Cisco hat für seine Catalyst-Switch-Familie ein Firewall-Paket als Container angekündigt. Dieses soll Unternehmenskunden mit gemischten IT- und OT-Systemen dabei helfen, Netzwerkressourcen einfacher zu segmentieren und Netzwerk- und Sicherheitsimplementierungen zu konsolidieren.

Firewall im Docker-Container

Konkret hat Cisco einen Docker-basierten Container für seine Secure Firewall Adaptive Security Appliance (ASA) entwickelt. Dieser kann auf den Catalyst Access Switches der Reihe 9300 gehostet werden. Die Secure Firewall ASA kombiniert Firewall, Virenschutz, Intrusion Prevention, Verschlüsselung und Unterstützung für virtuelle private Netzwerke (VPN).

Die Idee, Anwendungen für einen Switch zu entwickeln und auf diesem in Docker-Containern zu hosten, ist nicht neu. Cisco offeriert den Anwendern schon seit einigen Jahren die Option, eigene Anwendungen für ihre Switches zu hosten. Allerdings ist es das erste Mal, dass Cisco eine Firewall auf dem Catalyst 9300 einsetzt,

10 Schnittstellen zur Segmentierung

Die Firewall unterstützt bis zu 10 logische Schnittstellen, die zur Segmentierung verwendet werden können. Diese Segmentierung soll die Möglichkeiten eines Angreifers einschränken, sich seitlich innerhalb eines Netzes des Netzes zu bewegen. Mit Hilfe der Segmentierung könne ein Einbruch auf eine bestimmte Zone beschränkt werden, so Cisco.

Zudem könnten Unternehmen, so Pal Lakatos-Toth, technischer Produktmanager bei Ciscos Security Business Group, in einem Blog, durch das Hosting der Firewall als Container die Komplexität des Datenverkehrs reduzieren, der über komplexe Tunnel zu zentralisierten Firewalls geleitet wird. Durch das Hosting als Container könnten die Firewall-Services näher an der Quelle positioniert werden.

Konvergente IT/OT-Netze sichern

Dieses Vorgehen biete, wie Lakatos-Toth weiter erklärt, eine kostengünstige und effiziente Möglichkeit, konvergente IT/OT-Netzwerke zu sichern. Zudem werde die Latenzzeit für zeitkritische Anwendungen minimiert, indem die Security-Richtlinien nahe der Quelle durchgesetzt werden, wo sich die Geräte mit dem Netzwerk verbinden.

Die containerisierte Secure Firewall ASA verwaltet eine zustandsabhängige Verbindungstabelle, die den Status und den Kontext jeder durchlaufenden Netzwerkverbindung verfolgt und eine kontextbasierte Zugriffskontrolle anwendet.

Labels statt IP-Adressen

Für die Zugriffskontrolle in IT/OT-Netzen werden Zugriffskontrolllisten (ACL) und Sicherheitsgruppen-Tags (SGT) verwendet. "Mit SGTs wendet die Firewall Sicherheitsrichtlinien auf der Basis von Labels anstelle von IP-Adressen an", erklärt Lakatos-Toth, "die Firewall verwendet SGTs, um OT-Geräte zu authentifizieren und sie einer bestimmten Sicherheitsgruppe zuzuordnen, die dann für Stateful Inspection verwendet werden kann".

Management per DNA Center

Das ASA-Paket wird über das Enterprise DNA Center (DNAC) von Cisco verwaltet. Es soll zudem dafür sorgen, dass die Firewall-Anwendung immer aktuell und sicher ist. Ebenso unterstützt der Cisco Defense Orchestrator das System. Mit seiner Hilfe lassen sich konsistente Sicherheitsrichtlinien für große Netze erstellen und bereitstellen. Zudem führt der Orchestrator Richtlinienanalysen durch und rationalisiert die Konfigurations- und Verwaltungsprozesse.