Während wir unsere Netzwerke immer noch durch Firewalls schützen,verändert sich die Sicherheit und die Anforderungen an die Firewall-Funktionalität drastisch.
Vor ein paar Jahren traten die Firewalls der nächsten Generation (Next-Generation Firewalls; kurz: NGFWs) über Nacht auf den Plan und bestimmten seither die Netzwerksicherheit. In diese Geräten wurde die traditionelle L3/L4-Paketfilterung mit Deep-Packet-Inspection (DPI), Intrusion-Prevention-System (IPS) und anderen Netzwerksicherheitsdiensten kombiniert. Durch diese breite Funktionalität veränderte sich das Netzwerksicherheits-Paradigma – jedes Unternehmen benötigte oder musste zumindest eine NGFW am Perimeter bzw. im internen Netzwerk installieren.
Im Jahr 2017 scheint es, sind die ursprünglichen Vorteile der NGFWs aus mehreren Gründen am verblassen:
- Die Anforderungen haben sich geändert: Die NGFWs haben die frühen Firewalls ersetzt. Diese waren physische Geräte, die zur Aufgabe hatten, die private Netzwerke vor dem öffentlichen Internet zu schützen. Damals wurden die mobilen und von der Zentrale entfernt arbeitenden Angestellten eines Unternehmens in das Firmennetzwerk mit Hilfe der Virtual-Private-Network-Technologie eingebunden und der Internet-Zugang erfolgte in der Zentrale. Dieses Modell verändert sich derzeitig vollständig. Mit dem Cloud-Computing, dem SaaS, der erhöhten Mobilität und der Verfügbarkeit von Breitband-Netzwerke werden die mobil und remote arbeitenden Mitarbeiter dual an die Internet-Ressourcen angebunden. Sobald dies geschieht, verlieren automatisch die NGFWs ihre Nützlichkeit und haben keine Sichtbarkeit bzw. Kontrolle mehr über den Netzwerkverkehr.
- Software bestimmt die Welt. Die Software frisst sich langsam aber sicher auch in die Cybersecurity-Welt. Anstatt physische Netzwerkgeräte zu implementieren, wird für das Firewalling des Ost-West-Verkehrs im Rechenzentrum immer öfter softwarebasierte Mikrosegmentierungswerkzeuge (beispielsweise von Cisco-ACI, #Cloudpassage, #Illumio, #Unisys, #Varmour, #Vmware-NSX usw.) genutzt. In einigen großen Unternehmen wird die Mikro-Segmentierung nicht nur zum Schutz der Cloud-, Container- und VM-Ressourcen genutzt, sondern ersetzen auch zunehmend die physikalische Firewalls in den Rechenzentren. Eine ähnliche Verschiebung wird in den nächsten Jahren im Bereich der Netzwerk-Perimeter erwartet und der Software-definierte Perimeter (SDP) (beispielsweise von #Cryptzone, #Google-Beyondtrust, #Vidder, etc.) wird als Broker unabhängig vom Standort zwischen den Benutzern bzw. den Endgeräten und den Netzwerk-Services agieren.
- Hybride „Universalboxen“ waren immer ein Kompromiss. Einer der überzeugendsten Vorteile von NGFWs drehte sich schon immer um die Konsolidierung. Der Entwicklungsgedanke dieser Geräte war damals bestechend: Eine Reihe von Security-Gateway-Appliances (beispielsweise IDS/IPS, Web-Security Gateways, SSL-Entschlüsselung Gateways, Netzwerk-Proxies, etc.) wurden durch eine einzige NGFW ersetzt, so dass die Netzwerk-Komplexität und der Betrieb eines solchen Systems sich drastisch reduziert. Diese Konsolidierung hatte jedoch ihren Preis. Um alle die gewünschten Funktionen in einer Box unterbringen zu können, neigten die NGFW-Hersteller dazu bestimmte Sicherheitsfunktionalitäten einfach auszuklammern und hoben stattdessen Features hervor, die für große Unternehmen wichtig waren. NGFWs versagen meist bei der Durchsatzleistung, wenn mehrere Filter aktiviert werden. Gerade dieser Engpass führt bei größeren Unternehmen dazu, dass diese wieder auf Einzelgeräte zurückgreifen, da die NGFWs ihnen zu viele Einschränkungen auferlegen.
- Die NGFWs agieren zwischen Netzwerk- und Sicherheitsteams. Die meisten NGFWs werden wie Netzwerkkomponenten behandelt und fallen daher in den Besitz der Netzwerkadministratoren. Da die Netzwerker kein Interesse daran haben, ihre Geräte für das Sicherheitspersonal zu öffnen, suchen sich die Sicherheitsteams andere Werkzeuge um ihre Aufgaben zu erfüllen. Dies ist einer der Gründe, warum viele große Unternehmen auch weiterhin eigenständige IDS/IPS-Geräte hinter den NGFWs betreiben bzw. IPS-Boxen für die Netzwerksegmentierung zwischen den Distributions- und den Core-Network-Layern nutzen.
- Cloud-Services verderben die NGFW-Party. So gut wie alle Funktionen, die man mit einer NGFW realisieren kann (Applikationen steuern, Zugriffskontrollen, sogar Layer-3- und -4-Paketfilterung) kann auch von einem SaaS-Provider in der Cloud durchgeführt werden. In diesem Bereich agieren beispielsweise Zscaler, Blue Coat (Symantec), Proofpoint und viele Andere. Dieser Trend macht NGFWs nicht zwangsläufig zu einer veralteten Technologie, aber streut einigen Sand in das Getriebe des Firewall-Appliance-Markts – vor allem im Bereich der mittelständischen und kleinen Kunden.
Einige der in diesem Artikel beschriebenen Themen und Anwendungsfälle beschränken sich nur auf spezielle sehr fortschrittliche Unternehmen. Diese machen jedoch zwischen 15 und 20 Prozent des gesamten Unternehmensmarktes aus. Für die NGFW-Anbieter bleiben daher noch genügend mittelständische Unternehmen und Unternehmen mit wenig Erfahrung im Cyber-Security-Bereich, um ihre Produkte zu vermarkten. Trotzdem wird sich der NGFW-Markt langsam verkleinern und die Umsätze werden stagnieren.
Ich will damit nicht sagen, dass die NGFW-Anbieter wie #CheckPoint, #Cisco, #Forcepoint, #Fortinet oder #Palo Alto Networks in unmittelbarer Gefahr sind. Wie ich schon erwähnt habe, ist der Markt in einem frühen Stadium des Übergangs, so noch genügend Marktpotenzial vorhanden ist. Im Laufe der Zeit müssen diese Anbieter ihr Portfolio jedoch ändern und auch Software- und Cloud-basierte Netzwerk-Sicherheit anbieten. Viele Hersteller haben eine duale Strategie entwickelt. Cisco, Check Point und Fortinet haben bereits Netzwerksicherheitsarchitekturen eingeführt, in denen die Sicherheitsdienste überall auf dem Netzwerk agieren können. Diese stellen eine Art von modernem Netzwerk-Betriebssystems (NOS) für die Netzwerksicherheit dar. Natürlich lässt sich so eine Netzwerksicherheitsarchitektur auch nahtlos in eine Sicherheitsoperation und Analyseplattformarchitektur (SOAPA) integrieren.
Fazit
Die Next-Generation Firewalls (NGFWs) sind noch notwendig und eine Zentralisierung des Sicherheitsmanagements und des Betriebs hat sich für die meisten unternehmen noch immer ausgezahlt. Aber das Konzept, die gesamte Sicherheit in eine Perimeter-basierte Universalbox zu zwingen, hört sich zunehmend nach einer überholten Lösung an.
#Netzpalaver