Was ist Cloud-Firewall?

Warum Cloud -Firewalls wichtig sind

Als grundlegende Maßnahme sind Cloud- Firewalls ein unverzichtbarer Bestandteil des Cybersicherheits-Toolkits: Sie befinden sich am Perimeter des Cloud-Netzwerks der Organisation und überwachen den gesamten Datenverkehr, der in das Netzwerk hinein- und hinausfließt. Dies wird als Nord-Süd-Verkehr bezeichnet und umfasst jegliche Netzwerkinteraktionen mit externen Benutzern oder Systemen, wie z. B. Kunden, die auf Cloud-basierte Anwendungen zugreifen, oder interne Endbenutzer, die auf Cloud-Ressourcen zugreifen.

Der Nord-Süd-Netzwerkverkehr macht in den meisten Organisationen den Großteil des Netzwerkverkehrs aus: An dieser Grenze überwacht die Firewall den Inhalt und die Legitimität jeder Anfrage. Der Fokus liegt jedoch zunehmend auf der Bewegung im Ost-West-Netzwerk – also auf Datenpaketen, die zwischen Geräten innerhalb des Cloud-Netzwerks der Organisation übertragen werden. Angreifer nutzen oft das implizite Vertrauen in interne Ressourcen aus, wodurch die Ost-West-Verbindungen deutlich anfälliger für die seitliche Ausbreitung unautorisierten Netzwerkverkehrs und den Wirkungsradius jeglicher Bedrohungen werden.

Cloud Firewall kann den Ost-West-Verkehr segmentieren und Kontoübernahmen sowie Insiderbedrohungen abfangen, bevor diese Malware einsetzen oder Daten stehlen können. So geht's.

Cloud-Firewall-Funktionen

Die Überwachung der verschiedenen Verkehrsarten erfordert eine Reihe von Kernfunktionen.

Verkehrsüberwachung

Kernstück der Cloud-Firewall ist ihre Fähigkeit, Datenverkehr strategisch abzufangen. Diese Daten werden häufig erfasst, indem die Firewall als Gateway in einer Reverse-Proxy-Konfiguration positioniert wird und anschließend alle angeforderten Daten darüber geleitet werden. Um die Latenz gering zu halten, wird die Cloud-Firewall häufig geografisch nahe am Hauptsitz und Rechenzentrum der Organisation eingesetzt.

Paketprüfung

Jedes Netzwerkpaket wird gemäß dem zugrunde liegenden Regelsatz und der Analyse-Engine der Firewall analysiert. Die Kerndetails sind Header-Informationen wie IP-Adressen, Ports und Protokolle. Weitere zustandsorientierte Firewall-Analysen beziehen den Kontext jedes einzelnen Pakets mit ein. Die meisten modernen Cloud-Firewalls führen heutzutage eine laufende Risikobewertung für jede Verbindung; das Unternehmen kann dann das Risikoniveau ermitteln, dem jede Ressource ausgesetzt sein kann.

Durchsetzung der Sicherheitsrichtlinie

Gemäß dem Paketprüfungsprozess setzt die Cloud-Firewall dann eine bestimmte Aktion durch, die in jeder Regel enthalten ist. Dies kann so einfach sein wie das Blockieren der Verbindung oder so komplex wie die Anforderung einer weiteren Authentifizierung vom Endbenutzer.

Integration von Bedrohungserkennungs- und Sicherheitstools

Durch den Einsatz von Techniken wie Intrusion Detection and Prevention Systems (IDS/IPS) kann eine Cloud-Firewall mit anderen Sicherheitstools integriert werden, um tieferliegende Bedrohungen wie Malware, unberechtigten Zugriff und verdächtige Aktivitäten abzuwehren. Firewall-Daten gehören zu den wichtigsten Komponenten der automatisierten Bedrohungserkennung.

Protokollierung und Berichterstellung

Die Cloud-Firewall protokolliert alle richtlinienbasierten Reaktionen sowie die Aktivitäten im umgebenden Netzwerk. Dies ist ein entscheidender Bestandteil umfassenderer Compliance- und Berichtsfunktionen.

Auf dem Papier unterscheiden sich diese Funktionen nicht wesentlich von ihren herkömmlichen, physischen Pendants – was also macht die Cloud-Firewall so anders?

Und so funktioniert es

Traditionell waren Firewall physische Einheiten. Sie existierten als Teil Ihres digitalen Perimeters und waren in vielen Fällen einfach ein eigenständiger Router, der potenziell böswilligen Datenverkehr abfangen sollte, bevor er Ihr System erreichte. Wie funktioniert das dann, wenn Ihre Daten und Software in der Cloud liegen und Sie eine Cloud-Firewall verwenden?

Im Gegensatz zur herkömmlichen Firewall-Appliance existiert ein Cloud-basierter Perimeter nicht an einem physischen Standort, zumindest nicht in Bezug auf Ihre Anwendung oder Datenbanken. Alle Elemente des Systems sind verteilt. Grundsätzlich unterscheiden sich Systeme der nächsten Generation jedoch nicht wesentlich von herkömmlichen Systemen. Der Hauptunterschied besteht darin, dass die Daten nicht über einen einzigen Punkt eingegeben, gefiltert und dann an die entsprechenden Ports verteilt werden, sondern dass die Filterung auf Cloud-Ebene erfolgt. Es gibt eine unsichtbare Mauer um Ihre Cloud-basierten Tools, die böswillige Akteure fernhalten kann.

Traditionelle Firewall vs. Cloud Firewall

Traditionelle Firewalls sind physische Geräte oder Apparate, die auf dem Gelände einer Organisation installiert sind und unter deren Kontrolle stehen. Sie werden üblicherweise physisch im selben Raum wie die Server-Stacks gelagert. Aus Netzwerksicht befindet sich die Firewall zwischen dem Netzwerkrouter und allen Geräten im internen Netzwerk. Jedes Gerät wird dann so konfiguriert, dass seine Datenflüsse über diese Firewall geleitet werden. Diese Netzwerkarchitektur ist auch heute noch weit verbreitet.

Anstatt physisch in einem Server-Stack untergebracht zu sein, fungiert die Cloud Firewall als Dienst, der über das Internet zugänglich ist. Sie setzen auf Cloud-Virtualisierung, um die gleiche Funktion wie herkömmliche Firewalls zu erfüllen – die Kontrolle des Datenflusses in und aus dem privaten oder öffentlichen Cloud-Netzwerk – jedoch ohne die Notwendigkeit von Hardware vor Ort. Diese Architektur bietet mehrere Vorteile, die wir im Folgenden erläutern werden.

Wie man Cloud Firewall zur Durchsetzung von Zero-Trust-Sicherheit einsetzt

Cloud Firewalls spielen eine zentrale Rolle bei der Implementierung von Zero-Trust-Sicherheitsmodellen, indem sie strenge Zugriffskontrollen durchsetzen und den gesamten Netzwerkverkehr unabhängig von seiner Herkunft kontinuierlich überprüfen. Cloud Firewalls sind in der Lage, den individuellen Kontext jeder Anfrage zu beurteilen – sogar Ost/West, zwischen verschiedenen internen Cloud-Netzwerken oder Subnetzen.

Das Prinzip des Zero Trust basiert auf dem Grundsatz „Vertrauen ist gut, Kontrolle ist besser“, und Cloud-Firewalls sind ein wesentlicher Bestandteil von Zero-Trust-Architekturen – aber sie sind bei Weitem nicht der einzige Sicherheitsansatz, auf den sich ein Zero-Trust-Projekt verlassen sollte. Sicherheitsmanagement endet nicht am Netzwerk, aber es ist einer der wichtigsten Bausteine für die Verwirklichung von Zero Trust.

Best Practices Cloud Firewall

Genau wie physische Firewalls benötigen auch Cloud-Firewalls während ihres gesamten Lebenszyklus ein gewisses Maß an Support und Aktualisierung. Die Best PracticesFirewall können schnell zu einem unübersichtlichen Labyrinth aus Geboten und Verboten werden. Deshalb hier eine kurze Liste der wichtigsten Best Practices für Zero-Trust-Architekturen.

Verlassen Sie sich nicht nur auf vorkonfigurierte Regeln.

Die meisten Firewalls werden heutzutage mit vorkonfigurierten Regelsätzen ausgeliefert, die die häufigsten netzwerkbasierten Angriffe abdecken. Diese Richtlinien sind jedoch nicht auf Ihre Organisation zugeschnitten – die spezifischen Gegebenheiten Ihres Netzwerks erfordern eigene Firewall-Richtlinien. Wenn ein Unternehmen beispielsweise keine Verwendung für das Konfigurationsprogramm LinuxConf hat, sollte jeglicher Zugriff auf Port 98 über eine Firewall unterbunden werden. Andererseits sollten Sie erwägen, den Zugriff auf Ports nur für die spezifischen Programme zu erlauben, die die Teams Ihres Unternehmens tatsächlich benötigen.

Sorgen Sie für eine solide Grundlage an Richtliniendokumentation

Wenn Sie Ihre Cloud-Firewall-Regeln ändern, muss die zugehörige Dokumentation entsprechend angepasst werden. Jedes Mitglied des Sicherheitsteams sollte wissen, wo sich diese Dokumentation befindet und wie der Änderungsprozess für jedes Dokument abläuft.

Überprüfen Sie die Leistung Ihrer Firewall.

Die Erkennung von Schwachstellen in Firewalls erfordert eine regelmäßige Überprüfung ihrer Konfigurationen: Dies wird am besten durch Penetrationstests durchgeführt, bei denen die Widerstandsfähigkeit der Firewall unter Angriffsbedingungen analysiert wird. Dies ist eine der deutlichsten Möglichkeiten, um zu beurteilen, wie gut eine Firewall konfiguriert ist – vorausgesetzt, die Penetrationstester liefern einen vollständigen Bericht über die Reaktionen Ihrer Firewall.