What is a Virtual Firewall?

A virtual firewall is a cloud-based security appliance that sits at the perimeter of a network and examines the traffic coming into and out of it. While traditional firewall appliances would be deployed physically alongside their server stacks, modern virtualization has allowed the firewall to be deployed and managed as a cloud-based appliance. This allows the security team to define their SD-WAN network traffic from a visual dashboard, and more easily apply the firewall protection to cloud and virtual servers.

Rapport sur la sécurité du cloud Demander une démo

What is a Virtual Firewall?

Fonctionnement d'un pare-feu virtuel

Les pare-feu virtuels sont généralement déployés sous la forme d'une machine virtuelle dans un environnement basé sur cloudou via une offre FWaaS. Cela permet à une organisation de tirer parti de la flexibilité et de l'évolutivité du site cloud dans le cadre de sa sécurité.

Comme tout pare-feu, un pare-feu virtuel ou cloud doit pouvoir inspecter le trafic entrant et sortant de son réseau protégé. Pour ce faire, un pare-feu virtuel dispose de plusieurs options :

  • Mode pont : Un pare-feu virtuel peut être déployé comme un pare-feu physique, en se plaçant directement sur le chemin du trafic. Cela lui permet d'inspecter et d'autoriser ou de bloquer tout trafic qui tente d'entrer ou de sortir de l'environnement virtuel par le pont.
  • cloud-API natives : De nombreux services cloud proposent une API, telle que AWS VPC Traffic Mirroring, qui offre une visibilité sur les flux de trafic dans le déploiement cloud d'une organisation. Les pare-feu virtuels peuvent également tirer parti de ce réseau virtuel pour inspecter le trafic entrant et sortant de l'environnement virtuel protégé.

Cette visibilité permet au pare-feu cloud d'appliquer ses politiques de sécurité intégrées et toutes les fonctionnalités de sécurité intégrées, telles que l'analyse en bac à sable des contenus suspects. En fonction des paramètres de déploiement et de configuration, le pare-feu peut également être configuré pour bloquer les tentatives d'attaque ou générer des alertes.

Différents types de pare-feu virtuels peuvent présenter des caractéristiques supplémentaires qui les rendent parfaitement adaptés à la protection des environnements basés sur le site cloud. Par exemple, l'utilisation d'objets dynamiques par Check Point permet de définir des politiques de sécurité de manière à ce que certaines valeurs soient résolues différemment par chaque passerelle utilisant la politique. Il est ainsi possible de définir des politiques de sécurité générales qui sont appliquées de manière cohérente à l'ensemble de l'infrastructure informatique de l'organisation et dont les valeurs spécifiques, telles que les adresses IP, sont définies en fonction de l'intégration du pare-feu avec les balises cloud application .

How is a Firewall Made Virtual?

Traditional networking appliances require dedicated hardware for each network function: the firewall is one of the most well-established pieces of hardware within the security stack. In this setup, incoming traffic is routed to the firewall that is plugged into the router, where it’s analyzed, before being forwarded to the internal network’s own switches. Sometimes, hardware firewall apps can be built into the router itself. The onboard memory then executes the security policies and routes traffic on to the internal networks. Usage trends are stored temporarily onboard; these can be extracted and analyzed by other security tools like security information and event management (SIEM).

 

The firewall analyzes every packet of data that is sent to the protected network, filtering traffic according to its criteria. This includes protocol type, source and destination IP addresses, port numbers, and previous behavior. If a packet does not comply with these rules, the firewall prevents it from passing through. In physical networks, these rules are uploaded to the physical appliance. However, continuing to rely on a hardware firewall can lock admin teams into expensive upgrade cycles as a business – and its network traffic – grows.

Separating  compute power from a physical machine has been the defining process of the last decade’s worth of cloud transformation. Network Function Virtualization (NFV) allows firewalls to be virtualized through a type of software called a hypervisor. This segments a physical machine into multiple virtual machines – each of which can run independently. This then allows a firewall to be purchased and deployed as software: traffic on-route to the network is routed via this cloud-based, virtual firewall. An organization then maintains the  virtual firewall, changing rules and viewing ongoing activity through a visual dashboard.

Pourquoi un pare-feu virtuel est-il nécessaire ?

Un pare-feu virtuel est conçu pour fournir un grand nombre des mêmes protections que les pare-feu physiques traditionnels, mais sous la forme d'une solution "cloud-native". Cela leur permet de répondre à plusieurs besoins en matière de sécurité :

  • Inspection du trafic nord-sud : les ressources basées sur le site cloudsont déployées en dehors du périmètre traditionnel du réseau d'entreprise et sont directement accessibles depuis l'internet public. Le déploiement d'un pare-feu virtuel pour inspecter et filtrer le trafic entrant et sortant de ces ressources basées sur le site cloudest essentiel pour les protéger contre les compromissions et les fuites de données potentielles.
  • Inspection du trafic est-ouest : Même si une organisation contrôle l'accès à ses ressources basées sur le site cloud, l'inspection des flux de données est-ouest au sein de l'environnement de l'organisation est également un aspect essentiel de la cybersécurité. Les cybercriminels qui ont accès au réseau d'une organisation s'y déplacent souvent latéralement pour atteindre des ressources sensibles et réaliser leurs objectifs finaux. Avec un nombre croissant de données et de fonctionnalités sensibles déployées sur le site cloud, l'inspection du contenu et l'application de la politique de sécurité de ces flux de trafic est-ouest sont importantes pour protéger les ressources basées sur le site cloud, ce qui rend un pare-feu virtuel essentiel.
  • Lieu de déploiement : Un pourcentage croissant de l'infrastructure d'une organisation est déployé dans des environnements virtualisés, tels que le site cloud. La sécurisation de ces environnements à l'aide d'un dispositif de pare-feu physique n'est souvent pas une option viable, car ces dispositifs ne peuvent pas être déployés sur place et l'acheminement du trafic via le réseau du siège pour l'inspection de sécurité n'est pas une option viable. Un cloud ou un pare-feu virtuel permet à une organisation de déployer le même niveau de sécurité dans un format conçu et adapté à son environnement de déploiement.
  • Flexibilité et évolutivité : Les pare-feu virtuels sont couramment déployés comme solution de sécurité dans les environnements cloud. Les organisations utilisent généralement le site cloud pour sa flexibilité et son évolutivité intégrées. Sécurité du cloud doit donc être en mesure de s'adapter à l'évolution des besoins. C'est pourquoi l'utilisation de pare-feu virtuels - éventuellement via un service de pare-feu en tant que service (FWaaS) offrant un accès à la protection à la demande - est une solution idéale pour sécuriser ces environnements basés sur le cloud, en particulier avec la possibilité d'automatiser les étapes courantes de déploiement, d'approvisionnement et de configuration.

Virtual vs Physical Firewall Use Cases

Since virtual firewalls are so different from their hardware-based counterparts, their ideal use cases differ accordingly. Virtual firewall solutions are best suited for cloud-native applications and rapidly changing network infrastructure. In contrast, physical firewalls excel in high-performance scenarios, centralized on-premises security, and protecting legacy systems.

Centralized, On-Premises Networks

Hardware firewalls are architecturally well-suited to centralized, hub-and-spoke model networks. This is because they are implemented as a single security device alongside a single serverstack. Should an enterprise rely on a simple, central network model similar to this, a hardware-based approach can prove effective.

Sprawling, Hybrid Networks

Virtual firewall benefits are best realized when an organization wants to secure sprawling, or cloud-based networks. Virtual firewalls provide a central management hub, even across swathes of an organization’s containerized applications, microservices, and private clouds. This means they are far better suited to hybrid or very distributed network environments, as one single management plane can allow a team to alter rules in different areas of the business. This helps build consistent firewall protection across different zones.

VPN Compatibility

When provisioning access for remote employees, many companies choose Virtual Private Network (VPN) tools. However, because these VPNs encrypt remote workers’ individual connections to internal resources, traditional firewalls can struggle to analyze the encrypted traffic. Both virtual and physical firewalls can effectively analyze VPN traffic, but they have different strengths depending on the network environment and use case.

Virtualized firewalls are a better fit for cloud-based VPN servers – they are also well-suited to new or temporary VPN accounts, such as those set up for temporary work staff and contractors.

Low Budget, or Time

In terms of initial cost and time, a software-based firewall is relatively cheap and rapid to implement. Some come with a free trial, and after that, a relatively low monthly fee. Most virtual firewalls charge based on usage, or throughput, allowing for costs to remain consistent with real usage.

Software-based firewalls are also faster to set up: virtual firewall configuration often requires installation and a few setting tweaks to begin securing traffic. Hardware firewalls, on the other hand, demand physical installation, suitable wiring and space dedication, and proper network positioning and design – changing these down the line then requires the same intensive process.  Plus adding new appliances or devices means electrical and cooling considerations must be taken for each firewall that is installed. On the other hand, public cloud providers are responsible for the physical infrastructure for virtual firewalls.

Data Center Protection

Physical firewall appliances are generally better suited to intensely high-throughput applications, like data centers. This is due to the proximity of their compute power, which can be provided instantaneously from the onboard memory. This also allows for drastic fluctuations in network traffic to be suitably analyzed and processed, with no perceivable impact on latency.

This robust processing capability makes hardware firewalls an ideal choice for organizations experiencing rapid growth or those operating in high-demand sectors where uninterrupted network availability is mission-critical. Some virtual firewall challenges in this use case can include volatile pricing structures and the added latency of traffic being re-routed to a cloud-based analysis engine. Hardware firewalls can be a better fit for data centers since they operate independently from other network components: this frees up server and device resources that can then be fully optimized for their primary network task.

Gain Cloud Security with Check Point CloudGuard

Choosing a virtual firewall can be a critical move toward securing your cloud infrastructure. Check Point CloudGuard Network Security offers a cloud-native firewall that delivers  unified, industry-leading threat prevention across hybrid and cloud-based networks.

Boasting a malware identification rate of 99.9%, operational efficiency is championed through automation and native integration with tools like Ansible and Terraforms, , CloudGuard Network Security supports automated playbooks and API-based responses. With a security blueprint that promotes architectural best practices and auto scaling up and down based on network traffic, CloudGuard Network Security customers are able to design highly available and secure deployments with tight network segmentation. Explore the wealth of CloudGuard Network Security firewall features with a demo today, or request pricing and start realizing cloud-first security.