Nicht alle Next-Generation Firewalls sind gleich. Was bei der Erstellung eines sicheren Application Delivery Network zu berücksichtigen ist White Paper
Nicht alle Next-Generation Firewalls sind gleich. Über die Unterschiede zwischen Kundenanforderungen und Standardangeboten der Firewall-Branche. Oder: So wird ein sicheres Netzwerk für die Anwendungsbereitstellung erstellt ein Application Delivery Network. Von Dr. Klaus Gheri VP Network Security Barracuda Networks, Inc. Typische Gespräche über die Next-Generation Firewalls verlaufen in letzter Zeit in eine neue Richtung. Da Application Control und User Awareness immer mehr als Standard- Features angesehen werden, versuchen Firewall-Hersteller zur Zeit vor allem, sich im Bereich Advanced Threat Protection zu unterscheiden. Diese Advanced Threats sind tatsächlich ein drängendes Problem, aber es gibt noch sehr viele andere neue betriebliche und wirtschaftliche Herausforderungen für IT-Organisationen in einer Welt, in der Anwendungen zunehmend als Dienste in Anspruch genommen werden. Was ist eine Firewall? Eine Firewall ist sowohl Dreh- und Angelpunkt für die Durchsetzung von Sicherheitsrichtlinien als auch ein Router für die Netzwerkkommunikation. Darüber hinaus gibt es damit verbunden den wichtigen Aspekt, Applikationen verfügbar zu machen. In dieser Hinsicht ähnelt sie dem menschlichen Gehirn, in dem es zwei gleichermaßen wichtige Hirnhälften gibt jede mit sehr speziellen Funktionen und Aufgaben. Nur wenn beiden Hälften eng zusammenarbeiten, verfügen wir über ein leistungsfähiges Gehirn. Linke Gehirnhälfte : Überprüfung und Durchsetzung von Sicherheitsrichtlinien Rechte Gehirnhälfte : Application Delivery Traffic Leider geht es bei typischen Diskussion über Firewall-Aktualisierungen hauptsächlich um die intensive Überprüfung von Datenpaketen (die Deep Packet Inspection) und um die Durchsetzung der Sicherheit. Wie sieht es aber mit dem wichtigen und ungefährlichen Datenverkehr aus, auf den kritische Geschäftsbereiche angewiesen sind? Dieser Anwendungsdatenverkehr muss sicher und mit einer prognostizierbaren Qualität übertragen werden zwischen den Standorten und immer häufiger auch zwischen der Cloud und dem Standort. Wenn der Fokus nur auf der Sicherheit und nicht auf dem Datenübertragungsaspekt der Firewall liegt, ist das mit einem Gehirn vergleichbar, das nur eine Hälfte vollständig nutzt, während die andere schläft. Während solche Gehirne als dysfunktional ansehen werden, scheinen wir keine Probleme mit vergleichbaren Defiziten unserer Firewalls zu haben. Page 2 of 5
Ein Blick in die Vergangenheit hilft zu verstehen, warum diese einseitige Ausrichtung immer mehr zu einem einschränkenden Problem wird. Vor nicht allzu langer Zeit wurde das Unternehmensnetzwerk vor allem für den Zugriff auf Daten auf internen Freigaben, zum Senden und Empfangen von E-Mails und zum Browsen im Internet verwendet. Die zwei Hauptsäulen von Unternehmensinfrastrukturen waren die LANs, in denen sich die Benutzer befanden, und das WAN, also die Netzwerkanbindungen, die Filialen mit den Hauptunternehmensstandorten verbanden. Das Zentralisieren von Büro-Backend-Infrastrukturen und das Erweitern von Anwendungen, die eigentlich nicht für Umgebungen mit hoher Latenz entwickelt worden waren, auf das WAN, führte schnell zu Leistungsproblemen und reduzierter Produktivität. Dadurch wurde der Weg für neue WAN-Optimierungsprodukte geebnet, die seitdem zum Lösen dieser Probleme eingesetzt werden. Sie stellen eine allgemeine Optimierung durch Komprimierungs- und Datendeduplizierungstechniken sowie protokollspezifische Verbesserungen für bestimmte beliebte Anwendungen bereit. Typischerweise stellen diese Insellösungen kein adäquates VPN und keine Deep-Inspection-Funktionen bereit. Häufig entschieden sich Kunden aufgrund der Komplexität der Verwendung von Firewall- und WAN-Optimierungsgeräten zusammen mit den damit verbundenen komplizierteren Datenverkehrs-Ablaufmustern gegen den Einsatz von zwei Geräten. Sie verließen sie sich dann oft auf MPLS-basierte WAN-Strukturen, in denen der gesamte Datenverkehr einschließlich der beim Surfen im Internet anfallende zurück zum Rechenzentrum geleitet wird. Zu dieser Zeit waren Organisationen nicht vom Zugang zu SaaS-Angeboten oder Clouddiensten, die sich außerhalb der Grenzen der Unternehmens-LANs befanden, abhängig. Da es heute aber sehr viele SaaS-Angebote gibt, die sich immer mehr auf die Standardanforderungen auswirken, zum Beispiel auf Angebote für Büroanwendungen (wie Microsoft Office 365), ist der Ansatz jeglichen Datenverkehrs zum Rechenzentrum zurück zu leiten fehlerbehaftet, da das MPLS- Backbone nicht zwischen den verschiedenen Apps, die jetzt die gleiche physikalische Leitung verwenden, unterscheiden kann. In dieser Konstellation ist es also möglich, dass eine interne Backup-Anwendung oder ein Update-Agent die Leitung auslastet, sodass die Verfügbarkeit geschäftskritischer Anwendungen erschwert wird. Die Lösung für dieses Problem ist das Trennen unterschiedlicher Typen von Applikationsdatenverkehrs (physikalisch oder logisch) durch Aufteilen der Leitung in verschiedene Qualitätssegmente. In der Gehirnhälftenanalogie bedeutet dies, dass die Überprüfungshälfte benötigt wird, um den Typ eines Datenverkehrsflusses zu ermitteln, während die andere Hälfte intelligent agiert und diesen Datenfluss auf andere Weise als den weniger wichtigen überträgt. Aufgrund der vielen SaaS-Angebote, die in Gebrauch sind, ist die beste Option die Nutzung direkter Internet-Breakouts an den verschiedenen Standorten. Natürlich müssen alle Internet- Breakouts durch geeignete Next-Generation Firewalls geschützt werden. Das klingt zunächst abschreckend, da Richtlinien für mehrere Firewalls miteinander synchronisiert werden müssen. Das ist aber nicht der Fall, wenn das Firewall-Produkt über eine leistungsstarke zentrale Verwaltungsarchitektur verfügt, in der eine oder besser einige Richtlinien zentral verwaltet und dann per Push an die Schnittstelle für die dezentrale Durchsetzung übertragen werden können. Es wird also das klassische MORE-Paradigma (Manage Once Run Everywhere, einmal verwalten und überall einsetzen) implementiert. Der zusätzliche Vorteil eines lokalen Breakouts besteht darin, dass so auch ein Hybrid-WAN betrieben werden kann. Das Hybrid-WAN besteht aus herkömmlichen WAN-Verbindungen, die durch VPN-Links ergänzt werden. Ein radikalerer Ansatz würde daraus bestehen, sich einzig und allein auf Internet-basiertes VPN zu verlassen, dabei aber zwei verschiedene ISPs zu verwenden und dann mehrere Tunnel zu erstellen. Auch hier kann eine applikationsorientierte Firewall die Orchestrierung übernehmen und verschiedene Typen des internen Datenverkehrs über die verfügbaren Verbindungen verteilen. Wenn einzelne Verbindungen ausfallen, sollte die Firewall dies bemerken und den Datenverkehr unterbrechungsfrei entsprechend umverteilen. Page 3 of 5
Um solche Firewalls zu betreiben und Netzwerkredundanzen zu erstellen, muss das aufgebaut werden, was Unternehmen wirklich benötigen: ein sicheres Kommunikations-Backbone, das Deep Packet Inspection und Minimierung von Bedrohungsszenarien bietet und darüber hinaus die Verfügbarkeit von geschäftskritischen Applikationen in einer zuverlässigen und leistungsstarken Form gewährleistet. Barracuda nennt das ein Application Delivery Network und unterstützt Kunden täglich beim Aufbau solcher Netzwerke. Mit der Barracuda NG Firewall, der Next-Generation Firewall für verteilte Unternehmensnetzwerke, werden Datenflüsse und Verfügbarkeiten von Applikationen erkannt. Das tun nicht alle Next Generation Firewalls denn nicht alle sind gleich. Kunden sollten daher darauf achten, über wieviel Gehirnkapazitäten die aktuelle Firewall verfügt. Wie sieht ein Applikation Delivery Network aus? Zunächst benötigt jeder Standort des App-orientierten Netzwerks eine Next-Generation Firewall. Jeder Standort, von dem aus Zugriff auf SaaS-Angebote erforderlich ist, verfügt über einen direkten Internet-Breakout (DIB), der von dieser Firewall gesteuert wird. Jeder Standort verwendet mehrere Uplinks für die Verbindung mit den anderen Standorten. Die Firewall verwendet diese Uplinks je nach Applikation, hat aber die Möglichkeit, schnell auf Leitungsausfälle zu reagieren und den Datenverkehr anhand einer entsprechend angepassten Richtlinie umzuleiten eine intelligente dynamische Pfadauswahl. Application Control General General Games Custom App Games ISP X use X use Y use X or Y use Z ISP Y ISP Z Barracuda NG Firewall Application Usage & Risk Report.pdf Custom App Datenverkehr zwischen Standorten kann über Komprimierungs-, Datendeduplizierungs- und Protokolloptimierungstechniken hinsichtlich Latenz und Durchsatz optimiert werden. Die Firewall stellt diese Dienste bereit, um eine enge Verbindung zwischen der Art des Datenverkehrs und der Verfügbarkeit hinsichtlich Servicequalität, Bandbreite, Datenschutz und Bereitstellungspfad sicherzustellen. Page 4 of 5
Barracuda Nicht alle Next-Generation Firewalls sind gleich. Über die Barracuda NG Firewall Die Barracuda NG Firewall ist eine ideale Unternehmenslösung für IT-Administratoren, die wichtige Daten in Netzwerken schützen möchten, die durch die stark zunehmende Nutzung mobiler und BYOD-Geräte, schwer kontrollierbare Web 2.0-Anwendungen sowie RemoteNetzwerkbenutzer ins Chaos gestürzt und verwundbar gemacht wurden. Barracuda NG Control Center bietet darüber hinaus ein leistungsstarkes und intuitives zentrales Administrationsportal, das das Ausrollen, Konfigurieren, Aktualisieren und Verwalten vieler Geräte von einem einzelnen Standort aus stark vereinfacht, während es gleichzeitig umfassende Netzwerktransparenz und Reportingfunktionen in Echtzeit bereitstellt. Das Ergebnis ist eine ideale Lösung für Unternehmen, die eine große Anzahl von Benutzern oder mehrere Standorte mit wenigen IT-Mitarbeitern verwalten und gleichzeitig PCI-Vorschriften einhalten möchten. Dedicated VPN Clients Branch Office Firewalls F10 SSL VPN Mobile Support F380 F100 F200 User Interface Tools Head Office / Core Firewalls Public Cloud F400 F600 F800 F280 F900 F300 F1000 Vx Barracuda NG Firewall F1000 IPMI CONSOLE USB USB MGMT Control Center Servers Authentication Agents / Clients Accessories Wenn Sie Fragen zur Barracuda NG Firewall haben oder eine kostenlose 30-TageTestversion benötigen, besuchen Sie http://www.barracuda.com/products/ngfirewall oder wenden Sie sich unter +49 (0) 69 899 14 729 telefonisch an Barracuda Networks. Über Barracuda Networks, Inc. Barracuda bietet Security- und Storage-Lösungen, die mit der Cloud vernetzt sind und die IT-Infrastruktur vereinfachen. Über 150.000 Unternehmen und Organisationen weltweit vertrauen den leistungsstarken, benutzerfreundlichen und kostengünstigen Lösungen. Sie stehen als physische oder virtuelle Appliance sowie als Cloud- oder Hybrid-Lösung zur Verfügung. Beim Geschäftsmodell von Barracuda steht die Kundenzufriedenheit im Mittelpunkt. Es setzt auf hochwertige IT-Lösungen auf Subskriptions-Basis, die das Netzwerk und die Daten der Kunden umfassend schützen. Weitere Informationen finden Sie unter barracuda.com. Barracuda Networks und das Logo von Barracuda Networks sind eingetragene Marken der Barracuda Networks, Inc. in den USA. Alle anderen Namen gehören den jeweiligen Eigentümern. Barracuda Networks Radlkoferstr. 2 81373 München Deutschland t: e: w: +49 (0) 69 899 14 729 office@barracuda.com barracuda.com