichere lokale Breakouts für sämtliche Anwendungen einzurichten, ohne dass Sicherheitsappliances gekauft, bereitgestellt oder verwaltet werden müssen. Die Sicherheitsfunktionen einschließlich einer vollständigen Layer 7-Firewall werden als Cloud-Service bereitgestellt. Mit diesem flexibel skalierbaren Cloud-Service können Organisationen die SSL-Überprüfung, den zunehmenden Bandbreiten- und User-Bedarf sowie den von Cloud-Anwendungen generierten Traffic mit langlebigen Verbindungen problemlos bewältigen.
Dank der zentralen Verwaltung über eine einzige Konsole können Organisationen einen identischen Schutz für alle User auf jedem Gerät gewährleisten. Dabei spielt es keine Rolle, wo sich die User verbinden – sei es in der Unternehmenszentrale, in einer lokalen Niederlassung oder von zu Hause aus.
Gegenüber NGFWs bieten FWaaS-Lösungen zahlreiche Vorteile, darunter:
Nachdem wir nun erläutert haben, wie Unternehmen ihren Sicherheitsstatus mit FWaaS verbessern können, stellt sich die folgende Frage: Was sind die ersten Schritte auf dem Weg zu einer FWaaS-Lösung? Und genau hier ist Vorsicht geboten. Unternehmen auf der Suche nach einer FWaaS-Lösung werden rasch feststellen, dass es eine ganze Reihe von Serviceanbietern gibt, die allesamt einen verbesserten Schutz für Daten, Endgeräte, die Cloud und das IoT anbieten. Doch nur eine Firewall wurde in der Cloud und für die Cloud entwickelt – und zwar die von Zscaler.
Die Zscaler Cloud Firewall ist Teil der integrierten Zscaler Zero Trust Exchange™ und stellt die Kontrollfunktionen einer Firewall der nächsten Generation und erweiterte Sicherheit für alle User an allen Standorten sowie für alle Ports und Protokolle bereit. Die Zscaler Cloud Firewall bietet schnelle und sichere lokale Internet-Breakouts. Da der Service komplett über die Cloud bereitgestellt wird, entfallen Kauf, Installation und Verwaltung von Hardware.
Bei Firewalls der nächsten Generation müssen zahlreiche Sicherheitsfunktionen nachgerüstet werden, was insgesamt zu einem starren und schwachen Sicherheitsstatus führt. Die Zscaler Cloud Firewall bietet hingegen folgende Vorteile:
Es ist an der Zeit, die Sicherheit in die Cloud zu verlagern.
Am besten fordern Sie gleich heute eine Demo an, um zu erfahren, wie Sie Ihr Unternehmen mit der Cloud-Firewall-as-a-Service von Zscaler agiler und sicherer machen.
Bereitstellung von Zero Trust mit Firewalls der Cloud-Generation
Zum WebinarVereinfachung der Netzwerktransformation mit der Zscaler Cloud Firewall
E-Book lesenDie Next-Generation Cloud Firewall von Zscaler
Zscaler Cloud Firewall: Ein Leitfaden für die sichere Cloud-Migration
Whitepaper lesenSD-WAN ohne Cloud Firewall? Kommt gar nicht in Frage!
Zum Blogbeitrag