Setzen Sie immer noch auf herkömmliche NGFWs? Ist Ihre Organisation damit ausreichend geschützt? Am besten fordern Sie gleich heute eine Demo an, um sich von den Vorteilen einer Cloud-Firewall gegenüber NFGWs zu überzeugen.
Herkömmliche Firewalls agieren nur auf Layer 3 und 4 des OSI-Modells (Open Systems Interconnection), um Aktionen zu koordinieren, den Netzwerk-Traffic zwischen Hosts und Endsystemen zu verwalten und vollständige Datenübertragungen sicherzustellen. Sie erlauben oder blockieren Traffic basierend auf Port und Protokoll, führen zustandsorientierte Überprüfungen durch und treffen Entscheidungen auf Grundlage festgelegter Sicherheitsrichtlinien.
Als komplexe Bedrohungen wie Ransomware aufkamen, war es ihnen ein Leichtes, diese Stateful Firewalls zu umgehen. Dementsprechend gefragt war eine optimierte, intelligentere Sicherheitslösung.
Der Begriff „Firewall der nächsten Generation“ wurde vor mehr als einem Jahrzehnt von Gartner geprägt und definiert als „eine Deep-Packet-Inspection-Firewall, die nicht nur Ports und Protokolle überprüft und blockiert, sondern diese Funktionen mit der Überprüfung auf Anwendungsebene, einem Eindringschutzsystem sowie Informationen außerhalb der Firewall kombiniert.“ Sie sollten das gesamte Leistungsspektrum herkömmlicher Firewalls bereitstellen, jedoch mit granularen Funktionen, die noch strengere Kontrollmaßnahmen zur Überprüfung von Identität, User, Standort und Anwendung unterstützen.
Ken Athanasiou, CISO und Vice President von AutoNation
Firewalls der nächsten Generation werden nach wie vor verwendet und bieten gegenüber ihren Vorgängern einige Vorteile hinsichtlich der Sicherheit von On-Premise-Netzwerken und -Anwendungen.
Beim Schutz von Unternehmensnetzwerken leisten Firewalls der nächsten Generation deutlich mehr als herkömmliche Firewalls. Sie analysieren den Netzwerk-Traffic umfassend, um dessen Ursprung zu ermitteln. Dadurch sind sie in der Lage, mehr Informationen über schädlichen Traffic und die darin verborgenen Bedrohungen zu erfassen, die ständig versuchen, den Netzwerkperimeter zu infiltrieren, auf Unternehmensdaten zuzugreifen und den Ruf von Unternehmen zu schädigen.
Während herkömmliche Firewalls nur auf der Vermittlungs- und der Transportschicht des OSI-Referenzmodells agieren, können NGFWs auf sämtlichen Schichten inklusive der Anwendungsschicht (Layer 7) betrieben werden. Daher werden Bedrohungen auf Anwendungsebene – darunter einige besonders gefährliche und hartnäckige – frühzeitig erkannt und abgewehrt, sodass der Kosten- und Zeitaufwand für die Behebung von Sicherheitsverletzungen entfällt.
In der Cyberbedrohungslandschaft der heutigen Zeit ist ein umfassender Schutz vor Bedrohungen unverzichtbar – herkömmliche Firewalls sind dieser Aufgabe nicht gewachsen. Firewalls der nächsten Generation können Malware blockieren und sind zudem besser für die Abwehr von Advanced Persistent Threats (APTs) geeignet, hinter denen Akteure stecken wie die Hackergruppe Cozy Bear, die für den Angriff auf die Lieferkette von SUNBURST im Jahr 2020 verantwortlich zeichnete, oder die Cyberspionagegruppe Deep Panda, die mehrfach die Sicherheitslücke „Log4Shell“ ausnutzte.
Darüber hinaus beinhalten Firewalls der nächsten Generation integrierte Bedrohungsinformationen und Optionen für Netzwerk- und Sicherheitsautomatisierung. So können Unternehmen nicht nur ihre Sicherheitsabläufe vereinfachen, sondern auch ein umfassendes Security Operations Center (SOC) einrichten.
All diese potenziellen Vorteile sind jedoch mit einer Reihe von Nachteilen verbunden.
Zwar bieten die sogenannten NGFWs erhebliche Vorteile, doch es mangelt ihnen an der nötigen Funktionalität, um die verteilten Belegschaften von heute zu unterstützen.
Traffic-Backhauling zur Firewall der nächsten Generation war sinnvoll, als sich die Anwendungen noch im Rechenzentrum und Mitarbeiter – und somit auch die Endgeräte – in der Unternehmenszentrale oder in Zweigstellen befanden. Mittlerweile wurden Anwendungen jedoch in die Cloud verlagert, um standortunabhängige Arbeitsmodelle zu unterstützen. Dem sind herkömmliche Netzwerk- und Sicherheitstools wie NGFWs und VPNs aufgrund der mangelnden Skalierbarkeit nicht mehr gewachsen.
Die am häufigsten verwendeten Cloud-Anwendungen wie Microsoft 365 wurden für den direkten Zugriff über das Internet konzipiert. Um solche Verbindungen herzustellen, müssen Unternehmen den Internet-Traffic lokal routen, damit eine schnelle Anwendererfahrung gewährleistet ist. Es ist also nicht mehr sinnvoll, den Traffic zurück zu Firewalls der nächsten Generation im Unternehmensrechenzentrum zu leiten, um ins Internet zu gelangen.
Lokale Internet-Breakouts mit derartigen NGFWs absichern zu wollen, würde damit einhergehen, den gesamten Security-Stack an jedem einzelnen Standort und damit in sämtlichen Zweigstellen replizieren zu müssen und wäre mit viel zu hohen Kosten und enormem Arbeitsaufwand verbunden.
Außerdem wurden Firewalls der nächsten Generation nicht für Cloud-basierte Anwendungen konzipiert. Entsprechend sind sie von dem hohen Volumen permanenter Verbindungen in Cloud-Umgebungen schnell überfordert und können somit standardmäßig nur schlecht mit Cloud-Anwendungen kombiniert werden.
Sie können jedoch SSL-verschlüsselten Traffic nicht nativ überprüfen. Da mittlerweile fast der gesamte Webverkehr verschlüsselt ist, fällt dieses Manko verstärkt ins Gewicht. Damit eine SSL-Überprüfung überhaupt möglich wird, müssen NGFWs durch Proxy-Funktionen aufgestockt werden. Die Überprüfung wird dann nicht auf der Chip-Ebene, sondern softwarebasiert ausgeführt, was nicht nur die Performance und damit auch die User Experience empfindlich beeinträchtigt, sondern auch neuen Sicherheitsbedrohungen wie komplexer Malware Tür und Tor öffnet.
Die Firewalls der nächsten Generation (NGFWs), die heute im Einsatz sind, wurden vor über einem Jahrzehnt entwickelt. Inzwischen setzen Unternehmen verstärkt auf die Cloud und benötigen dynamische, zukunftsfähige Funktionen für die Einrichtung von Sicherheits- und Zugriffskontrollen zum Schutz ihrer Daten. Für derartige Funktionen sind NGFWs jedoch nicht ausgelegt.
Insbesondere Unternehmen, die die Cloud-Umgebungen von Anbietern wie AWS und Azure nutzen, brauchen nach wie vor unternehmensfähige Firewall-Funktionen für ihre lokalen Internet-Breakouts. NGFWs wurden allerdings nicht für die Unterstützung von Cloud-Anwendungen und -Infrastrukturen entwickelt. Selbst virtuelle Firewalls unterliegen ähnlichen Einschränkungen und weisen die gleichen Nachteile wie herkömmliche NGFW-Appliances auf.
Daher ist es sinnvoll, nicht nur Anwendungen, sondern auch Firewalls Cloud-basiert zu gestalten.
Nur wenige Anbieter können eine vollständige Suite von Cloud-Firewall-Funktionen implementieren. Und nur ein Anbieter kann sie als Teil einer umfassenden und bewährten Cloud-Sicherheitsplattform bereitstellen.
Die Zscaler Cloud Firewall bietet mehr Leistung als NGFW-Appliances bei geringerer Komplexität und niedrigeren Kosten. Im Rahmen der integrierten Zscaler Zero Trust Exchange™ stellt sie die Kontrollfunktionen einer Firewall der nächsten Generation in Kombination mit erweiterter Sicherheit für alle User an allen Standorten sowie für alle Ports und Protokolle bereit. Die Zscaler Cloud Firewall ermöglicht schnelle und sichere lokale Internet-Breakouts. Da sie komplett über die Cloud bereitgestellt wird, entfällt die Anschaffung, Installation und Verwaltung von Hardware.
Bei Firewalls der nächsten Generation müssen zahlreiche Sicherheitsfunktionen nachgerüstet werden, was insgesamt zu einem starren und schwachen Sicherheitsstatus führt. Die Zscaler Cloud Firewall bietet hingegen folgende Vorteile:
Cloud-Transformation bei AutoNation
Vereinfachung der Netzwerktransformation mit der Zscaler Cloud Firewall
E-Book lesenDie Next-Generation Cloud Firewall von Zscaler
Zscaler Cloud Firewall: Ein Leitfaden für die sichere Cloud-Migration
Whitepaper lesenSD-WAN ohne Cloud Firewall? Kommt gar nicht in Frage!
Zum BlogbeitragGartner | The Future of Network Security Is in the Cloud
REPORT LESEN