NGFW: Firewall der nächsten Generation
Wie der Name bereits andeutet, ist eine Next-Generation-Firewall (NGFW)“ eine wesentliche Weiterentwicklung klassischer Firewall-Typen. Ihre Funktionsweise geht deutlich über die Analyse von Datenpaketen auf Protokoll- und Port-Ebene hinaus. Ebenso wie Proxy- und Stateful-Firewalls analysiert ein NGFW ein- und ausgehende Daten auf Anwendungsebene. Allerdings sind die zugrundeliegenden Regelsätze nicht mehr statisch, sondern dynamisch. Sie unterliegen also einer fortlaufenden Anpassung.
Ein wichtiger Grund, die bisherige Idee hinter dem Firewall-Prinzip kontinuierlich weiterzuentwickeln, ist die Tatsache, dass ein Großteil des Internet-Datenverkehrs inzwischen über den https-Port 443 für sichere Webseiten abläuft – und somit über einen einzigen Port. Das liegt vor allem daran, dass früher separat laufende Dienste wie ftp (Dateitransfer) oder smtp (E-Mails) inzwischen häufig Bestandteil von Webangeboten sind und vollständig in der Cloud laufen. Gibt man nun in einer klassischen Firewall den Port 443 ohne weitere Prüfmechanismen frei, lässt man bei fehlenden, weiteren Prüfmechanismen im Zweifel auch eintreffende Datenpakete mit schädlichem Inhalt durch, was unbedingt zu verhindern ist.
Trotzdem überprüft eine Next-Generation-Firewall sowohl das im Datenverkehr verwendete Protokoll als auch den eingesetzten Port. Gleichzeitig überwacht das NGFW-System das Verhalten der beteiligten Nutzer:innen und entscheidet anhand weiterer Kriterien (Policies), was als verdächtig gilt und was nicht.
Außerdem beinhalten viele „bedrohungsorientierte” Next-Generation-Firewalls sowohl einen Virenschutz als auch Mechanismen gegen Spam, anstößige Inhalte und einiges mehr. Zu den optionalen Funktionen einer NGFW zählen außerdem VPN-Lösungen, sowohl auf IPSec- als auch auf SSL-Basis. In der Summe lösen Firewalls der „nächsten Generation“ also sukzessive bislang einzeln aufgesetzte Lösungen wie Intrusion-Protection-Systeme (IPS) zum Schutz vor Eindringlingen, Proxies und Ähnliches ab.
Gängige (weitere) Funktionen von NGFW sind:
Deep Packet Inspection (DPI): Dieser Mechanismus prüft nicht nur Datenpakete über dessen Header hinaus, sondern bietet auch die Möglichkeit, Bandbreiteneinschränkungen auf Anwendungsbasis zu konfigurieren.
SSL/TLS-Termination: Insbesondere verschlüsselte Kommunikation lässt sich nur schwerlich auf schädlichen Inhalt hin überprüfen, wie es bei SSL- und TLS-Übertragungen der Fall ist. Einige NGFW sind so konfiguriert, dass sie auch diese Inhalte lesen und mithilfe einer neuen Verschlüsselung dann weiterleiten können. Datenschutzrechtlich bleiben hier allerdings offene Fragen. Das liegt daran, dass nicht der eigentliche Empfänger, sondern die Firewall die Daten ausliest. Und zu dieser gibt es immer auch mindestens einen, meist jedoch mehrere Administrator:innen. Diese könnten absichtlich oder unabsichtlich vertrauliche Kommunikation mitlesen.
Sandboxing: Ob ein bestimmter Code, ein E-Mail-Anhang oder andere Daten schädlich sind, lässt sich häufig erst durch Ausführen ermitteln. Hierzu bieten einige NGFWs eine sogenannte Sandbox-Umgebung, in der die Firewall möglichen Schadcode gefahrlos ausführt und so auf mögliche Malware untersucht. Entsprechend großzügige Hardware-Ressourcen sind hier allerdings Voraussetzung, um den Datenverkehr nicht erheblich zu verzögern. Denn ein solches System kann eine Menge Rechenleistung beanspruchen.
Der NGFW-Ansatz entwickelt sich fortlaufend weiter. Derzeit passen Entwickler:innen ihn vor allem in Richtung Kontextsensitivität, Cloud-Unterstützung sowie virtuelle Umgebungen an. Immerhin sind herkömmliche Firewalls in der Vergangenheit nicht selten durch falsch-positive Filterung von Datenverkehr aufgefallen. Solche Situationen sind zwar nicht so schlimm wie nicht erkannte Angriffe, können aber im Arbeitsalltag durchaus zu Frustration führen.
Damit eine Firewall präzise und zuverlässig arbeitet, ist es also offensichtlich notwendig, auf Bedrohungen intelligent zu reagieren und sich von statischen Regeln weitgehend zu verabschieden. Eine wesentliche, aktuelle Bedrohung stellen dabei sogenannte APT-Angriffe („Advanced Persistent Threats“) dar. Bei dieser Angriffsform investieren einzelne Hacker:innen oder ganze Gruppen erheblichen, teils manuellen Aufwand, um bestehende Firewall-Systeme zu umgehen. Derartige Angriffe zuverlässig und dauerhaft abzuwehren, bleibt eine wesentliche Herausforderung auch für NGFWs.
Zu den Vorteilen der NGFW gehört vor allem, dass sie die wichtigen Eigenschaften klassischer Firewall-Ansätze mit modernen Sicherheitsmechanismen vereint. Die Firewall-Anbieter erweitern sie außerdem fortlaufend, da sich die Bedrohungslage ständig verändert.
Zu den Nachteilen der NGFW zählt, dass diese nicht immer einfach zu konfigurieren, zu administrieren und aktuell zu halten sind. Eine Ausnahme sind Managed-Services, also solche unter „fremder“ Verwaltung. Solche Systeme sind auch als UTM-Lösungen bekannt.
UTM-Firewall: Ist Unified Threat Management eine Alternative zur NGFW?
Einen etwas anderen Ansatz zum umfassenden Schutz von Netzwerksystemen stellt das sogenannte Unified Threat Management (UTM) dar. Es basiert ebenso wie die NGFW auf der Annahme, dass eine wirksame Abwehr von Bedrohungen nur über ein ganzheitliches System gelingen kann. Allerdings arbeitet eine UTM-Firewall sozusagen top-down und stellt eine umfassende Lösung auf Enterprise-Niveau ohne zusätzlichen Management-Aufwand bereit. Diese können Sie dann individuell anpassen, indem Sie beispielsweise einzelne Aspekte aus Relevanz- oder Kostengründen streichen.
Ein großer Vorteil des UTM-Ansatzes ist dessen einfache und schnelle Umsetzung: Kommerzielle Expert:innen kümmern sich sowohl um die Implementierung als auch die Aktualisierung der entsprechenden Lösung.
Nachteilig sind die meist vergleichsweise hohen Kosten. Hier sollten Sie genau darauf achten, was Sie tatsächlich benötigen und was nicht.
In der Praxis nähern sich NGFW-Lösungen den UTM-Komplettlösungen immer mehr an. Die Entscheidung für den einen oder anderen Ansatz ist somit häufig eine Frage der vorhandenen IT-Expertise und der entsprechenden personellen Ressourcen im Unternehmen.
Firewall-as-a-Service: Die Firewall als Cloud-Dienstleistung
Das Prinzip der Firewall-as-a-Service (“Firewall als Dienstleistung“) verlagert die Firewall dorthin, wo heute der größte Teil der unternehmenseigenen Daten und Anwendungen verortet ist: In die Cloud. Auf Basis einer Cloud-Firewall stellt das Prinzip erweiterte NGFW-Funktionen für alle angebundenen Rechner zur Verfügung.
Diese recht neue Prinzip ist spätestens seit der vermehrten Nutzung von Remote Work und hybriden Arbeitsmodellen nötig geworden, in dessen Zuge sich Geschäftsprozesse aus dem Unternehmensnetzwerk in die Cloud verlagert haben. Ursprüngliche Next-Generation-Firewalls sind auf Unternehmensservern installiert und weisen häufig keine ausreichende Skalierbarkeit in Bezug auf cloudnative Anwendungen auf. Zudem können sie das hohe Verbindungsvolumen in der Cloud aus dem Rechenzentrum des Unternehmens heraus nur schwer bewältigen. Hohe Latenzzeiten sind die Folge. Wollte man herkömmliche Sicherheitsansätze auf die veränderten Arbeitsmodelle übertragen, müssten diese an jedem einzelnen Standort beziehungsweise genutzten Gerät vorhanden sein. Dies würde Homeoffice-Arbeitsplätze und Mobilgeräte einschließen und wäre weder vom Aufwand noch von der Logistik her zu rechtfertigen.
Stattdessen ermöglichen es FWaaS-Lösungen, Sicherheitsfunktionen auf allen sieben Schichten als Cloud-Service bereitzustellen und speziell auf die Anwendungen und Nutzer:innen eines Unternehmens zuzuschneiden.
Weitere Vorteile von Firewall-as-a-Service sind zudem eine effektive SSL-Überprüfung – in Zeiten des zunehmenden verschlüsselten Datenverkehrs ein immer wichtigerer Aspekt – sowie verzögerungsfreie Übertragungen auch bei hohen Zugriffszahlen auf die Cloud.
Nachteile bestehen in einem Mietmodell, das sich nur auf die Cloud erstreckt, so dass Sie unter Umständen eine separate Firewall-Lösung für Ihre On-Premises-Anwendungen und das Unternehmensnetzwerk benötigen.