.png)
Untersuchung der Verwendung von NGFW-Funktionen in einer Mikrosegmentierungsumgebung
Fast zwei Jahrzehnte lang Firewalls der nächsten Generation (NGFWs) waren ein unverzichtbares Sicherheitsinstrument. Da die heutigen Netzwerke jedoch immer komplexer werden, löst der von NGFW angebotene Perimeterschutz ein Problem, das zunehmend an Relevanz verliert.
Illumio hat die Möglichkeiten der Implementierung von NGFW-Funktionen in einem microsegmentation environment, the both technologies combine, to offer the art of security, that is required for complex networks.
In Teil eins, I have a overview about the history, the value and the challenges of firewalls of next generation (NGFWs).
In this second article I will about the „Was wäre wenn? “ speak scenario of implementation a part of the NGFW functionality in a microsegmenting solution. Ich werde über verschiedene Anwendungsfälle sprechen und darüber sprechen, welche NGFW-Funktionen für jeden geeignet sein könnten.
NGFWs works for the North South Traffic — have but problems with Ost-West traffic
The NGFW was around to the idea developed, the perimeter of a network, and also mainly to protection before attacks in in incoming data traffic. In the network world is this art of traffic often known as „North South“. This terminology is related to the wide wide practice, a network with the internet blase on the peak, with the traffic, the flow in the rechenzentrum, from above to below or from north to south. The traffic within the rechenzentrums is displayed in the rule that he moves by links to right or from right from right after links, and also is often known as „Ost-West“.
Use this terminology can be says that it a strong application case for NGFWs, which are used in a North South role, how I had first part discussed. The application fall for Ost-West is but something less safe. This 2nd statement has you probably provided some hair in the thick, also let me something specific to this statement.
Firewalls kosten drei Arten von Geld: Hardware, Wartung/Support und Konfiguration/Überwachung. Trotz der hohen Kosten in allen drei Kategorien ist der ROI für NGFWs für den Nord-Süd-Anwendungsfall ziemlich eindeutig. Wenn es nach Ost-West geht, stellt sich heraus, dass nur ein Teil der vollständigen NGFW-Funktionen relevant ist, aber der Anbieter gewährt Ihnen keinen Rabatt, wenn Sie den vollen Funktionsumfang nicht nutzen. Es ist oft schwierig, den Kauf einer kompletten NGFW-Appliance zu rechtfertigen und nur die Hälfte der Funktionen zu nutzen, desto mehr in den Fällen, in denen der NGFW-Funktionsumfang nicht gesetzlich oder behördlich vorgeschrieben ist.
NGFWs for South North Traffic
This are two of good application cases for an NGFW, but it is actually a third, the people take rarely to take, outside the randes: the South North application fall, or in english, the control of the output data traffic within the network. The NGFW provider speak about, but only a little. Und die meisten Unternehmen sind sich der Gefahr bewusst, uneingeschränkt ausgehende Verbindungen zu haben, tun aber erstaunlich wenig, um sie tatsächlich zu begegnen. I'm run of the years with many customers and detected that the company most only have not have a process, after the Inhabers of internal applications checks for outgoing connections to the network limit.
Mein Job ist hauptsächlich Forschung und Entwicklung, wobei der Schwerpunkt auf dem „R“ -Teil liegt. Lass uns ein Gedankenexperiment in this sinne durchführen. Sie betrachten das Nord-Süd-Problem als gelöst für einen Moment. Es ist nicht gelöst in der Sonne, dass es keine hundertprozentig einwandfreie Lösung gibt, aber es ist in der Sinne, dass die meisten Unternehmen diesen Pfad nicht mehr als Hauptangriffsweg auf ihre Netzwerke betrachten. Lassen Sie uns stattdessen darüber nachdenken, wie Netzwerke sicherer gemacht werden könnten, wenn Sie ausgewählte NGFW-Funktionen in Ihre Mikrosegmentierungslösung implementieren und sowohl Ihre Ost-West- als auch Süd-Nord-NGFW-Steuerungen könnten, ohne dass mehr Geräte gekauft werden müssen oder ihre internen organisatorischen Prozesse verbessern müssen, an denen Sie hindern müssen, die Vorteile der NGFW-Funktionen für ausgehende Verbindungen zu nutzen.
The application cases Süd-Nord and Ost-West are different, but it has been sufficient overschneidungen. Darüber hinaus sind viele Nord-Süd-Features für keines dieser Gebiete relevant. Lass' uns beginnen mit dem Ost-West-Anwendungsfall.
Wie ich bereits sagte, es gibt sicherlich einen Anwendungsfall für eine begrenzte Teilmenge der NGFW-Kontrollen in Ost-West-NGFW. Der ROI einer vollständigen Appliance (or virtuelles Gerät) mag angesichts der Kosten fraglich sein, aber der Bedarf ist dennoch real. Wenn Ihr Netzwerk PII, HIPPA or PCI Data, you comply with particular security the rules and rules to protection this data. In vielen Fällen beinhaltet dies die ausdrückliche Anforderung, traditionelle NGFW-Dienste wie DLP (Data Loss Prevention) und IDS/IPS (Intrusion Detection/Prevention Service) zu implementieren. Also wenn es kein Mandat gibt, gibt es eine bewährte Methode. The application id, also the ability, data traffic on the basis of the actual art of the data traffic to block or access, and not based by port and protocol, is also an performance and protocol, is also an performance and request instrument to prevent attacks and data exfiltration.
Für den Süd-Nord-Anwendungsfall könnten einige zusätzliche Funktionen hilfreich sein. DLP wird wahrscheinlich immer noch benötigt, und die Anwendungs-ID ist für diesen Anwendungsfall ebenfalls nützlich, aber ich würde die URL-Filterung hinzufügen und die Möglichkeit hinzufügen, den Datenverkehr auf der Grundlage der Reputation und der Geografie der Ziel-IP zu steuern. Sicher, Ihr Grenz-NGFW kann das bereits, aber wie ich bereits erwähnt habe, gibt es für einen Anwendungsbesitzer oft keine Möglichkeit, diese Funktionen zu nutzen, wenn die Grenzgeräte nicht unter seiner Kontrolle stehen. Und sie befinden sich selten in einer großen Rechenzentrumsumgebung.
Die meisten anderen NGFW-Dienste haben einen begrenzten Wert für Ost-West oder Süd-Nord. DDoS and QoS make less sense within a network. Ebenso ist moderne AV-Software, die innerhalb des Betriebssystems läuft, wahrscheinlich effizienter als eine netzwerkbasierte Lösung, sodass netzwerkgestützter Virenschutz wahrscheinlich nicht auf der Tagesordnung steht.
Die Leistung der NGFW-Funktionen auf Endpunktgeräten
Es ist an der Zeit, über die Auswirkungen der NGFW-Funktionen auf die Leistung zu sprechen Endpunkte. Falls Sie sich erinnern, wurde im ersten Teil erwähnt, dass es bei NGFW-Geräten handelt, um Systeme der Supercomputerklasse zu handhaben, die mit viel spezieller Hardware ausgestattet sind, um eine respektable Leistung zu erzielen. Daraus folgt natürlich, dass einzelne Server bei der Implementierung derselben Funktionalität mit großen Leistungseinbußen gerechnet haben. Zum Glück scheint das ein Moment zu sein, in dem die Intuition zum Erliegen kommt. Lass uns darüber sprechen, warum.
IDS/IPS is a good start. Von allen NGFW-Diensten gilt IDS/IPS als einer der „schwersten“ Dienste, was bedeutet, dass er unverhältnismäßig viele Ressourcen verbraucht und einer der Gründe für die große Menge an kundenspezifischem Silizium in einem NGFW-Gerät ist. Wenn ich ein mittelgroßes Rechenzentrum mit 1.000 Workloads mit einer IDS/IPS-Lösung schütze, muss ich wahrscheinlich IDS/IPS-Signaturen für mindestens ein Dutzend verschiedene Betriebssysteme unterstützen (Windows 2008, 2012, 2016, 2019, mindestens ein halbes Dutzend Varianten und Versionen von CentOS, RedHat und Ubuntu (plus möglicherweise Solaris or AIX, if I am health system or the banking). Auf jedem dieser 1.000 Server läuft mindestens ein Dienst, auf den ich achten möchte, möglicherweise bis zu drei oder vier verschiedene Dienste, die alle potenzielle Sicherheitslücken aufweisen. Und bei einem dubiosen Betriebssystem verwende ich vielleicht ein Dutzend verschiedene Versionen von jedem dieser drei oder vier Dienste, die jeweils unterschiedliche Sicherheitslücken aufweisen.
Kurz gesagt, ich achte irgendwo zwischen 10.000 und 100.000 schwachstellensignaturen für diese tausend Computer. Und ich suche nach Zeichen dafür in jedem einzelnen Paket, das durch mein NGFW-Netzwerkgerät fließt — an jedem möglichen Port, sodass sie möglicherweise funktionieren. This is clearly no belastung, we would be overlive any server in the rechenzentrum.
In der Praxis müssen wir das nicht. Es gibt keinen Grund, auf einem Linux-Host nach Windows-Schwachstellen zu suchen. Es besteht keine Notwendigkeit, auf einem Computer, auf dem NGINX ausgeführt zu werden, nach Apache2-Sicherheitslücken zu suchen. Es ist nicht erforderlich, auf einem System, auf Application X Version 2.2 ausgeführt zu werden, nach Sicherheitslücken in Application X Version 1.0, 1.1, 1.2, 1.3, 2.0, 2.1 zu suchen.
After to search in each individual package by 10,000 to 100,000 security lacks, we search by may four. Nicht 4.000. Vier. Und vier ist ein lösbares Problem.
Wie? We have an each server an agent, we have full access on the operating system, which patches were installed and which not, which software (and which versions this software) are installed and running, and especially, about which ports they communicate. Wir suchen nach Sicherheitslücken, die spezifisch für das entdeckte Betriebssystem und die erkannten Softwareversionen sind, insbesondere für die Ports, und die entsprechenden Prozesse sind gebunden. Wir reduzieren den Suchraum um etwa vier Größenordnungen. Und vier Größenordnungen sind in der Informatik eine spektakulär große Zahl. This is the difference between heavy and easy.
Ähnliche Strategien könnten auf Dienste wie DLP und URL-Filterung angewendet werden. It is not necessary, every package on each server to filtrir a restricted DLP content and not save large databases with URLs or IP information for public addresses on each server. I'm fall of DLP search you based on workload-Labels only after specific content on a very specific group of servers, at the same way, as the segmenting policy is applied. For the url filterung can saved the large database with IP features in the central policy management system, by demand access by a LAN connection with low latence and for following questions local zwischengespeichert. Die meisten Server kommunizieren immer wieder mit derselben relativ kleinen Servergruppe.
NGFW functions for a microsegmentation solution
Beim Hinzufügen von NGFW-Funktionen zu einem microsegmentation Solution, einer der Vorteile, von denen Sie am meisten profitieren, ist, dass die NGFW-Funktionen genau wie die Firewall-Richtlinien chirurgisch angewendet werden, genau dort, wo Sie sie benötigen, und nicht auf ganzen VLANs oder Subnetzen als Gruppe. A on drawings based policy allows the application administrator, completely specific services, and exactly where they required, instead to move the rechenzentrum with a wide brush. Bestimmte NGFW-Funktionen können nur für den Server aktiviert werden, sie sind erforderlich, und nur für die genaue Durchführung der erforderlichen Inspektionen. Thin is the overhead is reduced to the minimum minimum, that is required for erfüllung their specific security requirements, and they can bring security, performance and costs in agreement.
Denke daran, dass das Ziel hier nicht besteht, deine Border-NGFW-Geräte zu ersetzen. Also, es geht darum, gezielt die Lücken zu schließen, in denen bestehende NGFW-Lösungen architektonisch oder finanziell nicht sinnvoll sind, indem eine leistungsstarke Teilmenge der NGFW-Funktionen auf den Servern selbst ausgeführt wird. This approach allows the application administrators, their outside security, where this may be not possible, and this functions are provide in situation, other with the common solutions to other cost.
Ein Blick in die Zukunft
Laß uns noch weiter in die Zukunft schauen, um das zu klären.
TLS 1.3 wurde 2018 ratifiziert und entwickelt sich langsam zum nächsten Standard für verschlüsselte Web- und andere Dienste. Your first reaction could be into: „Not my problem“ or may „Na und? “ Ich würde argumentieren, dass es tatsächlich äußerst relevant ist. A NGFW can not provide the most available services without Deep Packet Inspection (DPI). Und damit DPI in irgendeiner Weise aussagekräftig ist, müssen die Daten im Klartext vorliegen und nicht verschlüsselt sein.
Als NGFWs zum ersten Mal auf den Markt kamen, war nur ein winziger Bruchteil des Webverkehrs verschlüsselt. Im Lauf der Zeit wurde immer mehr Traffic auf HTTPS oder verschlüsselten Verkehr umgestellt. Heute sind fast 100% des gesamten Webverkehrs verschlüsselt und können daher nicht auf Malware, Viren, Datenexfiltration oder andere NGFW-Server analysiert werden. Die Lösung, die dafür entwickelt wurde, heißt TLS mITM (Man-in-the-Middle).
The facility of TLS MitM is something mühsam, but from concept her simple. The solution contains from a series moving parts. first created the organization a internest TLS-certificate. The public key is distributed to all systems (laptops, desktops, servers usw) within the organization, and each operating system is so configuration that it known and it used for verschlüsselung of the complete output communication, independent from target. The private key is then distributed to your NGFW devices in the environment, which are configured as transparent web proxys.
If an user (or server or an other device) a out connection to a external website, we say in this example gmail.com, instead to use the Google TLS certificate, verschlüsselt the data traffic with the internal certificate of the organization. If the network NGFW this outing data traffic, they can can create it and the content of the data traffic complete, as they available about a copy of the private lock. The NGFW closed the internal connection and provides using the google-certificate a new TLS connection to gmail.com here. They guided the content of both connections further (the internal connection within the organization to external connection to Gmail) and is also in the location, the complete data traffic and to analyse, but it is verschlüsselt.
This method is also completely and CPU-intensiv, has but since about a jahrzehnt for the most services, the SSL, then TLS 1.0, 1.1 and 1.2 use, very times good.
So weit, so gut. Aber TLS 1.3 verändert das Spiel. Erstens schreibt TLS 1.3 Perfect Forward Secrecy in Form eines DH-Schlüsselaustauschs pro Verbindung vor. Aus diesem Grund hat ein passives Gerät keine Möglichkeit, die Nutzdaten selbst zu entschlüsseln, wenn es Zugriff auf den verwendeten privaten Schlüssel hat. TLS 1.3 is essential required, a device into the stream and leite data traffic as proxy. TLS 1.3 macht die Verschlüsselungen mit niedrigerer Sicherheitsstufe als veraltet und macht ein Proxygerät unmöglich, eine Proxyverbindung auf TLS 1.2 wiederherzustellen. This is an continuous strategy, that is often used to save rechenresources in the NGFW (da Verschlüsselungen mit niedrigerer Sicherheit in der Regel weniger Berechnungen erfordern).
Wenn uns die Geschichte der Kryptografie etwas gelehrt hat, dann ist es, dass alte, vertrauenswürdige Standards im Laufe der Zeit mit fast hundertprozentiger Sicherheit als verwundbar eingestuft werden. The current practice, TLS 1.3 to TLS 1.2 up to allow a passive entschlüsselung oder's down, to ensure resources, based on a timer, the only wait that TLS 1.2 is veraltet. If this day, many passive inspection devices are to their letter protection, during many inline solutions are quickly over, because they are required to use rechenintensivere Cryptography.
Ein schmutziges kleines Geheimnis der NGFW-Welt ist, dass Ihr WebSocket-Verkehr zumindest zum Zeitpunkt der Erstellung dieses Artikels wahrscheinlich nicht auf Bedrohungen jeglicher Art überprüft wird. Why? Weil ein typisches NGFW den Verkehr nicht in Echtzeit entschlüsseln kann. The WebSocket traffic must displayed in your browser (using the Developer tools) or following with something like Wireshark (required, you have the private key), are detected and entschlüsselt, to check the use last. WebSockets are always used in web applications, as the technology provides a excellent solution for javascript applications, to move data between your browser and a web server. Im wahren Sinn des Wortes kann alles über eine WebSocket-Verbindung verschoben werden, und es ist für Ihre NGFW völlig undurchsichtig.
Zu guter Letzt sollten wir auch andere allgegenwärtige neue Technologien wie die Verwendung von QUIC für den Webverkehr nicht vergessen. QUIC is also a performance strong new tool, with you can direct traffic faster and efficient in your browser, but not use standard TLS encrypted. This, your inline-NGFW must either block the complete QUIC traffic (which an downgrade to TLS is forced) or the data traffic must not check. The first solution reduced the quality of user experience, and the second set the company a risk. Beides is not ideal.
The editing several ngfw tasks on workload level includes to continue the life of investment in existing NGFW appliances. It allows the output of a certain percent set of the rechenintensive processes, when they are abgewickelt pro Workload. Auf diese Weise kann der Kunde einen Teil der Inspektionslast seiner Netzwerkgeräte auslagern, wodurch ein ansonsten notwendiges Firewall-Upgrade verzögert wird. Gleichzeitig können die Vorteile von Zero Trust auch für Bereiche seines Netzwerks genutzt werden, die sonst möglicherweise technisch oder finanziell nicht sinnvoll wären.
