Was ist eine Firewall der nächsten Generation (Next Generation Firewall)?

Firewalls der nächsten Generation im Vergleich zu herkömmlichen Firewalls

Herkömmliche Firewalls agieren auf Layer 3 und 4 des OSI-Modells (Open Systems Interconnection), um Aktionen zu koordinieren und den Netzwerk-Traffic zwischen Hosts und Endsystemen zu verwalten. Sie erlauben oder blockieren Traffic basierend auf Port und Protokoll, führen zustandsorientierte Überprüfungen durch und treffen Entscheidungen auf Grundlage festgelegter Sicherheitsrichtlinien.

Als fortschrittliche Bedrohungen wie Ransomware erstmalig auftraten, konnten Stateful Firewalls von Angreifern leicht umgangen werden, was zu einer hohen Nachfrage nach einer verbesserten, intelligenteren Sicherheitslösung führte.

Der Begriff „Firewall der nächsten Generation“ (NGFW) wurde ca. 2007 von Gartner geprägt und definiert als „eine Deep-Packet-Inspection-Firewall, die nicht nur Ports und Protokolle überprüft und blockiert, sondern diese Funktionen mit der Überprüfung auf Anwendungsebene, einem Eindringschutzsystem sowie Informationen außerhalb der Firewall kombiniert.“ Neben allen Funktionen einer herkömmlichen Firewall bietet sie zudem die Möglichkeit, granulare Richtlinien basierend auf Identität, Standort, Anwendung und Inhalt anzuwenden.

Wie funktionieren NGFWs?

Im Vergleich zu herkömmlichen Firewalls untersuchen Firewalls der nächsten Generation den Netzwerktraffic genauer, um zu ermitteln, woher er kommt. Sie sind in der Lage, umfassendere Informationen über schädlichen Traffic und eingebettete Bedrohungen zu erfassen, die versuchen, in den Netzwerkperimeter einzudringen und auf Unternehmensdaten zuzugreifen.

Während herkömmliche Firewalls nur auf Layer 3 und 4 des OSI-Referenzmodells agieren, können NGFWs auf Layer 7 (der Anwendungsschicht) betrieben werden. Daher werden Bedrohungen auf Anwendungsebene – darunter einige besonders gefährliche und hartnäckige – frühzeitig erkannt und abgewehrt, sodass der Kosten- und Zeitaufwand für die Behebung von Sicherheitsverletzungen entfällt.

Welche Funktionen bietet eine NGFW?

NGFWs bieten wie ihre Vorläufer grundlegende Firewall-Funktionen wie URL-Filterung, Virenschutz und Unterstützung für Remote-Access-VPNs, jedoch verfügen sie zusätzlich über eine Reihe erweiterter Sicherheitsfunktionen:

• Durch die Anwendungserkennung ist eine granulare Richtliniendurchsetzung und Anwendungskontrolle auf der Grundlage bestimmter Anwendungen, ihrer Inhalte, der Quelle und des Ziels des Traffics usw. möglich, statt einer eingeschränkten Durchsetzung anhand von Port, Protokoll und IP-Adresse.
• Deep Packet Inspection (DPI) analysiert den Inhalt von Netzwerkpaketen, um Details auf Anwendungsebene zu identifizieren und Bedrohungen zu lokalisieren, die sich im ansonsten legitimen Traffic verbergen.
• Das Eindringschutzsystem erkennt und blockiert sowohl bekannte als auch unbekannte Bedrohungen, indem es den Traffic auf verdächtige Muster und Verhaltensweisen untersucht.
• Mithilfe der Useridentifizierung kann die NGFW die Netzwerkaktivität bestimmten Usern und nicht nur den Orten, an denen sie eine Verbindung herstellen, zuordnen, um userbasierte Richtlinien und Monitoring-Funktionen anzuwenden.
• Die TLS/SSL-Überprüfung entschlüsselt und prüft TLS/SSL-verschlüsselten Traffic – der heutzutage die überwiegende Mehrheit des Traffics ausmacht –, um versteckte Bedrohungen zu finden. (Allerdings ist die Überprüfung sehr rechenintensiv, was die Performance von Firewalls mit begrenzter Hardware beeinträchtigt.)
• Mithilfe von Threat Intelligence kann eine NGFW Schutzmaßnahmen basierend auf neu entdeckten Bedrohungen aus mehreren Quellen aktualisieren, einschließlich der eigenen Netzwerkknoten des Unternehmens sowie öffentlicher und Drittanbieter-Feeds.

Warum sind Firewalls der nächsten Generation notwendig?

In der Cyberbedrohungslandschaft der heutigen Zeit ist ein umfassender Schutz vor Bedrohungen unverzichtbar – herkömmliche Firewalls sind dieser Aufgabe nicht gewachsen. NGFWs können fortschrittliche Malware blockieren und sind zudem besser für die Abwehr von Advanced Persistent Threats (APTs) geeignet. Dabei handelt es sich beispielsweise um Akteure wie die Hackergruppe Cozy Bear, die für den Angriff auf die SUNBURST-Lieferkette im Jahr 2020 verantwortlich ist, sowie die Cyberspionagegruppe Deep Panda, die durch die Ausnutzung der Log4Shell-Schwachstelle Aufsehen erregt hat.

Darüber hinaus beinhalten Firewalls der nächsten Generation integrierte Bedrohungsinformationen und Optionen für Netzwerk- und Sicherheitsautomatisierung. So können Unternehmen nicht nur ihre Sicherheitsabläufe vereinfachen, sondern auch ein umfassendes Security Operations Center (SOC) einrichten.

All diese potenziellen Vorteile bringen jedoch auch einige Herausforderungen mit sich.

Herausforderungen im Zusammenhang mit NGFWs

Da physische NGFW-Appliances aufgrund ihrer Hardware eingeschränkt sind, können sie in vielen Fällen die Anforderungen der heutigen modernen Umgebungen nicht effektiv erfüllen, was zu mehreren Problemen führt.

Traffic-Backhauling aus Sicherheitsgründen

Das Backhauling zu einer NGFW war sinnvoll, als sich Rechenzentren, Endgeräte und Ressourcen größtenteils On-Premise befanden. Doch jetzt, da die Mobilität der User und die Cloud-Einführung weiterhin im Aufwärtstrend sind, kann die NGFW-Hardware in einem herkömmlichen Rechenzentrum einfach nicht mithalten.

Cloud-Anwendungen wie Microsoft 365 sind für den direkten Zugriff über das Internet gedacht. Damit VPNs und NGFWs im Rechenzentrum einer Organisation jedoch Zugriff und Sicherheit bereitstellen können, muss der gesamte Traffic über dieses Rechenzentrum laufen, was alle Vorgänge verlangsamt. Um eine schnelle User Experience zu gewährleisten, müssen Unternehmen den Internet-Traffic lokal routen.

Absichern lokaler Internet-Breakouts

Sie können lokale Internet-Breakouts mit NGFW-Hardware schützen, benötigen dazu jedoch an jedem Standort einen separaten Security-Stack — NGFWs und möglicherweise weitere Appliances in jeder Zweigstelle, die alle manuell bereitgestellt, gewartet und schließlich ersetzt werden müssen, was schnell übermäßig komplex und teuer werden kann.

Überprüfung des TLS/SSL-verschlüsselten Traffics

Fast der gesamte heutige Webtraffic ist verschlüsselt. Zur Durchführung einer SSL-Überprüfung verwenden die meisten NGFWs zusätzliche Proxy-Funktionen, die die Überprüfung nicht auf Chipebene, sondern in der Software vornehmen. Dies wirkt sich stark auf die Performance aus, was wiederum die User Experience beeinträchtigt — aber ohne Überprüfung bleiben mehr als 85 % der Angriffe unentdeckt.

Arten von NGFWs

NGFWs sind per Definition Deep-Packet-Inspection-Firewalls, die auf Anwendungsebene agieren und sowohl Eindringschutz als auch Threat Intelligence beinhalten. Abgesehen von den Hauptfunktionen gibt es NGFWs in drei verschiedenen Ausführungen:

• Hardware-NGFWs sind physische Appliances, die für die On-Premise-Bereitstellung entwickelt wurden. Als dedizierte Sicherheitshardware werden diese NGFWs hauptsächlich in Rechenzentren oder für andere Anwendungsfälle verwendet, die physische Appliances erfordern.
• Virtuelle NGFWs sind softwarebasiert und werden auf virtuellen Maschinen (VMs) ausgeführt. Sie sind flexibel und skalierbar genug, um besser für virtualisierte und cloudbasierte Anwendungen und Services geeignet zu sein als reine Hardware-NGFWs, aber sie sind immer noch auf die eigene Infrastruktur des Unternehmens angewiesen und werden durch die Rechenleistung der Hardware eingeschränkt, von der sie abgetrennt sind.
• Cloudbasierte NGFWs stellen Firewall-Services von Drittanbietern aus der Cloud bereit und ermöglichen so die Absicherung von Traffic, der nicht durch ein herkömmliches Rechenzentrum geleitet wird. Sie sind für die Absicherung von cloudnativen Umgebungen, verteilten Netzwerken und Remote-Usern konzipiert und bieten eine höhere Skalierbarkeit sowie zentralisiertes Sicherheitsmanagement.

Cloud Firewalls als Lösung der Zukunft

Inzwischen setzen Unternehmen verstärkt auf die Cloud und benötigen dynamische, zukunftsfähige Funktionen für die Einrichtung von Sicherheits- und Zugriffskontrollen zum Schutz ihrer Daten. Für derartige Funktionen sind NGFWs jedoch nicht ausgelegt.

Insbesondere Unternehmen, die die Cloud-Umgebungen von Anbietern wie AWS und Azure nutzen, brauchen nach wie vor unternehmensfähige Firewall-Funktionen für ihre lokalen Internet-Breakouts. NGFWs wurden allerdings nicht für die Unterstützung von Cloud-Anwendungen und -Infrastrukturen entwickelt. Selbst virtuelle Firewalls unterliegen ähnlichen Einschränkungen und weisen die gleichen Nachteile wie herkömmliche NGFW-Appliances auf.

Daher ist es sinnvoll, nicht nur Anwendungen, sondern auch Firewalls Cloud-basiert zu gestalten.

Die vier wichtigsten Vorteile von Cloud Firewalls

• Proxy-basierte Architektur: Bei diesem Modell wird der Netzwerk-Traffic aller User, Anwendungen und Geräte an allen Standorten dynamisch überprüft. Zur Erkennung von Malware, die im verschlüsselten Traffic versteckt ist, wird der SSL/TLS-Traffic auch bei hohen Volumen nativ überprüft. Darüber hinaus können granulare Netzwerk-Firewall-Richtlinien über mehrere Layer basierend auf Netzwerk- und Cloud-Anwendung, vollständigem Domainnamen (Fully Qualified Domain Name, FQDN) und URL durchgesetzt werden.
• Cloud-IPS: Ein Cloud-basiertes IPS bietet kontinuierlichen Schutz vor Bedrohungen, unabhängig von Verbindungstyp oder Standort. Der gesamte User-Traffic innerhalb und außerhalb des Netzwerks, einschließlich SSL-Traffic, wird überprüft, um vollständige Transparenz über User, Anwendungen und Internetverbindungen zu gewährleisten.
• DNS-Sicherheit und -Kontrolle: Mithilfe einer Cloud Firewall kann verhindert werden, dass User auf schädliche Domains zugreifen. Sie optimiert die DNS-Auflösung und verbessert so die Anwendererfahrung sowie die Performance von Cloud-Anwendungen, insbesondere von CDN-basierten Anwendungen. Außerdem bietet sie granulare Kontrollen zur Erkennung und Verhinderung von DNS-Tunneling.
• Transparenz und vereinfachtes Management: Eine Cloud-basierte Firewall bietet Transparenz, Kontrolle und sofortige Durchsetzung von Sicherheitsrichtlinien in Echtzeit auf der gesamten Plattform. Sie protokolliert jede Sitzung detailliert und verwendet erweiterte Analysefunktionen, um Ereignisse zu korrelieren und mittels einer zentralen Konsole Einblicke in Bedrohungen und Sicherheitsrisiken für alle User, Anwendungen, APIs und Standorte zu bieten.

Nur wenige Anbieter können eine vollständige Suite von Cloud-Firewall-Funktionen implementieren. Und nur ein Anbieter kann sie als Teil einer umfassenden und bewährten Cloud-Sicherheitsplattform bereitstellen.

Zscaler Cloud Firewall

Die Zscaler Firewall ist leistungsstärker als NGFW-Appliances,
ohne deren Kosten und Komplexität. Als Teil der integrierten Zscaler Zero Trust Exchange™ bietet sie Firewall-Kontrollen der nächsten Generation und erweiterte Sicherheit für alle User, an allen Standorten, für alle Ports und Protokolle. Die Zscaler Firewall ermöglicht schnelle und sichere lokale Internet-Breakouts. Da sie komplett über die Cloud bereitgestellt wird, entfällt die Anschaffung, Installation und Verwaltung von Hardware.

Bei Firewalls der nächsten Generation müssen zahlreiche Sicherheitsfunktionen nachgerüstet werden, was insgesamt zu einem starren und schwachen Sicherheitsstatus führt. Die Zscaler Firewall bietet hingegen folgende Vorteile:

• Festlegung und sofortige Durchsetzung granularer Firewall-Richtlinien
• Von umfassender Transparenz zu umsetzbaren Informationen in Echtzeit
• Ununterbrochenes IPS für alle User