Wirklich originelle Konzepte im Bereich der Cybersicherheit sind selten. Stattdessen handelt es sich bei den meisten vermeintlich neuen Produkten oder Angeboten meist nur um schrittweise Verbesserungen bestehender Lösungen. Unter normalen Bedingungen wäre dieser holprige Weg zur Innovation vielleicht noch akzeptabel. Doch angesichts der Entwicklung von Angriffswerkzeugen durch staatliche und kriminelle Akteure, die die Sicherheitsteams von Unternehmen auf Trab halten, ist es höchste Zeit für neue Ideen im Bereich der Cybersicherheit – und zwei davon sind mit Sicherheit Software-defined-Networks und -Firewalls.
In frühen Paketfilter- und Anwendungs-Firewalls wurden Regeln verwaltet, um grundlegende Richtlinien an den Netzwerkgrenzen durchzusetzen. Die Bedienung war einfach und meist sogar anhand von lesbaren grafischen Oberflächen möglich. Modernere Firewalls erweiterten diese Einzelfunktion stetig weiter, hin zu einer Sammlung von Funktionen, die alle unter einer Gerätehaube vereint sind. Sogenannte Next Generation Firewalls (NGFW) heisst hier das Stichwort. Die meisten Unternehmen setzen heute auf solche Geräte respektive Appliances, und auch diese sind meist relativ einfach zu installieren, zu warten und zu verwalten.
Von statisch zu dynamisch
Aber sowohl die Firewalls der ersten als auch der nächsten Generation sind auf eine Reihe von eingebetteten, vordefinierten Funktionen beschränkt. Die Anbindung an die Cloud ändert nichts an dieser Einschränkung, ebenso wenig wie dynamische Bedrohungsmeldungen. Die Grenzen dieser Komponenten werden durch die Box definiert.
An diesem Punkt kommen Software-defined-Firewalls ins Spiel. Die Idee: Eine Firewall, die Funktionen virtuell bereitstellt und deshalb dynamisch und an neue Gegebenheiten anpassbar ist.
SD-Firewalls eignen sich speziell für Umgebungen, in denen die Bereitstellung von Hardware-Firewalls schwierig oder unmöglich ist, wie etwa öffentliche und private Cloud-Umgebungen, Software-definierte Netzwerke (SDN) und Software-definierte Wide Area Networks (SD-WAN). Funktionen wie IDS (Intrusion Detection System, die klassische Firewall-Funktion), Deep Packet Inspection (DPI) und Ähnliches sind dabei quasi nur durch die Kreativität des Administrators und dem verfügbaren Budget für neue Sicherheitsanwendungen begrenzt.
Die Technologie, die eine solche dynamische Firewall-Erweiterung ermöglicht, ist SDN (Software Defined Networks), und die Verknüpfung oder Verkettung von Services in der Cloud bilden den Implementierungsmechanismus dazu. Das Ergebnis ist eine dynamische, SDN-basierte Firewall.
Verteilte Netzwerke optimal schützen
SDN-Technologie kann auch dabei helfen, neue Dienste und Datenanalysen bereitzustellen, die für die Ausführung von On-Demand-Anwendungen für Unternehmen und Verbraucher von heute erforderlich sind. Daher wird SDN bisher besonders in Rechenzentren häufig verwendet. Doch SDN bietet Netzwerkadministratoren auch einen klaren Überblick über die gesamte Netzwerkarchitektur und erlaubt es, die Kontroll- und Weiterleitungsfunktionen eines Netzwerks voneinander zu entkoppeln, so dass die physischen und logischen Netzwerke komplett unabhängig voneinander behandelt werden können.
Software-definierte Firewalls helfen derweil dabei, die Mängel von SDN, wie der geringe Datendurchsatz, Paketverlust und insbesondere die Abwehr von Netzwerkangriffen zu überwinden sowie den Anteil des Angriffsverkehrs zu reduzieren. Die Anbieter solcher Lösungen sprechen in diesem Zusammenhang deshalb oft von Schutz jenseits klassischer Next Generation Firewalls und versprechen den Nutzern, durch ihre Angebote optimal für die Zukunft gerüstet zu sein. Ebenfalls betonen die Anbieter, dass sich SD-Firewalls speziell für verteilte Netzwerke und Cloud-Umgebungen eignen und dass das Deployment ohne qualifiziertes IT-Personal möglich ist. Ein weiterer wichtiger Punkt: Die meisten Angebote lassen sich vor Ort oder in der Cloud einsetzen und umfassen SD-WAN-Funktionen. So können dezentrale Standorte, mehrere Clouds und externe Benutzer miteinander vernetzt werden, ohne die Sicherheit – etwa von Geräten an Aussenstellen – aufs Spiel zu setzen. Unternehmen, die sich für eine SD-Firewall entscheiden, sollten deshalb besonders folgende Punkte beachten:
- Bietet das Angebot einen umfassenden Schutz vor Bedrohungen (Intrusion Prevention, URL-Filterung, SSL-Entschlüsselung etc.)?
- Verringert die Firewall die Angriffsfläche, respektive bietet die Lösung auch Schutz vor Datenverkehr, der innerhalb der genutzten privaten Cloud fliesst, was die Angriffsfläche in virtualisierten Umgebungen verringern kann?
Die tabellarische Marktübersicht können Abonnenten in der Ausgabe 10/2021 nachlesen. Noch kein Abo?
Hier klicken und Versäumtes nachholen.
(swe)