Was ist eine Firewall der nächsten Generation (Next Generation Firewall)?
Firewalls der nächsten Generation – Definition
Eine Firewall der nächsten Generation (NGFW) vereint herkömmliche Firewall-Technologien mit anderen Filterfunktionen für Netzwerkgeräte – z. B. Inline-Anwendungskontrolle, integriertes Eindringschutzsystem, Funktionen zur Abwehr von Bedrohungen und Virenschutz –, um die Sicherheit von Unternehmensnetzwerken zu verbessern.
Der Begriff Firewall der nächsten Generation wurde vor einem Jahrzehnt von Gartner geprägt und folgendermaßen definiert: „Eine Deep-Packet-Inspection-Firewall, die nicht nur Ports und Protokolle überprüft und blockiert, sondern diese Funktionen mit der Überprüfung auf Anwendungsebene, einem Eindringschutzsystem sowie der Bereitstellung von Informationen außerhalb der Firewall kombiniert.“
Firewalls der nächsten Generation im Vergleich zu herkömmlichen Firewalls
Herkömmliche Firewalls agieren nur auf Layer 3 und 4 des OSI-Modells (Open Systems Interconnection), um Aktionen zu koordinieren, den Netzwerk-Traffic zwischen Hosts und Endsystemen zu verwalten und vollständige Datenübertragungen sicherzustellen. Sie erlauben oder blockieren Traffic basierend auf Port und Protokoll, führen zustandsorientierte Überprüfungen durch und treffen Entscheidungen auf Grundlage festgelegter Sicherheitsrichtlinien.
Als komplexe Bedrohungen wie Ransomware aufkamen, war es ihnen ein Leichtes, diese Stateful Firewalls zu umgehen. Dementsprechend gefragt war eine optimierte, intelligentere Sicherheitslösung.
Die Firewall der nächsten Generation wurde zum Zeitpunkt ihrer Einführung als die nächste Entwicklungsstufe der Netzwerksicherheit angepriesen. Sie sollte das gesamte Leistungsspektrum einer herkömmlichen Firewall enthalten, jedoch mit präziseren Funktionen, die noch strengere Richtlinien für Identität, User, Standort und Anwendung bieten.
„Die Funktionen einer NGFW sind eigentlich eine Grundvoraussetzung. Das war einer der Hauptgründe, warum wir uns für Zscaler entschieden haben. Kein anderer Cloud-Service enthielt eine vollständige Protokollfunktion der nächsten Generation.“
Funktionen von Firewalls der nächsten Generation
Firewalls der nächsten Generation werden nach wie vor verwendet und bieten gegenüber ihren Vorgängern einige Vorteile hinsichtlich der Sicherheit von On-Premise-Netzwerken und -Anwendungen.
- Anwendungskontrolle: NGFWs überwachen aktiv, von welchen Anwendungen (und Usern) der eingehende Netzwerk-Traffic ausgeht. Sie sind dazu in der Lage, den Netzwerk-Traffic zu analysieren, um den Anwendungs-Traffic unabhängig von Port oder Protokoll zu erkennen, wodurch die gesamte Transparenz erhöht wird.
- IPS: Ein IPS überwacht Netzwerke kontinuierlich, sucht nach schädlichen Ereignissen und ergreift Maßnahmen, um sie zu verhindern. Das IPS kann Warnungen an Administratoren senden, Pakete verwerfen, Traffic blockieren oder die Verbindung vollständig zurücksetzen.
- Bedrohungsinformationen: Dabei handelt es sich um alle Daten, die von einer Vielzahl von Knoten in einem Netzwerk oder IT-Ökosystem erfasst werden. Anhand dieser Informationen können IT-Teams sowohl aktuelle als auch frühere Bedrohungen besser verstehen und analysieren. Sie stellen also eine wichtige Grundlage für die Cybersicherheit dar.
- Virenschutz: Wie der Name schon sagt, erkennt Antivirus-Software Viren, reagiert auf sie und aktualisiert die Erkennungsfunktionen, um die sich ständig verändernden Bedrohungen abzuwehren.
Funktionsweise einer Firewall der nächsten Generation
Beim Schutz von Unternehmensnetzwerken leisten Firewalls der nächsten Generation deutlich mehr als herkömmliche Firewalls.
Sie analysieren den Netzwerk-Traffic umfassend, um dessen Ursprung zu ermitteln. Dadurch sind sie in der Lage, mehr Informationen über schädlichen Traffic und die darin verborgenen Bedrohungen zu erfassen, die ständig versuchen, den Netzwerkperimeter zu infiltrieren, auf Unternehmensdaten zuzugreifen und den Ruf von Unternehmen zu schädigen.
Während eine herkömmliche Firewall nur auf Layer 3 und 4 agiert, können die sogenannten NGFWs sogar auf Layer 7 – der Anwendungsschicht – betrieben werden. Das bedeutet, dass selbst die gefährlichsten und hartnäckigsten Bedrohungen auf Anwendungsebene abgewehrt werden, bevor sie ins Netzwerk eindringen, was Zeit und Kosten spart.
Warum sind Firewalls der nächsten Generation notwendig?
In der Cyberbedrohungslandschaft der heutigen Zeit ist ein umfassender Schutz vor Bedrohungen unverzichtbar – herkömmliche Firewalls sind dieser Aufgabe nicht gewachsen.
Firewalls der nächsten Generation können Malware blockieren und sind zudem besser für die Abwehr von Advanced Persistent Threats (APTs) geeignet, hinter denen Akteure stecken wie die Hackergruppe Cozy Bear, die für den Angriff auf die Lieferkette von SUNBURST im Jahr 2020 verantwortlich zeichnete, oder die Cyberspionagegruppe Deep Panda, die mehrfach die Sicherheitslücke „Log4Shell“ ausnutzte.
Darüber hinaus beinhalten Firewalls der nächsten Generation integrierte Bedrohungsinformationen und Optionen für Netzwerk- und Sicherheitsautomatisierung. So können Unternehmen nicht nur ihre Sicherheitsabläufe vereinfachen, sondern auch ein umfassendes Security Operations Center (SOC) einrichten.
All diese potenziellen Vorteile sind jedoch mit einer Reihe von Nachteilen verbunden.
Herausforderungen im Zusammenhang mit Firewalls der nächsten Generation
Zwar bieten die sogenannten NGFWs erhebliche Vorteile, doch es mangelt ihnen an der nötigen Funktionalität, um die verteilten Belegschaften von heute zu unterstützen.
Traffic-Backhauling zur Firewall der nächsten Generation war sinnvoll, als sich die Anwendungen noch im Rechenzentrum und Mitarbeiter – und somit auch die Endgeräte – in der Unternehmenszentrale oder in Zweigstellen befanden.
Mittlerweile wurden Anwendungen jedoch in die Cloud verlagert, um standortunabhängige Arbeitsmodelle zu unterstützen. Dem sind herkömmliche Netzwerk- und Sicherheitstools wie NGFWs und VPNs aufgrund der mangelnden Skalierbarkeit nicht mehr gewachsen.
Die am häufigsten verwendeten Cloud-Anwendungen wie Microsoft 365 wurden für den direkten Zugriff über das Internet konzipiert. Um solche Verbindungen herzustellen, müssen Unternehmen den Internet-Traffic lokal routen, damit eine schnelle Anwendererfahrung gewährleistet ist. Es ist also nicht mehr sinnvoll, den Traffic zurück zu Firewalls der nächsten Generation im Unternehmensrechenzentrum zu leiten, um ins Internet zu gelangen.
Lokale Internet-Breakouts mit derartigen NGFWs absichern zu wollen, würde damit einhergehen, den gesamten Security-Stack an jedem einzelnen Standort und damit in sämtlichen Zweigstellen replizieren zu müssen und wäre mit viel zu hohen Kosten und enormem Arbeitsaufwand verbunden.
Außerdem wurden Firewalls der nächsten Generation nicht für Cloud-basierte Anwendungen konzipiert. Entsprechend sind sie von dem hohen Volumen permanenter Verbindungen in Cloud-Umgebungen schnell überfordert und können somit standardmäßig nur schlecht mit Cloud-Anwendungen kombiniert werden.
Als weiterer Nachteil kommt hinzu, dass sie SSL-verschlüsselten Traffic nicht nativ überprüfen können. Da mittlerweile fast der gesamte Web-Traffic verschlüsselt ist, fällt dieses Manko verstärkt ins Gewicht. Damit eine SSL-Überprüfung überhaupt möglich wird, müssen NGFWs durch Proxy-Funktionen aufgestockt werden. Die Überprüfung wird dann nicht auf der Chip-Ebene, sondern softwarebasiert ausgeführt, was nicht nur die Performance und damit auch die User Experience empfindlich beeinträchtigt, sondern auch neuen Sicherheitsbedrohungen wie komplexer Malware Tür und Tor öffnet.
Cloud Firewalls sind die Lösung der Zukunft
Die Firewalls der nächsten Generation (NGFWs), die heute im Einsatz sind, wurden vor über einem Jahrzehnt entwickelt. Unternehmen setzen inzwischen verstärkt auf die Cloud und benötigen dynamischere und modernere Funktionen für die Einrichtung von Sicherheits- und Zugriffskontrollen zum Schutz ihrer Daten. Für derartige Funktionen sind die NGFWs jedoch nicht ausgelegt.
Unternehmen brauchen nach wie vor unternehmensgerechte Firewall-Funktionen für ihre lokalen Internet-Breakouts, vor allem wenn sie weiterhin auf Cloud-Anbieter wie AWS und Azure zurückgreifen. Leider wurden NGFWs nicht mit Blick auf die Unterstützung von Cloud-Anwendungen und -Infrastrukturen entwickelt. Die entsprechenden virtuellen Firewalls unterliegen zudem ähnlichen Einschränkungen und weisen die gleichen Nachteile wie herkömmliche NGFW-Appliances auf.
Daher ist es sinnvoll, nicht nur Anwendungen, sondern auch Firewalls Cloud-basiert zu gestalten.
Die vier wichtigsten Vorteile von Cloud Firewalls
- Proxy-basierte Architektur: Bei diesem Konzept wird der Netzwerk-Traffic aller User, Anwendungen und Geräte an allen Standorten dynamisch überprüft. SSL/TLS-Traffic wird in großem Maßstab nativ überprüft, um in verschlüsseltem Traffic versteckte Malware zu entdecken. Darüber hinaus können granulare Netzwerk-Firewall-Richtlinien auf mehreren Layern basierend auf Netzwerkanwendung, Cloud-Anwendung, vollständigem Domainnamen (Fully Qualified Domain Name, FQDN) und URL durchgesetzt werden.
- Cloud-IPS: Ein Cloud-basiertes IPS bietet kontinuierlichen Schutz vor Bedrohungen, unabhängig von Verbindungstyp oder Standort. Der gesamte User-Traffic innerhalb und außerhalb des Netzwerks, einschließlich SSL-Traffic, wird überprüft, um vollständige Transparenz über User, Anwendungen und Internetverbindungen zu gewährleisten.
- DNS-Sicherheit und -Kontrolle: Mithilfe einer Cloud Firewall kann verhindert werden, dass User auf schädliche Domains zugreifen. Sie optimiert die DNS-Auflösung und verbessert so die Anwendererfahrung sowie die Performance von Cloud-Anwendungen, insbesondere von CDN-basierten Anwendungen. Außerdem bietet sie granulare Kontrollen zur Erkennung und Verhinderung von DNS-Tunneling.
- Transparenz und vereinfachtes Management: Eine Cloud-basierte Firewall bietet Transparenz, Kontrolle und sofortige Durchsetzung von Sicherheitsrichtlinien in Echtzeit auf der gesamten Plattform. Sie protokolliert jede Sitzung detailliert und verwendet erweiterte Analysefunktionen, um Ereignisse zu korrelieren und mittels einer zentralen Konsole Einblicke in Bedrohungen und Sicherheitsrisiken für alle User, Anwendungen, APIs und Standorte zu bieten.
Nur wenige Anbieter können eine vollständige Suite von Cloud-Firewall-Funktionen implementieren. Und nur ein Anbieter kann sie als Teil einer umfassenden und bewährten Cloud-Sicherheitsplattform bereitstellen.
Kundenreferenz von AutoNation
Video ansehen
Vereinfachung der Netzwerktransformation mit der Zscaler Cloud Firewall
E-Book lesen
Die Next-Generation Cloud Firewall von Zscaler
Video ansehen
Zscaler Cloud Firewall
Die Zscaler Cloud Firewall bietet mehr Leistung als NGFW-Appliances, ist aber weniger komplex und kostenintensiv. Als Teil der integrierten Zscaler Zero Trust Exchange™ stellt sie die Kontrollfunktionen einer Firewall der nächsten Generation und erweiterte Sicherheit für alle User an allen Standorten sowie für alle Ports und Protokolle bereit. Die Zscaler Cloud Firewall bietet schnelle und sichere lokale Internet-Breakouts. Da sie komplett über die Cloud bereitgestellt wird, entfallen Kauf, Installation und Verwaltung von Hardware.
Bei Firewalls der nächsten Generation müssen zahlreiche Sicherheitsfunktionen nachgerüstet werden, was insgesamt zu einem starren und schwachen Sicherheitsstatus führt. Die Zscaler Cloud Firewall bietet hingegen folgende Vorteile:
- Festlegung und sofortige Durchsetzung granularer Firewall-Richtlinien
- Von umfassender Transparenz zu umsetzbaren Informationen in Echtzeit
- Ununterbrochenes IPS für alle User
Wie groß ist der Unterschied, den Cloud-Sicherheit macht, wirklich?
Unternehmen, die sich noch auf Legacy-Firewalls der nächsten Generation verlassen und sich nicht sicher sind, wie gut ihr Sicherheitsstatus wirklich ist, können eine Demo anfordern, um mehr über die sicherheitsbezogenen Vorteile einer Cloud Firewall zu erfahren.