Next Generation Firewalls

Der große NGFW-Kaufratgeber

14.01.2022
Von 
Neal Weinberg schreibt als freiberuflicher Autor unter anderem für unsere US-Schwesterpublikation Network World.
Bei der Anschaffung einer Next Generation Firewall spielen diverse Aspekte eine Rolle. Lesen Sie, welche.
Firewall ist nicht gleich Firewall: Lesen Sie, worauf Sie bei der Anschaffung einer NGFW-Lösung achten sollten.
Firewall ist nicht gleich Firewall: Lesen Sie, worauf Sie bei der Anschaffung einer NGFW-Lösung achten sollten.
Foto: AVIcon - shutterstock.com

Enterprise Firewalls gehören seit Jahrzehnten zum Security-Standardarsenal, um den ein- und ausgehenden Datenverkehr auf schadhafte Bestandteile zu überpüfen und am Perimeter Wache zu halten. Weil letztgenannter sich auf dem absteigenden Ast befindet, entwickelt sich die Firewall weiter.

Dennoch sind Firewalls weiterhin essenziell für die Unternehmenssicherheit. Darüber hinaus nutzen diverse Security-Anbieter sie als Basis für weitere fortschrittliche Funktionen. Cloud-basierte Next Generation Firewalls (oder Firewall-as-a-Service, FWaaS) sind etwa eine Kernkomponente jeder Secure-Access-Service-Edge-(SASE-)Implementierung. Der VPN-Fernzugriff für Mitarbeiter, die von zu Hause arbeiten, endet häufig an einer Firewall. Auch in Sachen Zero-Trust Network Access (ZTNA) spielt die Firewall eine tragende Rolle, dient sie doch dazu, Zugriffskontrollrichtlinien und Netzwerksegmentierungsregeln durchzusetzen.

Next Generation Firewalls: Die wichtigsten Fragen

Netzwerk- beziehungsweise IT-Entscheider, die ihre Firewalls aufrüsten möchten, sollten sich folgende Fragen stellen:

  • Wie hoch ist der Grad der grundlegenden Funktionalität der Firewall in Bezug auf Leistung, Funktionen, Automatisierung und Verwaltung?

  • Wie gut passen die Fähigkeiten und Formfaktoren der Firewall zu den Anwendungsfällen des Unternehmens? Gibt es Hardware-, Software-, virtualisierte und FWaaS-Optionen für IoT-Datenverkehr, Multi-Cloud-Umgebungen und internen (Ost-West-)Datenverkehr, der von virtualisierten oder containerisierten Anwendungen erzeugt wird?

  • Wie gut lässt sich die Plattform des Anbieters mit den umfassenderen Sicherheits-, IT- und OT-Abläufen des Unternehmens verknüpfen?

  • Wie sieht die Roadmap des Anbieters für SASE, Zero Trust und die unaufhaltsame Verlagerung von Sicherheitsfunktionen in die Cloud aus?

NGFW: Anbieterlandschaft

Aktuellen Zahlen der Dell'Oro Group zufolge legte der Firewall-Markt im dritten Quartal 2021 um 14 Prozent zu - im Wesentlichen deshalb, weil die Unternehmen Aktualisierungen aus 2020 nachholten (in dem der Firewall-Absatz Pandemie-bedingt zurückging). Laut Mauricio Sanchez, Research Director bei der Dell'Oro Group, ist Palo Alto Networks der Marktführer, gefolgt von Cisco auf dem zweiten und Fortinet auf dem dritten Platz. Ohne genaue Zahlen zu nennen, schätzt Dell'Oro den Marktanteil von Palo Alto auf über 20 Prozent, während Cisco und Fortinet im zweistelligen und alle anderen im einstelligen Bereich liegen.

Ein aktueller Bericht von Forrester zu Enterprise Firewalls, in dem die Anbieter anhand von 20 Kriterien bewertet wurden, identifiziert Cisco und Palo Alto Networks als Marktführer - und bescheinigt Check Point, Fortinet, Juniper, Forcepoint, Sophos und Huawei eine "starke Leistung".

Gartners aktueller Magic Quadrant für den Bereich Firewalls sieht Palo Alto, Fortinet und Check Point als führend, Versa und Barracuda als Visionäre.

Sanchez weist darauf hin, dass der Markt für Unternehmens-Firewalls sehr ausgereift ist und die traditionellen Anbieter weiterhin dominieren. Einen nennenswerten Wettbewerb durch disruptive Newcomer, wie er in anderen Märkten zu beobachten ist, gebe es nicht. Dennoch blieben die Anbieter nicht untätig und entwickelten ihre Firewalls kontinuierlich weiter, um neuen Sicherheitsanforderungen gerecht zu werden, so der Research-Spezialist.

Next Generation Firewall: Darauf kommt es an

Leistung

Firewalls müssen in der Lage sein, eine Inline-Deep-Packet-Inspection zu fahren, ohne dabei zum Bottleneck zu werden, das die Anwendungs-Performance beeinträchtigt. So gut wie alle Anbieter behaupten, die schnellsten Firewalls oder das beste Preis-Leistungs-Verhältnis vorzuweisen. Essenziell ist dabei, dass Sie Ihr eigenes Test- beziehungsweise Pilotprojekt durchführen. Hierbei wird die Firewall in ein Produktionsnetzwerk eingebunden, um zu sehen, wie sie in der Praxis arbeitet. Denn wenn Sie eines nicht wollen, dann dass IT-Spezialisten wichtige Firewall-Sicherheitsfunktionen deaktivieren, um die Netzwerk-Performance aufrechtzuerhalten.

Sie tun also gut daran, die Firewall, die Sie in Betracht ziehen, auf Herz und Nieren zu prüfen: Lassen Sie sie mit bandbreitenintensiven Anwendungen, aktivierter Verschlüsselung, verschiedenen Paketgrößen, Protokollen und Verkehrsarten arbeiten. Aktivieren Sie dann nach und nach zusätzliche Funktionen und überprüfen Sie die Auswirkungen auf den Durchsatz. Zu den wichtigsten Kennzahlen gehören:

  • der Application Throughput,

  • die Anzahl der Verbindungen pro Sekunde,

  • die maximale Anzahl der Sitzungen für IPv4- und IPv6-Datenverkehr und

  • die SSL/TLS Performance.

Grundlegende Funktionen und Formfaktoren

Heutige Firewalls sind vollgepackt mit Zusatzfunktionen wie Threat Intelligence, Anwendungskontrolle, IDS, IPS, Antivirus, Anti-Malware, Sandboxing, URL-Filterung, SSL Traffic Inspection und vielen weiteren. Sollten Sie bereits über einzelne Prdukte aus diesem Bereich verfügen, müssen Sie sich entscheiden, ob Sie beispielsweise Ihr bisheriges IPS- oder Antivirus-Tool ausmustern und die Funktionen in einem Device zusammenfassen möchten. Die Vorteile einer solchen Bündelung liegen in der Benutzerfreundlichkeit, der geringeren Komplexität und einer konsolidierten Verwaltung, die mit einem einzigen Anbieter einhergeht. Zu den Nachteilen gehört, dass Sie möglicherweise nicht die beste Performace erhalten und sich darauf verlassen müssen, dass der Firewall-Anbieter über die Ressourcen und die technologische Kompetenz verfügt, um diese Funktionen auch zu aktualisieren.

Eine weitere wichtige Überlegung, die Sie anstellen sollten: Wie gut lässt sich die Firewall in SD-WAN integrieren? Diese Technologie wird zu einer immer beliebteren Option, um den Datenverkehr einer Zweigstelle direkt in die Cloud zu leiten, anstatt in ein zentrales Rechenzentrum. Der Trend geht dahin, dass Unternehmen separate Router und Firewalls für Zweigstellen durch ein SD-WAN-Device ersetzen, das Sicherheits- und Routing-Funktionen kombiniert. Das Gros der Firewall-Anbieter hat inzwischen SD-WAN-Startups übernommen, um eine solche Lösung anbieten zu können. Dennoch sollten Sie sich als Kunde nach dem Grad der Integration zwischen Firewall-Funktionalität und WAN-Optimierung erkundigen.

Die Formfaktoren - Hardware, Software, virtuell - sind aufgrund der Komplexität und der Vielfalt der Anwendungsfälle ebenfalls ein wichtiger Faktor bei der Wahl einer Next Generation Firewall. Firewalls, die die Workloads eines Rechenzentrums bewältigen müssen, sind in der Regel robuster als solche, die am Netzwerkrand zum Einsatz kommen - und virtualisierte Firewalls (auch Cloud-Firewalls genannt) kommen in Public- und Private Cloud, Software-defined Networks (SDN) oder SD-WAN-Umgebungen zum Einsatz.

Erweiterte Funktionen

Es gibt auch einige erweiterte Funktionen, nach denen sich potenzielle Käufer erkundigen sollten:

  • KI/ML: Mit Hilfe von Künstlicher Intelligenz und Machine Learning wollen die Anbieter ihre Firewalls fitmachen, um Zero-Day-Angriffe aufzuspüren, enorme IoT-Datenmengen zu überprüfen und diverse Funktionalitäten zu automatisieren. Zudem können diese Technologien den Netzwerkverkehr analysieren und Optimierungsempfehlungen liefern.

  • Endpunkt-Sicherheit: Firewalls prüfen den Datenverkehr, der von Endgeräten ausgeht, sobald dieser das Netzwerk erreicht. Doch wie steht es um den Schutz der Endpunkte vor Angriffen? Sie sollten sich bei Ihrem Firewall-Anbieter erkundigen, inwiefern sich dieser mit dem Thema Endpoint Security befasst.

  • Container: Wenn Ihr Unternehmen containerisierte Anwendungen in der Cloud laufen lässt oder den Einsatz von Containern plant, sollten Sie den Anbieter darauf ansprechen, ob seine Lösungen auch eine virtualisierte, beziehungsweise FWaaS-Option beinhalten.

Management

Die Zeiten, in denen man Firewall-Regeln einmal festlegte und dann für immer vergessen konnte, sind längst vorbei. Sicherheits- und Netzwerkexperten benötigen heute Firewalls, die über ein singuläres, Cloud-basiertes Dashboard bereitgestellt, konfiguriert, überwacht und verwaltet werden können - und zwar unabhängig davon, ob sie On-Premises, in der Cloud oder am Netzwerkrand zum Einsatz kommen.

Die Management-Funktionen der gewählten NGFW-Lösung sollten die IT-Mitarbeiter befähigen, Regeln und Richtlinien auf dem neuesten Stand zu halten, Konfigurationen im Handumdrehen zu ändern und Einblicke wo nötig zu erhalten - auch in SaaS-basierte Anwendungen, IoT-Geräte und sogar OT-Umgebungen, in denen Dinge wie Gebäudezugang per Zwei-Faktor-Authentifizierung oder Biometrie Teil der gesamten Sicherheitsinfrastruktur werden.

Bei der Verwaltung einer Firewall spielt auch die Automatisierung eine wichtige Rolle. Deswegen sollten Sie als potenzieller Kunde nach dem Grad der Automatisierung verschiedener Aufgaben und Prozesse fragen. Dazu gehören die Automatisierung von Routineabläufen, Change-Management-Prozessen und Updates, die auf manueller Ebene häufig zu Konfigurationsfehlern führen. Weil Unternehmensumgebungen extrem unbeständig sind, muss ein effektives Managementsystem eine Automatisierung ermöglichen, um Richtlinienänderungen dynamisch im gesamten Netzwerk verteilen zu können.

Darüber hinaus muss das Managementsystem das Netzwerk überwachen, um sicherzustellen, dass die Richtlinien durchgesetzt werden. In einem Fertigungsszenario könnte das OT-Personal beispielsweise eine Maschine und ihre IoT-Sensoren physisch von einem Standort zu einem anderen bewegen. Das Managementsystem sollte in der Lage sein, zu erkennen, dass sich das IoT-Gerät nun in einem anderen Netzwerksegment befindet - und automatisch dafür sorgen, dass die Firewall-Regeln dem Gerät "folgen".

Die wichtigste Aufgabe einer Firewall ist es, Angriffe zu verhindern. Auch dabei kann Automatisierung eine Schlüsselrolle spielen, da sie Bedrohungen potenziell wesentlich schneller erkennt als ein Mensch und dann proaktiv auf diese reagiert, um sie ohne menschliches Eingreifen zu beseitigen. Automatisierte Systeme können inzwischen bereits minimale Anomalien erkennen und entsprechende Maßnahmen einleiten, etwa Geräte unter Quarantäne stellen.

Die Verwaltungsplattform muss auch in der Lage sein, nicht nur Hunderte von Firewall-Regeln durchzusetzen, sondern auch umfassendere Sicherheitsrichtlinien wie Netzwerksegmentierung oder Zugangskontrollen, die mit Active Directory oder einem anderen Identity- und Access-Management-System verknüpft sind.

NGFW: Plattformen, Roadmaps und Cloud

Alle führenden Firewall-Anbieter verfügen über breit angelegte Plattformen, die mehrere Sicherheitsprodukte umfassen und über ein - vorzugsweise Cloud-basiertes - Dashboard verwaltet werden. Doch nicht alle Produkte weisen denselben Reifegrad auf. Insbesondere bei Anbietern, die ihr Portfolio erst kürzlich durch Übernahmen ergänzt oder noch Lücken in ihren Produktlinien haben, ist die Integration ein wichtiges Thema, das potenzielle Käufer ansprechen sollten.

SASE: Wenn Ihr Unternehmen einen Wechsel zu Secure Access Service Edge in Erwägung zieht, sollten Sie den Anbieter um seine Roadmap bitten. Bislang verfügen nur wenige Anbieter über eine vollständige SASE-Funktions-Suite. Nach Definition von Gartner besteht eine SASE-Implementierung aus SD-WAN, sicherem Web-Gateway, Cloud Access Security Broker, Firewall-as-a-Service und Zero-Trust Network Access (ZTNA). "Bis 2024 werden mehr als 70 Prozent der SD-WAN-Kunden eine SASE-Architektur implementiert haben - im Jahr 2021 waren es noch 40 Prozent", so Gartner. Es ist also zu erwarten, dass die meisten Unternehmen in den nächsten Jahren in Richtung SASE gehen werden. Wenn Sie dazu gehören, sollte Ihr Firewall-Anbieter eine klare SASE-Roadmap mitbringen.

ZTNA: Laut Forresters "A Practical Guide to a Zero Trust Implementation" ist Zero Trust zum Trend du jour in der Gemeinschaft der Sicherheitsanbieter geworden. Wie die altehrwürdige Firewall in diese Zero-Trust-Zukunft passt? Forrester meint: "Die Next Generation Firewall war das ursprüngliche Aushängeschild für Zero Trust und sie ist heute sogar noch besser dafür geeignet." Dank fortschrittlicher Chipsätze verfügen Firewall-Appliances heute über die nötige Rechenleistung, um den gesamten Datenverkehr zu entschlüsseln und zu überprüfen, ohne das Netzwerk zu verlangsamen. Darüber hinaus gibt es immer mehr Anwendungsfälle für virtualisierte Firewalls, wie etwa die Überprüfung von Application Traffic in der Cloud. Weitere Komponenten einer Zero-Trust-Strategie sind Mikrosegmentierung sowie Identity- und Access-Management. Firewalls können diese Richtlinien durchsetzen, daher sollten Sie Ihren Anbieter zu seiner Zero-Trust-Roadmap befragen.

FWaaS: Der Trend der letzten Jahre ging dahin, dass Unternehmens-Firewalls immer umfangreicher wurden, da sie neue Funktionen erhielten. Dell'Oro-Research-Spezialist Sanchez meint jedoch, dieser Trend habe einen Wendepunkt erreicht und prognostiziert, dass die Firewall-Funktionalität langsam aber sicher in die Cloud verlagert wird - in Form von FWaaS.

Firewall-as-a-Service bietet gegenüber Appliance-basierten Firewalls mehrere Vorteile:

  • FWaaS bietet einen Pool an Ressourcen, der eine sofortige Skalierbarkeit - sowohl nach oben als auch nach unten - ermöglicht, die mit On-Premises-Hardware nicht erreicht werden kann.

  • Mit FWaaS können Unternehmen endlich ihre MPLS-Netzwerke loswerden und den gesamten Datenverkehr in die Cloud leiten, wo Sicherheitsrichtlinien für alle Datenverkehrstypen einheitlich durchgesetzt werden können.

  • FWaaS bietet außerdem eine schnelle und flexible Bereitstellung.

Da die Netzwerk-Verteidigungsstrategien immer umfangreicher werden, müssen Unternehmen vorausschauend planen, wie Sanchez zusammenfasst: "Firewalls werden nicht verschwinden, aber sie verändern sich und entwickeln sich weiter, um neue Anwendungsfälle zu adressieren. Kunden sollten Firewall-Anbieter unbedingt dazu befragen, wie sich die Firewall langfristig in eine Cloud-zentrierte Welt einfügt." (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.