Die Geschichte — und die Herausforderungen — von Firewalls der nächsten Generation
Vor etwa sechzehn Jahren, im Jahr 2007, stellte Palo Alto Networks sein erstes Produkt vor, das die Netzwerksicherheit für immer veränderte. Der Begriff „Firewall der nächsten Generation“ oder NGFW, musste noch geprägt werden. Das würde passieren, als Gartner den Begriff 2009 einführte. Zu dieser Zeit fielen die Produkte von Palo Alto unter den früheren Begriff „Unified Thread Management“ oder UTM. Obwohl Palo Alto weder die UTM noch die NGFW erfunden hat, sind sie inzwischen zum wichtigsten Produkt in diesem Bereich geworden, an dem alle Wettbewerber gemessen werden. Für die Zwecke dieses Beitrags verwenden wir der Einfachheit halber den Spitznamen NGFW.
Das, was wir heute „die Cloud“ nennen, gab es 2007 sicherlich, aber Rechenzentren wurden immer noch größtenteils auf traditionelle Weise gebaut: eine harte, knusprige Sicherheitshülle rund um ein weiches, klebriges Zentrum für Daten und Rechenleistung. Nur die mutigsten Unternehmen verlagerten ihre Ressourcen in AWS (Amazon Web Services) und andere neue Cloud-Dienste. Das Rechenzentrum hatte immer noch eine definierte und bekannte Grenze. Die Grenzen zwischen den Anlagen innerhalb des Rechenzentrums und denen außerhalb waren klar.
NGFWs: Perfekt für den Schutz des Rechenzentrumsperimeters
Der NGFW mit seiner Vielzahl leistungsstarker Sicherheitsfunktionen passte hervorragend zu diesem Modell. NGFWs wurden schnell zu den Torwächtern von Rechenzentren und kontrollierten sorgfältig, was in ein bestimmtes Netzwerk einging (und in weitaus geringerem Maße, was herauskam). Leistungsstarke kundenspezifische CPUs analysierten und transportierten Pakete schnell auf ihrem Weg, und die für die Sicherheit Verantwortlichen schliefen nachts etwas besser, da sie wussten, dass ihre Ressourcen durch eine Reihe neuer Tools geschützt waren.
NGFW Anbieter wie Palo Alto Netzwerke, Check Point und Fortinet haben sich nun ein neues Ziel gesetzt: Dominanz innerhalb des Rechenzentrums, Überwachung und Kontrolle des Datenverkehrs zwischen Anwendungen, als Netzwerksegmentierung kam als das „heiße neue Ding“ in Mode.
Hier standen sie jedoch vor einer weitaus größeren Herausforderung. NGFWs waren eine naheliegende Wahl, um den Perimeter des Rechenzentrums zu schützen. Die unerschwinglichen Kosten für Hardware, Lizenzierung und Support waren durch die klaren Vorteile gerechtfertigt. Der Preis wurde durch die Tatsache in Grenzen gehalten, dass die Internetverbindungen zu Rechenzentren im Vergleich zu internen Verbindungen relativ langsam waren und der Preis mit der Bandbreite steigt. Im Inneren war jedoch bei weitem kein so klares Kosten-Nutzen-Verhältnis zu finden. Ein erheblicher Prozentsatz von NGFW-Funktionen, nehmen wir als Beispiele die DDoS-Abwehr oder das Traffic Shaping, hatten im Inneren keinen Wert. Aber Sie haben trotzdem für sie bezahlt.
Als ob die enormen Kosten von 10 G Durchsatz nicht schon abschreckend genug wären, um den internen Gebrauch abzuschrecken, wurden alle Kosten aus Gründen der Redundanz verdoppelt. Es war äußerst schwierig, das Fünffache der Ausgaben einer herkömmlichen Firewall für eine Reihe von Funktionen zu rechtfertigen, die übertrieben waren und für die jeweilige Aufgabe oft nicht relevant waren.
Allerdings erfordern Branchen- und Regierungsvorschriften bestimmte Kontrollen im Inneren, zumindest für bestimmte Anwendungsklassen. HIPPA und PCI kommen mir als herausragende Beispiele in den Sinn. Daher entschieden sich die Kunden für Hybridlösungen, bei denen NGFW-Geräte die Grenze und einige wichtige, spezifische Anwendungen schützten, wobei herkömmliche Stateful-Geräte ohne NGFW die Lücke beim internen Schutz ausfüllten. Diese unglückliche Ehe von Alt und Neu funktionierte eine Weile. Bis zur allgemeinen Akzeptanz der Public Cloud.
Verwaltung der NGFW-Komplexität in der Cloud
Die Public Cloud hat die Sicherheitswelt auf den Kopf gestellt. Aber nicht für jedermann und nicht immer auf offensichtliche Weise.
Denken Sie daran, dass NGFWs für jedes Paket, das ihr Chassis durchläuft, eine erstaunliche Menge an Verarbeitung durchführen. Die Intel-Architektur, so allgegenwärtig sie auch ist, ist eine schlechte Wahl für die epischen Mengen an Arbeit auf niedriger Ebene, die innerhalb einer NGFW erledigt werden muss. Palo Alto entschied sich für Cavium-Netzwerkprozessoren, um all die Paketinspektion und -manipulation auf niedriger Ebene durchzuführen. Fortinet entwarf für diese Arbeit seine eigenen Prozessoren beim Kunden.
Der heutige NGFW ist nach den Maßstäben von vor einem Jahrzehnt ein Supercomputer der Regierungsklasse, auf den sicherlich ein Teil der Kosten entfällt. Die NGFW-Anbieter reagierten schnell auf die Umstellung auf die Cloud mit virtuellen Versionen ihrer Produkte, aber die Leistung war aufgrund der Einschränkungen der Intel-Architektur durchweg miserabel.
Dies führte zu großen Änderungen in der Art und Weise, wie die Sicherheit an der Grenze von Cloud-Netzwerken gehandhabt wurde. Oft wurde bei Dutzenden von virtuellen Firewalls ein Lastenausgleich durchgeführt. Netzwerke wurden so umgestaltet, dass sie über weitaus mehr Internet-Peering-Punkte verfügten als in der Zeit vor Ort, wodurch die Leistungsanforderungen pro Firewall gesenkt wurden. Und Firewallanbieter begannen, ihre VM-Implementierungen (virtuelle Maschinen) in Sixpacks und 10er-Packs zu verkaufen, weil eine oder zwei Firewalls die Aufgabe nicht mehr erfüllen konnten.
Wenn der Aufbau und die Verwaltung so komplex klingen, schade das eher typische Unternehmen, das nur einen Teil seiner Ressourcen in die Cloud verlagert hat. Wie beide IaaS (Infrastruktur als Service) und PaaS (Platform-as-a-Service) vermehrte sich, die Netzwerkgrenzen wurden zunehmend undeutlich. Während die IT-bezogene Definition von „Cloud“ von der Idee abgeleitet wurde, dass eine große Anzahl von Computern (analog zu Wasserdampf) aus der Ferne als ein einziger Computer betrachtet wird, wurde es immer angemessener, eine andere Definition zu verwenden: „Etwas, das verdeckt oder Makel hat“.
Als Rechenzentren anfingen, eine zufällige Auswahl von Anwendungen und Teilen von Anwendungen in der Cloud zu hosten, während andere Anwendungen (und Teile von Anwendungen) vor Ort blieben, wurde es unglaublich schwierig, sie zu schützen und Sicherheitsrichtlinien durchzusetzen. Dies liegt vor allem daran, dass es fast unmöglich wurde, Grenzen zu definieren, wo normalerweise Sicherheit angewendet wird. Und selbst in den Fällen, in denen die Grenzen klar waren, wurde das schiere Volumen an Sicherheitshardware, Software und Konfiguration überwältigend.
Infolgedessen machte die Sicherheit einen großen Rückschritt.
Blick in die Zukunft: NGFW-Funktionen in einer Mikrosegmentierungsumgebung
So begann das Gebiet dessen, was in den frühen Tagen bekannt war als Mikrosegmentierung, und was heute häufiger als Zero Trust Segmentation (ZTS) bezeichnet wird.
Das Konzept der Mikrosegmentierung ist einfach: Durchsetzung von Richtlinien (d. h. Firewalls) auf jedem Server, die sowohl den eingehenden als auch den ausgehenden Verkehr zu jedem anderen Server kontrollieren. Im Grunde genommen ist die Mikrosegmentierung einfach eine Erweiterung der Idee der Netzwerksegmentierung auf das Ultimative (eine Firewall pro Server). Die Mikrosegmentierung gab Sicherheitsteams ein leistungsstarkes neues Tool an die Hand, um mit den „unscharfen Grenzen“ rund um und innerhalb unserer Rechenzentren umzugehen, indem sie die Sicherheit für jeden Server (oder zumindest für jede Anwendung) einzeln angehen.
In der Vergangenheit befasste sich die Mikrosegmentierung mit Anschlüssen und Protokollen, ohne in das für NGFW-Funktionen erforderliche Gebiet der Tiefeninspektion einzutauchen.
Im Büro des CTO ist es meine Aufgabe, „Was wäre wenn?“ zu spielen und versuche, mögliche zukünftige Probleme und ihre möglichen Lösungen vorausschauend zu betrachten. Zu den aktuellen Forschungsarbeiten bei Illumio gehört es daher, die Möglichkeiten der Implementierung von NGFW-Funktionen in einer Mikrosegmentierungsumgebung zu untersuchen.
Lesen Sie nächste Woche meinen Blog, um mehr über die Forschung von Illumio und diese möglichen zukünftigen Entwicklungen im Bereich der Mikrosegmentierung zu erfahren.