Der Umgang mit Cloud-basierenden Lösungen ist für Anwender einfach und bequem. Für Systemadministratoren ergeben sich daraus ganz neue Bedrohungsszenarien und Herausforderungen, denn Public Clouds bieten von Haus aus nur grundlegende Sicherheitsfunktionen. Die Implementierung von Next-Generation Firewalls (NGFWs) in der Cloud kann helfen, Sicherheitsrichtlinien auf die Cloud auszudehnen. Doch solche Lösungen können noch mehr.

Für den Anwender ist es heute unerheblich, wo und wie eine Applikation läuft, solange sie ihren Zweck erfüllt. Aus Administratorsicht sind diese Unterschiede allerdings gravierend. Die unterschiedlichen Settings bedürfen sorgfältiger Planung und Kontrolle, um den Sicherheitsanforderungen gerecht zu werden.

Eine grundlegende Idee hinter allen Cloud-Angeboten ist, dass der Kunde sich nicht länger um Hardware zu kümmern braucht. Sie steht ihm in beliebigem Umfang und für alle virtualisierbaren Zwecke jederzeit zur Verfügung. Diese Flexibilität hat ihren Preis, wenn es um durchgängige Sicherheit auf allen OSI-Layern geht. So liegt der Schutz der Hardware logischerweise komplett in der Verantwortung des Cloud-Anbieters. Der Systemadministrator des Kunden kann darauf keinen Einfluss nehmen. Mit dem Anstieg der Layer im OSI-Modell verschiebt sich die Zuständigkeit aber immer weiter weg vom Cloud-Betreiber hin zum Anwenderunternehmen.

Spätestens wenn es um die Sicherheit auf Applikationsebene geht (Layer 7), oftmals aber schon ab Beginn der Prozessebene (Layer 5) können Cloud-Anbieter keine adäquaten Sicherheitsfunktionen für Unternehmen mehr bieten. Denn die Flexibilität, die das Arbeiten in der Cloud so beliebt macht, führt zur Anwendung des „kleinsten gemeinsamen Nenners“ der Sicherheitsfunktionen. Zudem hat jeder Kunde ganz eigene Vorstellungen davon, wie Sicherheit für ihn aussehen soll. Ein Cloud-Anbieter hat keinen Einblick in die Geschäftstätigkeit seiner Kundenunternehmen und soll ihn auch nicht haben. Er kann daher unmöglich eine legitime Transaktion von einer illegitimen oder verdächtigen Transaktion unterscheiden.

Eine Next-Generation Firewall lässt sich zum Beispiel unter Azure einfach implementieren. Sie schützt dann Daten und Applikationen direkt in der Cloud.   Bild: Barracuda Networks

Eine Next-Generation Firewall lässt sich zum Beispiel unter Azure einfach implementieren. Sie schützt dann Daten und Applikationen direkt in der Cloud. Bild: Barracuda Networks

Deshalb bieten selbst Cloud-Angebote, die sich an Unternehmen richten, nur grundlegende Sicherheits-Frameworks – mit geschützten privaten Verbindungen, Archivierungs- und Verschlüsselungsfunktionen, redundanter Datenspeicherung, Verzeichnisdiensten und Rechteverwaltung. Was sie nicht bieten können, sind umfassen-de Sicherheitsdienstleistungen, beispielsweise lastintensive Schutzmechanismen wie die Abwehr von Denial-of-Service-Angriffen, das Abfangen, Entschlüsseln und Analysieren von SSL-verschlüsselten Inhalten oder den zuverlässigen Schutz vor Malware in E-Mails, Web-Sessions und im Datenverkehr von Anwendungen.

Cloud als Teil des Netzwerks

Die Risiken für Daten und Anwendungen in der Cloud unterscheiden sich nicht grundlegend von jenen für Ressourcen in einem klassischen Netzwerk. Dementsprechend ist es notwendig, das eigene Sicherheitskonzept auf alle virtuellen IT-Ressourcen außerhalb der eigenen Server-Landschaft auszudehnen. Vermeiden will man aber, dass die in diesen Fällen fehlende Kontrolle über die Hardware und der notwendige Fernzugriff die Komplexität der Sicherheitsinfrastruktur zusätzlich erhöhen. Administratoren müssen also eine Lösung finden, um die bestehenden Sicherheitskonzepte ohne Abstriche auf gehostete IT-Ressourcen auszuweiten.

Im Idealfall schützt man lokale und Cloud-Ressourcen unter einer Oberfläche und mit den gleichen Werkzeugen, um die Anzahl von Fehlerquellen und die Personalkosten zu minimieren. Dies ist mit Next-Generation Firewalls möglich. Die Implementierung moderner NGFWs in Cloud-Umgebungen gestaltet sich heute in einigen Fällen sehr bequem: Sie lassen sich per Management-Oberfläche der Cloud-Services wie eine App hinzukaufen und im Handumdrehen aktivieren. Die Firewalls in der Cloud stehen dann mitnichten isoliert in den Wolken, um die dortigen Ressourcen zu sichern, sondern lassen sich gemeinsam mit den lokalen Firewalls von einer zentralen Oberfläche aus managen. Damit schaffen sie innerhalb des virtuellen Netzwerks die nötigen Security Gateways zwischen den Endpunkten – also sowohl den Geräten, die sich zum Internet hin öffnen, als auch den gemieteten Cloud-Ressourcen. Technisch gesehen handelt es sich dabei um ein Port-Mapping zwischen öffentlichen virtuellen IP-Adressen und den privaten internen IP-Adressen des Cloud-Dienstleisters.

Defense in Depth

Ein durchgängiges Sicherheitskonzept verbessert die Chance, komplexe, über zahlreiche Vektoren verteilte Angriffe zu erkennen und zu blockieren. Der „Defense in Depth“ (Verteidigung in der Tiefe) genannte Ansatz sieht vor, alle Netzwerkebenen mit entsprechenden Schutzsystemen auszustatten und alle Endpunkte zu sichern. Analog zum militärischen Vorbild des Begriffs zielt Defense in Depth zunächst darauf ab, Bedrohungen abzuwehren und zu eliminieren. Gelingt dies nicht, ist es die Aufgabe der Sicherheitsinfrastruktur, der IT-Organisation Zeit zu erkaufen, um auf die Bedrohung zu reagieren.

Next-Generation Firewalls gewährleisten, verwalten und regeln in einer gemeinsamen Management-Oberfläche die Kommunikation im gesamten Netzwerk, sei es lokal gehostet oder virtuell, an mehreren Standorten oder in der Public Cloud. Cloud-basierte und gemischte Infrastrukturen können damit sicherer werden, als es die meisten Netzwerke je waren. Die Gewährleistung kohärenter Sicherheitsstandards über alle IT-Ressourcen hinweg ist dabei aber nur ein Aspekt. Der andere ist die Sicherstellung einer optimalen Anbindung und damit leistungsfähiger Applikationen.

NGFWs sorgen auch für die sichere Abwicklung des anwendungsbedingten Datenverkehrs in vorhersehbarer Service-Qualität – sowohl zwischen lokalen Netzwerken (Site-to-Site) als auch zwischen Cloud-Anwendungen und lokalen Netzwerken (Cloud-to-Site) und zwischen verschiedenen Cloud-Instanzen (Cloud-to-Cloud). Mittels Multi-Link-Anbindung können sie verschiedene Provider und verschiedene Übertragungswege (MPLS, Satellit, 4G) auf der Basis von Richtlinien verwalten. So ließe sich zum Beispiel der Verkehr automatisch auf einen mobilen Link zum Internet umleiten, wenn die MPLS-Leitung eines Standorts ausfällt. Sobald MPLS wieder verfügbar ist, macht die NGFW die Änderung automatisch wieder rückgängig.

Als weiteres wichtiges Feature sorgt Traffic Intelligence dafür, dass unternehmenskritische Anwendungen wie ERP oder VoIP immer ausreichend Bandbreite erhalten, während andere Anwendungen niedriger priorisiert oder auf weniger performante Internet-Links geroutet werden. Wenn bestimmte Internet-Links wegfallen und die Gesamtbandbreite sinkt, kann man Anwendungen wie Video-Streaming oder Social Media per Policy automatisch zeitweise sperren.

Zuguterletzt übernimmt ein Unternehmensnetzwerk mit Next-Generation Firewalls an den Standorten und in der Cloud die Funktion eines Application Delivery Networks (ADN). Es sorgt dafür, dass nicht der gesamte Datenverkehr zwischen Cloud und Endpunkt durch einen Flaschenhals in der Unternehmenszentrale zu schleusen ist („Backhauling“). Stattdessen erhält jeder Standort einen direkten Internet-Zugriff, damit jeder Anwender Cloud- und SaaS-Angebote mit hoher Leistung nutzen kann.

Eine solche Firewall-Architektur ergibt eine IT-Infrastruktur, die Unternehmensmitarbeitern eine sichere und dennoch belastbare Bereitstellung von Applikationen garantiert. Neben der Gewährleistung der Sicherheit der Cloud-Ressourcen auf den oberen OSI-Layern ist entscheidend, dass alle Richtlinien und das Lifecycle-Management auf einfache Weise und zentral verwaltet sind. Weil den Unternehmen genau diese Architektur lange gefehlt hat, haben sie in der Vergangenheit die Richtliniendurchsetzung zentralisiert, standardmäßig Backhauling implementiert und auf die Nutzung der Cloud zumindest für sensible Daten und geschäftskritische Applikationen verzichtet. Heute sind diese Bedenken nicht mehr nötig: Unternehmen können Cloud-Lösungen mit wenigen Klicks zu sicheren, zentral verwalteten Bestandteilen ihrer IT-Infrastruktur machen. Damit erreichen Unternehmen trotz Nutzung der Cloud eine durchgängige Sicherheitsarchitektur. Was die wenigsten früher mit ihren traditionellen Netzwerken erreicht haben, ist jetzt möglich: Die Firewall ist überall.

 

Klaus Gheri ist Vice President und General Manager Network Security bei Barracuda Networks ().