Firewalls: Lokal oder in der Cloud?
Firewall-Geräte, die interne Netzwerke vor dem Internet schützen, sind seit über zwei Jahrzehnten ein Schlüsselelement der Netzwerksicherheit. Im Laufe dieser Jahre haben sich Firewalls in Bezug auf Raffinesse, Funktionalität und Leistung weiterentwickelt – aber bis vor kurzem blieben sie physisch an die Räumlichkeiten der Netzwerke gebunden, die sie schützen.
In den letzten Jahren sind jedoch im Internet befindliche Firewalls aufgekommen, die von den Netzwerken, die sie schützen, entfernt operieren. Diese Sicherheitsdienste haben verschiedene Namen, wie z. B. Cloud-basierte Firewalls, Security-as-a-Service und Cloud-Sicherheit. Der Funktionsumfang dieser Dienste ist variabel. Einige bieten beispielsweise sehr spezifische Dienste wie Spam-Filter oder Virenscanning, während andere einen umfassenden Unified Threat Management (UTM)-ähnlichen Dienst anbieten. Was sie jedoch gemeinsam haben, ist, dass ein Teil oder der gesamte Datenverkehr zu und von den Räumlichkeiten des Kunden durch die in der Cloud befindlichen Geräte des Firewall-Anbieters geleitet wird, wo er untersucht und gefiltert wird.
Der Cloud-basierte Ansatz für die Netzwerksicherheit spielt auf dem heutigen Markt eine starke Rolle und stößt auf großes Interesse. Dieses Whitepaper betrachtet die Treiber hinter Cloud-basierter Sicherheit und untersucht die Gründe, warum On-Premises-Firewalls noch lange eine starke Marktpräsenz haben werden.
Cloudbasierte Sicherheitsdienste
Befürworter von Cloud-basierten Sicherheitsdiensten führen die folgenden wahrgenommenen Vorteile an:
- Skalierbarkeit – der Cloud-Service kann skaliert werden, um die Anforderungen des Kunden zu erfüllen.
- Verfügbarkeit – Cloud-Anbieter bauen Redundanz in ihre Servicearchitektur ein.
- Einfaches Upgrade – der Dienstanbieter kann dem Dienst Funktionen hinzufügen, ohne dass der Kunde einen Finger rühren muss.
- Niedrigere Gesamtbetriebskosten (TCO) – es fallen keine Kapitalausgaben für Geräte und keine direkten Kosten für Mitarbeiter mit Netzwerksicherheitsexpertise an.
- Einfachere Verwaltung – der Cloud-Anbieter übernimmt Verwaltungsaufgaben.
Vorteile Cloudbasierte Sicherheitsdienste und Firewalls
In den nächsten Abschnitten wird der Wert jedes dieser Vorteile in Bezug auf die lokale Alternative betrachtet und bewertet.
1. Skalierbarkeit
Die Skalierbarkeit eines Cloud-Sicherheitsdienstes bezieht sich auf zwei betriebliche Aspekte – die Erhöhung der Bandbreite und das Hinzufügen neuer Standorte.
Bandbreite
Im Cloud-Sicherheitsdienstmodell kann Bandbreite auf jeder vom Benutzer angeforderten Ebene bereitgestellt werden, und die Bandbreite kann je nach Bedarf des Benutzers erhöht oder verringert werden. Beim Einsatz von On-Premises-Hardware muss bei deutlich steigenden Bandbreitenanforderungen die Hardware durch ein leistungsfähigeres Modell ersetzt werden.
Die Realität sieht jedoch so aus, dass die Internet-Bandbreite von Unternehmen nicht häufig erhöht wird, sodass normalerweise einige Jahre vergehen, bis eine Firewall ausgetauscht werden muss. Darüber hinaus muss der Upgrade-Prozess nicht sehr teuer oder störend sein. Wenn das neue Gerät vom selben Anbieter wie das vorherige stammt, kann die Konfiguration kopiert werden.
Neue Seiten
Bei einem Cloud-Sicherheitsdienst ist das Hinzufügen von Schutz für einen neuen Standort – beispielsweise eine neue Zweigstelle – lediglich eine Frage des Hinzufügens der neuen Konfiguration zum System des Cloud-Anbieters. Es muss keine neue Hardware installiert werden.
Obwohl ein lokaler Sicherheitsansatz die Installation einer neuen Hardware an jedem neuen Standort erfordert, ist die Installation eines Firewall-Geräts nicht sehr beschwerlich, und der Prozess der Konfiguration ist von ähnlicher Größenordnung wie die Aufgabe von Konfigurieren einer neuen Website in einen Cloud-Dienst.
Kernpunkte:
- Ein Upgrade auf leistungsstärkere Hardware erfolgt selten und muss kein teurer Prozess sein.
- Die Installation von Firewall-Hardware an neuen Standorten ist nicht arbeitsintensiver als das Hinzufügen neuer Standorte zu einem Cloud-basierten Sicherheitsdienst. In beiden Fällen muss das Sicherheitsprofil für die neue Site entworfen und konfiguriert werden.
2. Verfügbarkeit
Cloud-Anbieter nutzen Virtualisierung und Multi-Site-Hosting, um sowohl eine hohe Betriebszeit als auch Immunität gegenüber lokalisierten Ausfällen zu erreichen.
Allerdings ist auch die Verfügbarkeit moderner Netzwerkhardware sehr hoch. Die mittleren Ausfallzeiten liegen typischerweise in der Größenordnung von 10 Jahren. Die Kombination von Einheiten zu redundanten Paaren kann leicht fünf Neunen Betriebszeit bieten.
Kernpunkt:
- Die Verfügbarkeit eines Cloud-Dienstes ist nicht wesentlich höher als bei einem Dienst, der auf lokaler Hardware basiert.
3. Einfache Aufrüstung
Dienstanbieter bringen neue Funktionen online, ohne dass der Kunde etwas unternehmen muss. Besitzer von lokaler Hardware müssen neue Software installieren und neu starten, um neue Funktionen in ihre Hardware einzuführen. Dies erfordert zwar etwas Arbeit von ihrer Seite, ist aber eine Routinetätigkeit,
In beiden Fällen erfordert jede außer der einfachsten neuen Funktion einige Konfigurationsarbeiten, um den Anforderungen des Kunden gerecht zu werden. Die Konfiguration ist in der Regel eine viel umfangreichere Aufgabe als das Laden einer neuen Softwareversion.
Kernpunkt:
- Die Nutzung neuer Funktionen ist auch bei einem Cloud-Service kein Nullkostenprozess.
4. niedrigere TCO
Cloud-basierte Dienste werden nach einem Abonnementmodell bezahlt, mit möglichen zusätzlichen Gebühren für Aktivitäten wie Konfigurationsänderungen, das Hinzufügen neuer Websites oder das Erweitern der Bandbreite.
Die Kosten für die Sicherheit vor Ort sind unterschiedlich:
- Investitionskosten für die Hardware.
- Jährlicher Servicevertrag und Abonnementgebühren.
- IT-Personalkosten.
Da sie so unterschiedlich sind, sind Kostenvergleiche zwischen den beiden Ansätzen schwer abzuschätzen. Trotzdem gibt es eine Reihe von Punkten, die in Bezug auf diese Kosten berücksichtigt werden können.
Obwohl die Fähigkeiten von Firewalls stark gestiegen sind, haben ihre Preise nicht zugenommen. Tatsächlich übt der Wettbewerbscharakter des Marktes für Firewall-Appliances einen starken Druck auf die Preise aus. Darüber hinaus benötigt ein Standort, selbst wenn er keine lokale Firewall hat, dennoch eine Art Router als Gateway. Die Entscheidung für die Nutzung eines Cloud-Sicherheitsdienstes entbindet also nicht von der Notwendigkeit, in Gateway-Hardware zu investieren. Der Kostenunterschied zwischen einer UTM-Firewall und einem gut ausgestatteten Hochleistungsrouter mit Funktionen für Quality of Service, dynamisches Routing, detaillierte Protokollierung, Redundanzoptionen, Fallback auf 3G/4G-Verbindung und mehr beträgt nur wenige Hundert Dollar. Folglich sind die Kapitalkosteneinsparungen durch die Verlagerung der Sicherheit in die Cloud nicht unbedingt erheblich.
Der jährliche Servicevertrag und die Abonnementgebühren für ein Firewall-Gerät können mit den Abonnementgebühren eines Cloud-Sicherheitsdienstes verglichen werden. Die Abonnementgebühren für ein Firewall-Gerät fallen normalerweise pro Gerät an, während die für einen Cloud-Dienst häufig pro Arbeitsplatz berechnet werden. Daher ist die Größe der Organisation für einen bestimmten Vergleich oft ein wichtiger Faktor, und es gibt einen Übergangspunkt, an dem die Kosten der Cloud-Dienste aufgrund der Größe der Organisation viel weniger attraktiv sind als die Kosten für die jährlichen Abonnementgebühren der Firewall.
IT-Personalkosten sind schwieriger zu analysieren. Das Abonnieren eines Cloud-Sicherheitsdienstes wird oft als effektives Outsourcing von Netzwerksicherheitskenntnissen an die Gruppe engagierter Experten des Anbieters beworben. Diese Experten sollen Sicherheitsprotokolle durchforsten und nach Beweisen für verdächtige Aktivitäten suchen – eine teure interne Aktivität.
Es stimmt zwar, dass Cloud-Sicherheitsanbieter Sicherheitsexperten beschäftigen, die verdächtige Aktivitäten untersuchen, aber es ist ebenso wahr, dass Firewall-Anbieter Zugang zu Expertenteams haben, die Berichte über verdächtige Aktivitäten aus einer Vielzahl von Quellen untersuchen. Diese Experten nehmen schnell neue Bedrohungen im Internet auf und blockieren diese Bedrohungen schnell, die die Firewalls möglicherweise mehrmals täglich als Pattern-Datei-Updates herunterladen.
Die Frage ist also, ob das Vorhandensein einer lokalen Firewall die Anwesenheit eines lokalen Sicherheitsexperten erfordert? Die Antwort darauf wird von einer Organisation zur nächsten unterschiedlich sein. Es gibt eine Reihe von Alternativen, um Sicherheitsexpertise komplett ins Haus zu bringen. Beispielsweise kann die Überwachung von lokalen Firewall-Protokollen an einen Sicherheitsverwaltungsdienst vergeben werden, oder ein bestehender interner IT-Experte kann sich weiterbilden, um eine grundlegende Überwachung durchzuführen, und Zugang zu einem externen Berater erhalten, um kompliziertere Aufgaben zu erledigen Fälle.
Kernpunkte:
- Hardware-Firewalls bieten umfangreiche Funktionen und hohe Leistung zu sehr günstigen Preisen.
- Cloudbasierte Sicherheitsdienste verteilen die Kosten für hochwertiges Fachwissen auf mehrere Kunden, aber es gibt auch andere Experten-Outsourcing-Optionen.
- Aufgrund von Preismodellen können die Abonnementgebühren für Cloud-basierte Dienste diejenigen für hardwarebasierte Sicherheit erheblich übersteigen.
5. einfacheres Management
Wenn ein Sicherheitsdienst in der Cloud bereitgestellt wird, ist es der Cloud-Anbieter, der Aufgaben wie Konfigurationssicherungen, Software-Upgrades, Wiederherstellung nach Geräteausfällen, Bereitstellung des Schutzes neuer Standorte und andere Verwaltungsaktivitäten ausführt.
Während diese Aufgaben in der Vergangenheit für diejenigen mit ihren Sicherheitsgeräten vor Ort einen erheblichen Overhead darstellten, ist dies nicht mehr der Fall. Intelligente Lösungen wie Allied Telesis Autonomous Management Framework™ (AMF) automatisieren all diese Aufgaben. Da dieses automatisierte Netzwerkmanagement unter der Kontrolle des Kunden steht, besteht außerdem keine Notwendigkeit, sich auf eine externe Partei zu verlassen, um diese wesentlichen Aufgaben korrekt auszuführen.
AMF stellt sicher, dass die vollständige Konfiguration, das Betriebssystem und die Lizenzierungsinformationen jeder Einheit in einem Netzwerk – einschließlich der Einheiten an entfernten Standorten – in einem vom Benutzer festgelegten regelmäßigen Intervall gesichert werden. Das Framework bietet auch den Zero-Touch-Austausch von ausgefallenen Einheiten – ein fabrikneuer Ersatz kann einfach an das Netzwerk angeschlossen werden, und das Netzwerk konfiguriert ihn als Klon der ausgefallenen Einheit neu. Diese Fähigkeit ist an entfernten Standorten ebenso verfügbar wie am zentralen Standort.
Kernpunkt:
- Intelligente Netzwerk-Frameworks wie AMF können einen Großteil der Verwaltung lokaler Firewalls automatisieren.
Nachteile der Cloud-basierten Sicherheit
Cloud-basierte Sicherheit hat ihre Nachteile:
1. Verlust des Eigentums an Sicherheitswerten
Das größte Risiko, das mit der Verlagerung von Sicherheit in die Cloud verbunden ist, besteht darin, dass die Kontrolle über wertvolle Sicherheitsressourcen – Verschlüsselungsschlüssel, Passwörter und Richtlinien – aufgegeben wird. Unabhängig davon, wie seriös oder sorgfältig der Sicherheitsdienstleister ist, sobald diese Assets in der Cloud betrieben werden, kontrolliert jemand anderes, wer Zugriff darauf hat. Der Schutz dieser Elemente ist für die Aufrechterhaltung der Sicherheit von zentraler Bedeutung – sobald sie kompromittiert sind, gilt dies auch für die Sicherheit.
Kernpunkt:
- Sicherheitswerte sind sehr wertvoll; Die Kontrolle über sie zu verlieren, ist riskant.
2. Unvorhersehbare Latenz
Zumindest einige der Komponenten eines Cloud-basierten Sicherheitssystems werden von mehreren Clients gemeinsam genutzt. Daher kann eine hohe Last von einem Client eine unverhältnismäßig große Menge der gemeinsam genutzten Ressource verwenden und den Zugriff anderer Clients auf die Ressource verringern. Infolgedessen wird der Datenverkehr von anderen Clients in die Warteschlange gestellt und wartet auf den Zugriff auf die gemeinsam genutzte Ressource. Dies manifestiert sich als erhöhte Latenz im Datenverkehr, wenn er den Sicherheitsdienst durchläuft.
Bei dedizierter On-Premises-Hardware hat der Eigentümer der Hardware die exklusive Nutzung seiner Ressourcen.
Kernpunkt:
- Das Teilen von Ressourcen bedeutet variable Leistung.
3. Anfälligkeit für die Einstellung des Dienstes
Wenn der Dienstanbieter sein Geschäft aufgibt oder beschließt, seinen Sicherheitsdienst einzustellen oder erheblich zu ändern, führt dies zu erheblichen Problemen für seine Kunden:
Die Migration zu einem neuen Dienst erfordert einen kostspieligen Prozess der Übersetzung der vorhandenen Konfiguration in ein System, das wahrscheinlich ein anderes Konfigurationsparadigma hat.
Es ist für den Kunden schwierig nachzuweisen, dass der Dienstleister alle Sicherheitswerte des Kunden, die sich in seinem Besitz befanden, vollständig gelöscht hat.
Kernpunkte:
- Dienstanbieter können die Erbringung ihrer Dienste jederzeit einstellen.
- Die Migration zu einem neuen Dienstanbieter kann sich als schwierig, störend und teuer erweisen und zum Verlust von Sicherheitsinformationen führen.
4. Variabilität der Datenrate
Wenn Sicherheit in der Cloud bereitgestellt wird, muss der Internetdatenverkehr für eine geschützte Site größtenteils oder vollständig durch den Cloud-Dienst geleitet werden. Daher muss der vollständige Pfad zwischen der geschützten Site und dem Cloud-Dienst eine End-to-End-Bandbreite bereitstellen, die der Bandbreite am Verbindungspunkt der Site mit dem Internet entspricht. Das heißt, wenn die Site eine 500 Mbit/s-Verbindung zum Internet hat und daher Daten mit 500 Megabit pro Sekunde mit dem Internet austauschen kann, dann ist eine konsistente Weiterleitungsrate von 500 Mbit/s zwischen der Site und dem Cloud-Sicherheitsdienst erforderlich. Das Internet ist jedoch eine gemeinsam genutzte Ressource, die nach besten Kräften weiterleitet. Daher ist es nicht möglich, Bandbreite auf beliebigen Pfaden über das Internet zu garantieren.
Kernpunkt:
- Die Datenweiterleitung über das Internet ist von Natur aus unzuverlässig und unvorhersehbar.
Vorteile einer lokalen Firewall
Ein Firewall-Gerät im physischen Netzwerk bietet einige Vorteile, die ein Cloud-basierter Dienst nicht bieten kann:
1. Interne Netzwerksicherheit
Bei der Sicherheit geht es nicht ausschließlich darum zu kontrollieren, was bei der Verbindung zum Internet passiert. Organisationen haben in der Regel interne Sicherheitsanforderungen: Richtlinien zum Schutz von Daten in einem Bereich der Organisation vor dem Durchsickern in andere Bereiche; Eindämmung von Malware-Infektionen; Abgrenzung zwischen für Gäste zugänglichen Netzwerkressourcen und für Mitarbeiter zugänglichen Ressourcen; und Sammlung von Prüfinformationen zum internen Datenverkehr.
Darüber hinaus ist die Untersuchung des Datenverkehrs innerhalb des Netzwerks eine zunehmend wichtige Komponente der Verteidigung gegen Advanced Persistent Threats .
Das Datenverkehrsvolumen, das an einen Cloud-Dienst geliefert werden müsste, damit er die interne Sicherheitskapazität der lokalen Hardware erreichen kann, ist ziemlich unpraktisch.
Kernpunkt:
- Lokale Firewalls können Firewalls für interne Daten bereitstellen, was durch einen Cloud-basierten Dienst nicht realisierbar ist.
2. End-to-End-VPNs
Der Zweck eines VPN besteht darin, sicherzustellen, dass die zwischen den Endpunkten ausgetauschten Daten während ihrer gesamten Reise einer bestimmten Sicherheitsrichtlinie unterliegen – einem bestimmten Grad an Verschlüsselung, Authentifizierung, Schlüsselerneuerungsrate, Wiedergabeschutz usw.
Eine lokale Firewall stellt sicher, dass sich die VPN-Endpunkte an den Stellen befinden, an denen die Daten beim Kunden ein- und ausgehen. Bei einem Cloud-basierten Sicherheitsdienst müssen Daten an die Website des Anbieters gesendet werden – vielleicht als Klartext oder vielleicht in einer vom Dienst definierten Form der Verschlüsselung – bevor sie in das VPN eingekapselt werden. Dies negiert eher die Natur eines VPNs, eine dedizierte Verbindung zwischen den Endpunkten zu emulieren.
Kernpunkt:
- Durch die Verwendung einer lokalen Firewall können VPNs Daten während ihrer gesamten Reise über das Internet schützen.
3. Tiefenverteidigung
Eine optimale Sicherheitsstrategie umfasst mehrere Verteidigungsebenen, die sich in der Nähe der zu verteidigenden Vermögenswerte befinden. Vor-Ort-Firewalls an allen Standorten in einem Netzwerk mit mehreren Standorten in Verbindung mit Sicherheitsfunktionen innerhalb der LAN-Infrastruktur wie DOS-Abwehr, Hardwarefilter und Client-Authentifizierung bieten genau dies – einen mehrschichtigen Schutz in der Nähe der Assets.
Eine lokale Firewall bietet tatsächlich mehrere Verteidigungsebenen, da sie sowohl den internen Datenverkehr als auch die polizeiliche Kommunikation zum und vom Internet schützen kann.
Die Kombination eines Cloud-basierten Sicherheitsdienstes mit einer lokalen Firewall wäre natürlich ein idealer Weg, um eine mehrschichtige Verteidigung zu erreichen.
Kernpunkt:
- Sich auf einen entfernt im Internet befindlichen Sicherheitsdienst zu verlassen und Sicherheit für alle Standorte von diesem einen Cloud-basierten Standort aus bereitzustellen, bietet nicht die erforderliche Verteidigungstiefe für optimale Sicherheit.
Zusammenfassung
Während das Auslagern der Netzwerksicherheit an einen Cloud-basierten Dienst eine attraktive Möglichkeit sein kann, Geld zu sparen und die Komplexität zu reduzieren, bietet die Beibehaltung von Firewalls vor Ort überzeugende Vorteile.
Lokale Firewalls bieten viele Funktionen, die Cloud-basierte Firewalls nicht bieten können. Die Sicherheit kann zwischen Abteilungen oder Standorten verwaltet werden, die die Cloud möglicherweise nicht durchqueren, und sie kann in einem mehrschichtigen Ansatz angewendet werden, um einen umfassenden Schutz zu bieten. Lokale Firewalls stellen außerdem sicher, dass Informationen über und Verantwortung für Sicherheitsrichtlinien und kryptografisches Schlüsselmaterial innerhalb der Organisationen verbleiben, die die Firewalls schützen. Aus diesen und vielen weiteren Gründen werden Firewalls weiterhin lokal statt in der Cloud bereitgestellt.