Modernes Firewalling

Mobile Mitarbeiter und Zweigstellen flexibel anbinden

| Autor / Redakteur: Mathias Widler* / Stephan Augsten

Die zunehmende Mobilität hat dafür gesorgt, dass die virtuellen Grenzen des Unternehmens immer mehr verschwimmen.
Die zunehmende Mobilität hat dafür gesorgt, dass die virtuellen Grenzen des Unternehmens immer mehr verschwimmen. (Bild: Archiv)

Als fester Bestandteil der IT-Security-Strategie galt die Firewall lange Zeit als bester Schutz vor Eindringlingen und unbefugtem Zugriff. Doch die verschwimmenden virtuellen Firmengrenzen verlangen nach neuen Sicherheitskonzepten.

Das alte britische Motto „My home is my castle“ war bisher ein beliebter Wahlspruch auch in der Unternehmens-IT. Das Netzwerk am Unternehmenssitz und das firmeneigene Rechenzentrum wurden entsprechend abgesichert und mit einer Trutzmauer aus verschiedenen Appliances versehen.

Man schuf ein Perimeter, das die IT und damit das Unternehmen vor unbefugtem Zugriff und Angriffen schützen sollte. Die Firewall übernahm dabei die Funktion des Torwächters, der den Zugriff auf das Netzwerk nach vorgegebenen Regeln zuließ oder verhinderte. Dieses Konzept war auch völlig plausibel – zumindest in Zeiten eng begrenzter Firmennetzwerke und schlichter Angriffsvektoren.

Inzwischen sieht die Realität allerdings völlig anders aus: Kaum ein Unternehmen kommt ab einer bestimmten Größe ohne Zweigstellen aus, teilweise über mehrere Kontinente verteilt. Und spätestens mit der Erfindung von Smartphones ging die Ära des Hauptquartiers als einzigem Arbeitsort endgültig zu Ende.

Inzwischen ist mobiles Arbeiten eher die Regel denn die Ausnahme. Arbeitnehmer können ihr Büro im Grunde überall aufschlagen – vom heimischen Arbeitszimmer bis zur Flughafenlounge. Und hier beginnen auch die Schwierigkeiten für das Perimeter-Prinzip. Denn jede Zweigstelle und selbst jeder Mitarbeiter-Laptop, der außerhalb des Unternehmensnetzwerks genutzt wird, bricht den Security-Perimeter und macht das Firmennetzwerk verwundbar.

Erschwerend kommen immer komplexere, professionell aufgebaute Cyberangriffe hinzu. Sie zielen nicht mehr mit viel Lärm und roher Gewalt auf die offensichtlichen Einfallstore. Vielmehr werden gezielt und möglichst unauffällig Schutzlücken in einzelnen Anwendungen attackiert, erlaubte Protokolle als Tarnung genutzt oder Mitarbeiter gezielt hinters Licht geführt.

Virtuelle Integration ins Netzwerk – langsam und teuer

Die Verantwortlichen in Unternehmen haben daher die neue Aufgabe, auch Zweigstellen und mobile Mitarbeiter so gut wie möglich abzusichern. Allerdings ist die Einrichtung von Hardware-basierten Firewalls in jedem Branch-Office teuer, steigert die Komplexität und geht meist mit untragbarem Verwaltungsaufwand für die nötigen Upgrades einher. Deshalb ist der gängige Ansatz, Mitarbeiter und Niederlassungen außerhalb der zentralen Schutzmauern zumindest virtuell wieder in den Perimeter zu holen.

Technisch wird das traditionellerweise durch VPN-Backhauling oder MPLS gelöst. Damit greifen die externen Clients nicht direkt und ungesichert auf das Internet zu, sondern werden zunächst über einen sicheren Tunnel mit einem zentralen Zugriffspunkt verbunden. Dort befindet sich der tatsächliche Internet-Breakout via Secure Web Gateway, und dort ist auch die Firewall-Lösung installiert.

Von diesem Hub aus geht der Traffic weiter zu den gewünschten Ressourcen und Destinationen. Von hier aus ist der Web Traffic gesichert. Probleme ergeben sich allerdings beim Anwender. Denn das Routing über zentrale, Hardware-basierte Schutzsysteme verursacht hohe Latenzen, was den reibungslosen Arbeitsablauf hemmt und für Frust bei den Mitarbeitern sorgt.

Da der Einsatz von Cloud-Anwendungen mittlerweile alltäglich geworden ist, ist die Akzeptanz eines solchen Ansatzes beim Mitarbeiter nicht mehr gegeben. Anwendungen wie beispielsweise Microsoft Office 365 haben spezielle Anforderungen an die Bandbreite im Netz und damit die Konnektivität. Außerdem steigt durch den Einsatz von Cloud-Lösungen der unternehmensweite MPLS-Traffic deutlich an.

Durch Verlagerung von Anwendungen in die Cloud kann der Anteil des Internet-Datenverkehrs am gesamten MPLS-Traffic auf bis zu 80 Prozent erhöhen. Dieser kostentreibende Faktor der Anbindung von Zweigstellen sollte bei einem Wechsel in die Cloud nicht unterschätzt werden.

Bereit für die Wolke

Die Verantwortlichen müssen sich die Frage stellen, ob das herkömmliche Hub-and-Spoke-Modell im Cloud-Zeitalter überhaupt noch sinnvoll ist. Effektiver ist es, den bereits in der Zweigstelle, im Home Office oder in der Airport-Lounge vorhandenen Internet-Zugang gleich als Breakout-Point für die dortigen Mitarbeiter zu verwenden.

Der gewöhnliche Surf-Traffic, also auf Basis von HTTP oder HTTPS, lässt sich über ein Cloud-basiertes Secure Web Gateway absichern. Da der Traffic proxyfähig ist, lässt sich ein solcher Ansatz verhältnismäßig einfach realisieren. Komplexer wird es bei anderen Protokollen wie etwa SSH oder Datenverkehr für Voice over IP (VoIP). Da dieser Verkehr häufig nicht proxyfähig ist und daher nicht über das Web Gateway gehen kann, musste er bisher trotz allem wieder über den zentralen Anlaufpunkt, also über den Unternehmenshub geführt werden.

Eine Next Generation Firewall aus der Cloud kann diese Lücke schließen. Technisch gesehen wird, wie auch bei der herkömmlichen Variante, ein sicherer Tunnel aufgebaut, etwa über IPsec oder GRE. Dieser Tunnel führt nur nicht mehr zurück ins Unternehmensnetz, sondern wird zu einer Sicherheitsinstanz in der Wolke umgeleitet, wo der Secure Web Gateway betrieben wird.

Der verhältnismäßig teure Traffic via MPLS lässt sich auf diesem Weg auf die notwendigen internen Vorgänge beschränken, beispielsweise für Zugriffe auf ein hausintern betriebenes SAP. Alles, was sich außerhalb des Unternehmensnetzwerks abspielt, wird über die Next Generation Firewall gesichert. Wichtig ist allerdings die Anzahl der Knotenpunkte in der Wolke. Zscaler beispielsweise stellt durch 100 Rechenzentren weltweit sicher, dass immer ein Knotenpunkt in der Nähe des Anwenders ist.

Im Vergleich zur klassischen Stateful Inspection verfügt die Next Generation Firewall zudem über zusätzliche Funktionen. Anwender können Regeln für bestimmte Protokolle, Anwendungen oder Rollen von Mitarbeitern erstellen. Statt nur bestimmte Ports zu öffnen oder zu schließen, achtet die Sicherheitsarchitektur neben dem Zustand der TCP-Verbindung und dem Port auch darauf, welches Protokoll oder welche Anwendung genutzt wird. Auf dem Weg in eine flexible, verzweigte Arbeitswelt und natürlich in die Cloud sind damit einige wichtige Hürden beseitigt.

* Mathias Widler ist Area Director DACH & CEE bei Zscaler.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44109631 / Firewalls)