11. Januar 2022 Neal Weinberg* und Julia Krokoszinski

Wie man die richtige Unternehmensfirewall wählt

Leistung, Firewall-as-a-Service und Automatisierung sind die wichtigsten Faktoren bei der Auswahl einer Firewall der nächsten Generation. [...]

(c) pixabay.com

Unternehmensfirewalls sind seit Jahrzehnten der Inbegriff eines Sicherheitsgeräts, das den gesamten ein- und ausgehenden Datenverkehr auf Malware prüft und am Rand des Perimeters Wache hält. Was passiert also mit Firewalls, wenn der Perimeter verschwindet? Sie entwickeln sich weiter.

Heutige Firewalls sind ein wesentlicher Bestandteil des Sicherheitspuzzles in Unternehmen. Sie sind zum grundlegenden Baustein geworden, auf dem Sicherheitsanbieter all ihre fortschrittlichen Funktionen aufgebaut haben. Cloud-basierte Firewalls der nächsten Generation (Firewall-as-a-Service) sind eine Kernkomponente jeder Secure Access Service Edge (SASE)-Implementierung. Der VPN-Fernzugriff für Mitarbeiter, die von zu Hause aus arbeiten, endet normalerweise an einer Firewall. Und Firewalls spielen eine Schlüsselrolle beim Zero-Trust Network Access (ZTNA), da sie als Gerät zur Durchsetzung von Zugriffskontrollrichtlinien und Netzwerksegmentierungsregeln dienen.

Wichtige Fragen, die zu stellen sind

Netzwerkverantwortliche, die ihre Firewalls aufrüsten möchten, sollten sich die folgenden Fragen stellen.

Wie hoch ist der Grad der grundlegenden Funktionalität der Firewall in Bezug auf Leistung, Funktionen, Automatisierung und Verwaltung?

Wie gut passen die Fähigkeiten und Formfaktoren der Firewall zu den Anwendungsfällen des Unternehmens? Gibt es Hardware-, Software-, virtualisierte und Firewall-as-a-Service (FWaaS)-Optionen für IoT-Datenverkehr, Multi-Cloud-Umgebungen und internen (Ost-West-)Datenverkehr, der durch virtualisierte oder containerisierte Anwendungen erzeugt wird?

Wie gut lässt sich die Plattform des Anbieters mit den umfassenderen Sicherheits-, IT- und OT-Abläufen des Unternehmens verknüpfen?

Wie sieht die Roadmap des Anbieters für SASE, Zero Trust und die unaufhaltsame Verlagerung von Sicherheitsfunktionen in die Cloud aus?

Anbieterlandschaft bleibt relativ statisch

Nach den neuesten Zahlen der Dell’Oro Group wuchs der Firewall-Markt im dritten Quartal 2021 um gesunde 14 %, da die Unternehmen ihre Aktualisierungszyklen nach 2020 nachholten, einem Jahr, in dem die Firewall-Verkäufe aufgrund der Pandemie zurückgingen.

Laut Mauricio Sanchez, Research Director bei der Dell’Oro Group, ist Palo Alto Networks der Marktführer, gefolgt von Cisco auf dem zweiten und Fortinet auf dem dritten Platz. Ohne genaue Zahlen zu nennen, schätzt Dell’Oro den Marktanteil von Palo Alto auf über 20 %, während Cisco und Fortinet im zweistelligen und alle anderen im einstelligen Bereich liegen.

In einem kürzlich erschienenen Forrester-Bericht über Firewalls für Unternehmen, in dem die Anbieter anhand von 20 Kriterien bewertet wurden, wurden Cisco und Palo Alto Networks in die Kategorie der Marktführer eingestuft, während Check Point, Fortinet, Juniper, Forcepoint, Sophos und Huawei als „starke Leistung“ aufgeführt wurden.

In Gartners neuestem Magic Quadrant für Firewalls werden Palo Alto, Fortinet und Check Point als führend eingestuft, während Versa und Barracuda als Visionäre bezeichnet werden.

Sanchez weist darauf hin, dass der Markt für Unternehmens-Firewalls sehr ausgereift ist und die traditionellen Anbieter weiterhin dominieren, ohne dass es einen nennenswerten Wettbewerb durch die Art von disruptiven Newcomern gibt, wie sie in anderen Märkten zu beobachten sind.

Gleichzeitig bleiben die Anbieter aber nicht untätig. Firewalls selbst werden ständig weiterentwickelt, um neuen Sicherheitsherausforderungen gerecht zu werden, und sie werden noch viele Jahre lang eine wichtige Rolle in der Unternehmenssicherheit spielen.

5 Firewall-Features, die IT-Profis kennen sollten

Leistung

Firewalls müssen in der Lage sein, eine Inline-Tiefenprüfung von Paketen durchzuführen, ohne zu einem Engpass zu werden, der die Anwendungsleistung beeinträchtigt.

Die Anbieter behaupten, die schnellsten Firewalls oder das beste Preis-Leistungs-Verhältnis zu haben, aber es ist äußerst wichtig, dass Sie Ihr eigenes Test- oder Pilotprojekt durchführen, bei dem Sie die Firewall an ein Produktionsnetzwerk anschließen, um zu sehen, wie sie Ihren tatsächlichen Datenverkehr bewältigt. Was Sie in Ihrem Unternehmen nicht wollen, ist, dass IT-Fachleute, die unter dem Druck stehen, die Netzwerkleistung aufrechtzuerhalten, wichtige Sicherheitsfunktionen der Firewall deaktivieren, um die dadurch verursachte Verzögerung zu verringern.

Stellen Sie also sicher, dass Sie die Firewall, die Sie in Betracht ziehen, auf Herz und Nieren prüfen. Lassen Sie sie mit Ihren bandbreitenintensivsten Anwendungen, mit aktivierter Verschlüsselung, mit verschiedenen Paketgrößen, Protokollen und Verkehrsarten laufen. Schalten Sie nach und nach zusätzliche Funktionen ein und messen Sie die Auswirkungen auf den Durchsatz. Zu den wichtigsten Kennzahlen gehören: Anwendungsdurchsatz, Anzahl der Verbindungen pro Sekunde, maximale Anzahl von Sitzungen für IPv4- und IPv6-Datenverkehr sowie SSL/TLS-Leistung.

Grundlegende Funktionen und Formfaktoren

Heutige Firewalls sind vollgepackt mit zusätzlichen Funktionen wie Threat Intelligence, Anwendungskontrolle, IDS, IPS, Virenschutz, Malware-Schutz, Sandboxing, URL-Filterung, SSL-Datenverkehrsprüfung und vielen anderen.

Wenn Sie bereits über einzelne Produkte verfügen, die einige dieser Funktionen erfüllen, müssen Sie sich entscheiden, ob Sie beispielsweise Ihr bisheriges IPS- oder Antiviren-Tool ausmustern und diese Funktionen in einem Gerät zusammenfassen möchten.

Die Vorteile der Bündelung liegen in der Benutzerfreundlichkeit, der geringeren Komplexität und der konsolidierten Verwaltung, die mit dem Ansatz eines einzigen Anbieters einhergeht. Die Nachteile sind, dass Sie möglicherweise nicht die beste Leistung erhalten und dass Sie sich darauf verlassen, dass der Firewall-Anbieter über die Ressourcen und die technologische Kompetenz verfügt, um alle diese Funktionen im Laufe der Zeit zu aktualisieren.

Eine weitere wichtige Überlegung ist, wie gut sich die Firewall in SD-WAN integrieren lässt. SD-WAN wird zu einer beliebten Option, um den Datenverkehr von einer Zweigstelle direkt in die Cloud zu leiten, anstatt ihn an ein zentrales Rechenzentrum zurückzuschicken. Der Trend geht dahin, dass Unternehmen separate Router und Firewalls für Zweigstellen durch ein einziges SD-WAN-Gerät ersetzen, das Sicherheits- und Routing-Funktionen enthält.

Die meisten Firewall-Anbieter haben SD-WAN-Startups übernommen, um ein solches Einzelgerät für Zweigstellen anbieten zu können, aber die Kunden sollten sie nach dem Grad der Integration zwischen Firewall-Funktionalität und WAN-Optimierung fragen.

Formfaktoren – Hardware, Software, virtuell – sind aufgrund der Komplexität und der Vielfalt der Anwendungsfälle ebenfalls ein wichtiger Faktor. Sie benötigen robuste Firewalls, die die hohen Arbeitslasten eines Rechenzentrums bewältigen können, leichtere Firewalls, die am Netzwerkrand und in Zweigstellen eingesetzt werden können, und ggf. robuste Firewalls für raue Umgebungen. Virtualisierte Firewalls (auch Cloud-Firewalls genannt) kommen in Public- und Private-Cloud-Umgebungen, Software-definierten Netzwerken (SDN) oder SD-WAN zum Einsatz.

Erweiterte Funktionen

Es gibt auch einige erweiterte Funktionen, nach denen potenzielle Käufer fragen sollten:

KI/ML: Anbieter beginnen, den Einsatz von KI und maschinellem Lernen in ihren Firewalls zu preisen, um Zero-Day-Angriffe zu erkennen, die riesigen Datenmengen, die IoT-Geräte erzeugen können, effizienter zu untersuchen, die Firewall-Funktionalität besser zu automatisieren und den Netzwerkverkehr zu analysieren, um umsetzbare Empfehlungen für Dinge wie Verbesserungen der Zugriffskontrollrichtlinien zu liefern.

Endpunkt-Sicherheit: Firewalls prüfen den Datenverkehr, der von Endgeräten ausgeht, sobald dieser das Netzwerk erreicht, aber wie sieht es mit dem Schutz der Endgeräte vor Angriffen aus? Kunden sollten sich erkundigen, ob der Firewall-Anbieter sich mit dem Thema Endpunktsicherheit befasst, entweder mit seinen eigenen Geräten oder durch Partnerschaften mit führenden Unternehmen für Endpunktschutz.

Container: Wenn Ihr Unternehmen containerisierte Anwendungen in der Cloud ausführt oder den Einsatz von Containern plant, sollten Sie den Anbieter darauf ansprechen, ob seine Firewalls eine virtualisierte oder FWaaS-Option bieten, die containerisierte Anwendungen abdeckt.

Verwaltung

Die Zeiten, in denen man Firewall-Regeln einfach einrichten und vergessen konnte, sind längst vorbei. Die Sicherheits- und Netzwerkexperten von heute benötigen Firewalls, die über ein einziges Cloud-basiertes Dashboard bereitgestellt, konfiguriert, überwacht und verwaltet werden können, unabhängig davon, wo sie eingesetzt werden – vor Ort, in der Cloud oder am Netzwerkrand.

Die Verwaltungsfunktionen sollten es den IT-Mitarbeitern ermöglichen, Regeln und Richtlinien auf dem neuesten Stand zu halten, Konfigurationen im Handumdrehen zu ändern und überall Einblick zu haben, auch in SaaS-basierte Anwendungen, IoT-Geräte und sogar in OT-Umgebungen, in denen Dinge wie Gebäudezugang über Zwei-Faktor-Authentifizierung oder Biometrie Teil der gesamten Sicherheitsinfrastruktur werden.

Die Automatisierung spielt bei der Firewall-Verwaltung eine wichtige Rolle. Potenzielle Käufer sollten nach dem Grad der Automatisierung verschiedener Aufgaben und Prozesse fragen. Dazu gehören die Automatisierung von Routineabläufen, Change-Management-Prozessen und Updates, die bei manueller Durchführung häufig zu Konfigurationsfehlern führen. Unternehmensumgebungen sind äußerst dynamisch, so dass ein effektives Managementsystem die Automatisierung einschließen muss, um Richtlinienänderungen dynamisch im gesamten Netzwerk zu verteilen.

Darüber hinaus muss das Managementsystem das Netzwerk überwachen, um sicherzustellen, dass die Richtlinien durchgesetzt werden. In einem Fertigungsszenario kann es beispielsweise vorkommen, dass das OT-Personal eine Maschine und ihre IoT-Sensoren physisch von einem Standort zu einem anderen bewegt. Das Managementsystem sollte in der Lage sein zu erkennen, dass sich das IoT-Gerät nun in einem anderen Netzwerksegment befindet, und automatisch dafür sorgen, dass die Firewall-Regeln dem Gerät folgen.

Die wichtigste Aufgabe einer Firewall ist die Verhinderung von Angriffen. Und hier kann die Automatisierung eine Schlüsselrolle spielen, da sie Bedrohungen viel schneller erkennt als ein Mensch und dann proaktiv auf die Bedrohung reagiert, so dass die Bedrohung ohne menschliches Eingreifen beseitigt wird.

Automatisierte Systeme können die kleinsten Anomalien erkennen und entsprechende Maßnahmen ergreifen, z. B. Geräte unter Quarantäne stellen, damit sich ein Angriff nicht ausbreiten kann, während eine Untersuchung durchgeführt wird, um die Art des Angriffs und die entsprechenden Gegenmaßnahmen zu ermitteln.

Die Verwaltungsplattform muss auch in der Lage sein, nicht nur Hunderte von Firewall-Regeln durchzusetzen, sondern auch umfassendere Sicherheitsrichtlinien wie Netzwerksegmentierung oder Zugriffskontrollen, die mit Active Directory oder einem anderen Identitäts- und Zugriffsverwaltungssystem verknüpft sind.

Blick in die Zukunft: Plattformen, Roadmaps und Cloud

Jeder der führenden Firewall-Anbieter verfügt über eine breite Plattform, die mehrere Sicherheitsprodukte umfasst, die über ein Dashboard verwaltet werden, vorzugsweise cloudbasiert. Aber nicht alle Einzelprodukte sind auf dem gleichen Reifegrad. Und bei Anbietern, die vor kurzem ihr Portfolio durch Übernahmen ergänzt haben oder die noch Lücken in ihren Produktlinien haben, ist die Integration ein Thema, nach dem potenzielle Käufer fragen sollten.

SASE: Wenn Ihr Unternehmen einen Wechsel zu Secure Access Service Edge in Erwägung zieht, sollten Sie den Anbieter um eine Beschreibung seiner Roadmap bitten, da derzeit nur wenige Anbieter, wenn überhaupt, über eine vollständige Suite von SASE-Funktionen verfügen. Nach der Definition von Gartner besteht eine SASE-Implementierung aus SD-WAN, sicherem Web-Gateway, Cloud Access Security Broker, Firewall-as-a-Service und Zero-Trust Network Access.

„Bis 2024 werden mehr als 70 % der SD-WAN-Kunden eine SASE-Architektur implementiert haben, verglichen mit 40 % im Jahr 2021″, so Gartner. Es ist also zu erwarten, dass die meisten Unternehmen in den nächsten Jahren ihre SASE-Reise antreten werden, und die Auswahl eines Firewall-Anbieters mit einer klaren SASE-Vision ist eine wichtige Entscheidung.

ZTNA: Zero Trust ist zum „Trend du jour in der Gemeinschaft der Sicherheitsanbieter“ geworden, so der „Practical Guide to a Zero Trust Implementation“ von Forrester, der Zero Trust als „ein konzeptionelles und architektonisches Rahmenwerk für die Umstellung der Sicherheit von einem netzwerkorientierten, perimeterbasierten Sicherheitsmodell auf ein Modell, das auf einer kontinuierlichen Überprüfung des Vertrauens basiert“ beschreibt.

Die schlimmsten IT-Angewohnheiten

Wie passt nun die ehrwürdige Firewall in diese Zero-Trust-Zukunft? Forrester meint: „Die Firewall der nächsten Generation war das ursprüngliche Aushängeschild für Zero-Trust, und sie ist heute sogar noch besser.“

Dank fortschrittlicher Chipsätze verfügen Firewall-Appliances jetzt über die nötige Rechenleistung, um den Datenverkehr zu entschlüsseln und zu prüfen, ohne das Netzwerk zu verlangsamen. Darüber hinaus gibt es immer mehr Anwendungsfälle für virtualisierte Firewalls, wie z. B. die Überprüfung von Anwendungsverkehr in der Cloud.

Weitere Komponenten einer Zero-Trust-Strategie sind Mikrosegmentierung sowie Identitäts- und Zugriffsmanagement. Firewalls können diese Richtlinien durchsetzen, daher sollten Unternehmen, die sich für Firewalls entscheiden, von den Anbietern verlangen, dass sie ihre Zero-Trust-Roadmap erläutern.

FWaaS: Der Trend der letzten Jahre ging dahin, dass Unternehmens-Firewalls immer umfangreicher wurden, da sie neue Funktionen enthielten. Dell’Oro’s Sanchez meint jedoch, dass dieser Trend einen Wendepunkt erreicht. Er prognostiziert, dass die Firewall-Funktionalität langsam aber sicher in die Cloud in Form von FWaaS verlagert wird.

FWaaS bietet mehrere Vorteile gegenüber Appliance-basierten Firewalls, ähnlich den Vorteilen, die SaaS gegenüber On-Premise-Anwendungen bietet. FWaaS bietet einen Pool von Ressourcen, der eine sofortige Skalierbarkeit – sowohl nach oben als auch nach unten – ermöglicht, die mit On-Premise-Hardware nicht erreicht werden kann.

Mit FWaaS können Unternehmen endlich ihre MPLS-Netzwerke loswerden und den gesamten Datenverkehr in die Cloud leiten, wo Sicherheitsrichtlinien für alle Datenverkehrstypen einheitlich durchgesetzt werden können. FWaaS bietet außerdem eine schnelle und flexible Bereitstellung.

Da die Netzwerkverteidigungsstrategien immer umfangreicher werden, müssen Unternehmen planen, wie sich ihre Firewalls im Laufe der Zeit einfügen werden. Sanchez fasst es folgendermaßen zusammen: „Firewalls werden nicht verschwinden, aber sie verändern sich und entwickeln sich weiter, um neue Anwendungsfälle zu adressieren“. Kunden sollten Firewall-Anbieter unbedingt fragen: „Wie fügt sich die Firewall in die langfristige Entwicklung des Unternehmens hin zu einer stärker Cloud-zentrierten Welt ein?“


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

5. November 2024 Jiannis Papadakis *

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

5. November 2024

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*