natali_mis - stock.adobe.com
Was Sie bei Cloud-Firewalls bedenken sollten
Wenn Unternehmen ihre Firewalls in die Cloud verlegen, dann darf dies nicht auf Kosten von Kontrolle und Verwaltbarkeit gehen, meint Amir Khan, Gründer und CEO von Alkira.
Das Rechenzentrum ist der beste Ort für Unternehmens-Firewalls – oder war es zumindest, bis die Cloud kam. Wenn Anwendungen und Daten in die Cloud verlagert werden, dann ist es nur logisch, auch die Firewall dort unterzubringen. Aber das ist leichter gesagt als getan. Das Aufsetzen einer virtuellen Maschine (VM) in der Cloud ist keine große Sache. Wie man sie verwaltet, sobald sie dort installiert ist, ist der schwierige Teil.
Drei Viertel der Unternehmen, die an einer Umfrage von Deloitte teilgenommen haben, gaben an, dass sie mittlerweile mehr als die Hälfte ihrer Unternehmens-IT als Service betreiben. Die Umfrage ergab weiterhin, dass die Sicherheit das größte Hindernis für Enterprise-as-a-Service-Technologien darstellt.
Unternehmen haben gezögert, Firewalls in die Cloud zu verlagern, aus dem gleichen Grund, aus dem sie andere Dienste im Rechenzentrum behalten haben: Sie brauchen länger, um sie zu implementieren, sie sind komplexer zu konfigurieren und in der Cloud schwieriger zu verwalten. Die Argumente gegen Cloud-Firewalls werden noch überzeugender, wenn das Unternehmen Workloads und Anwendungen in mehrere Clouds verschieben will.
Doch im Zeitalter der Cloud macht die zentrale Bereitstellung von Diensten aus dem Unternehmensrechenzentrum keinen wirklichen Sinn mehr. Das Backhauling des Datenverkehrs zum Rechenzentrum, typischerweise über MPLS-Verbindungen, ist ineffizient, teuer und langsam.
Die Virtualisierung von Firewalls in der Cloud wirft eine Reihe von operativen Fragen rund um Verfügbarkeit, Durchsatz, Netzwerksegmentierung, Verkehrssteuerung, Elastizität und Überwachung auf. Das Sicherheitsteam muss in der Lage sein, die Leistung der Firewall kontinuierlich zu überwachen und die Sicherheitsrichtlinien des Unternehmens durchsetzen zu können, eben genau so, wie es in einer On-Premises-Installation der Fall wäre.
Mit CnaaS aus dem Dilemma
Moderne Konzepte der Cloud-Vernetzung wie das Cloud Network as a Service (CNaaS) können dieses Dilemma lösen. Konnektivität ist nur die eine Hälfte der Geschichte. Der kritische Teil besteht darin, die Netzwerkdienste bereitzustellen und zu verwalten. Historisch gesehen waren die Anbieter von Sicherheitsdiensten in der Vergangenheit nicht besonders gut im Bereich großer Unternehmensnetzwerke. Die Netzwerkanbieter waren dagegen nicht besonders gut darin, starke Sicherheitsprodukte zu liefern. Es ist eine wesentliche Voraussetzung, den Kunden nicht nur die beste Infrastruktur für Netzwerkdienste bereitzustellen, sondern auch den Zugang zu den besten Firewall-Lösungen der Branche. Dieses Best-of-Breed-Konzept ermöglicht einen ganz anderen Ansatz im Hinblick auf die Realisierung von SASE (Secure Access Service Edge), während gleichzeitig die Prämisse erfüllt wird, Networking und Security in einer integrierten Weise zu betrachten.
„Sicherheit ist in der Ära der Cloud-fähigen, hyper-verteilten Systeme wichtiger und anspruchsvoller denn je.“
Amir Khan, Alkira
Entsprechende As-a-Service-Plattformen nutzen die nahezu unbegrenzten Rechenkapazitäten der Cloud, um eine Performance zu liefern, die sich automatisch auf den aktuellen Bedarf einstellt. Diese Fähigkeit gilt für jeden Dienst, der über sie läuft, einschließlich der Firewalls, der Leistungs- und Verfügbarkeitsfragen.
Weil ihr Design Cloud-unabhängig ist, können Dienste wie Firewalls auf die gleiche Weise implementiert und verwaltet werden, egal ob es sich um Single-, Multi-Cloud- oder hybride Umgebungen handelt. IT-Administratoren können die Cloud-Firewall genauso verwalten, als befände sie sich im Rechenzentrum, zum Beispiel mit der Möglichkeit, absichtsbasierte Richtlinien (Intent-based Policies) auf zoneninternen und zonenübergreifenden Datenverkehr anzuwenden. Sie können ebenso die Netzwerksegmentierung und Mikrosegmentierung mit umfassenden richtlinienbasierten Routing-Einstellungen konfigurieren.
Vollständige Funktionsparität
Bereitstellungsmodelle für Firewalls in On-Premises-Umgebungen sind mittlerweile ausgereift und für verschiedene Anwendungsfälle standardisiert. Wenn Unternehmen jedoch versuchen, virtuelle Next-Generation Firewalls (NGFW) in den verschiedenen Public Clouds zu implementieren, stellen sie sehr schnell fest, dass sich die Netzwerkfähigkeiten und -beschränkungen der jeweiligen Public-Cloud-Anbieter unterscheiden. Das erschwert mitunter die Implementierung der Firewalls und anderer Services von Drittanbietern. Obwohl keines dieser Probleme auf den Drittanbieter selbst zurückzuführen ist, wirkt sich dies definitiv auf die Adoptionsrate aus, auch wenn es eine vollständige Funktionsparität zwischen On-Premises- und Cloud-Angeboten gibt.
Die Softwarelizenzierung ist eine weitere Managementaufgabe, die Kunden gerne vereinfacht sehen möchten. Da die Netzwerk-Cloud als Service bereitgestellt wird, kann die Firewall-Kapazität entweder auf einer Pay-as-you-go-Basis oder unter einer bestehenden Lizenz bereitgestellt werden.
Sicherheit ist in der Ära der Cloud-fähigen, hyper-verteilten Systeme wichtiger und anspruchsvoller denn je. In dieser Umgebung muss die Cloud-Firewall eine Zone darstellen, in der keine Kompromisse eingegangen werden können.
Über den Autor:
Amir Khan ist Gründer und CEO von Alkira. Der Anbieter hat unter anderem die Network Cloud entwickelt, die es Unternehmen ermöglichen soll, eine globale, einheitliche Cloud-Netzwerkinfrastruktur as-a-Service (CNaaS) aufzubauen und einzusetzen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.