Was ist eine Softwarefirewall?
Eine Softwarefirewall stellt Firewallfunktionen in einer Softwarelösung (anstelle einer physischen Appliance) bereit und eignet sich daher besonders für den Einsatz auf Servern oder virtuellen Maschinen, mit denen Cloud-Umgebungen gesichert werden sollen.
Wichtig: Der Begriff „Softwarefirewall“ sollte nicht mit dem Begriff „Firewallsoftware“ verwechselt werden, der das Betriebssystem bezeichnet, auf dem eine Next-Generation Firewall (NGFW) läuft.
Softwarefirewalls sind für den Schutz von Daten, Workloads und Anwendungen in Umgebungen konzipiert, in denen die Installation physischer Firewalls schwierig oder unmöglich wäre. Dazu gehören:
- Softwaredefinierte Netzwerke (SDN)
- Hypervisoren
- Öffentliche Cloud-Umgebungen
- Virtualisierte Rechenzentren
- Filialen/Zweigstellen
- Containerumgebungen
- Hybrid- und Multi-Cloud-Umgebungen
Wie funktionieren Softwarefirewalls?
Softwarefirewalls basieren auf derselben (auch als Next-Generation Firewall oder NGFW bezeichneten) Technologie wie Hardwarefirewalls. Sie bieten verschiedene Bereitstellungsoptionen, die den unterschiedlichen Anforderungen von Hybrid- und Multi-Cloud-Umgebungen sowie modernen Cloud-Anwendungen Rechnung tragen. Softwarefirewalls können in beliebigen virtualisierten Netzwerk- und Cloud-Umgebungen implementiert werden.
Software- und Hardwarefirewalls im Vergleich
Der wichtigste Unterschied zwischen einer Hardware- und einer Softwarefirewall ist der Formfaktor. Es gibt aber auch noch einige andere erwähnenswerte Unterschiede, die in Abbildung 2 zusammengefasst sind.
Sowohl Software- als auch Hardwarefirewalls spielen eine entscheidende Rolle bei der Netzwerksicherheit. Es ist also nicht so, dass Softwarefirewalls besser wären als Hardwarefirewalls (oder umgekehrt). Vielmehr eignen sie sich für unterschiedliche Gegebenheiten.
Abbildung 2: Unterschiede zwischen Software- und Hardwarefirewalls
| Parameters | Software firewall | Hardware firewall |
|---|---|---|
| Formfaktoren |
|
|
| Bereitstellungsoptionen |
|
|
| Komplexität |
|
|
Arten von Softwarefirewalls
Softwarefirewalls lassen sich in der Regel einer von drei Kategorien zuordnen:
- Virtuelle Firewalls
- Containerfirewalls
- Managed-Service-Firewalls
Jeder Typ bietet bestimmte Funktionen für unterschiedliche Umgebungen und Zwecke. Jede Softwarefirewall überwacht und schützt jedoch den Ost-West-Datenverkehr sowie den ein- und ausgehenden Netzwerkdatenverkehr. Eine Softwarefirewall blockiert verdächtige Aktivitäten und verhindert die Datenausschleusung.
Virtuelle Firewalls (auch als Cloud-Firewalls oder virtualisierte NGFWs bezeichnet)
Eine virtuelle Firewall schützt eine Reihe von Umgebungen, darunter:
- Hybride Clouds
- Individuelle private und öffentliche Clouds
- Virtualisierte Filialen
- 5G-Bereitstellungen
- Drei Anwendungsszenarien für virtuelle Firewalls
Virtuelle Firewalls können sowohl am Übergang zu Public-Cloud-Umgebungen (zur Kontrolle des Nord-Süd-Datenverkehrs) als auch in Rechenzentren und Filialen (zur Segmentierung des Ost-West-Datenverkehrs) eingesetzt werden. Virtuelle Firewalls sind darüber hinaus auch für die Mikrosegmentierung zur Umsetzung modernster Bedrohungspräventionsmaßnahmen geeignet.
In öffentlichen Clouds ergänzen virtuelle Firewalls den Schutz, den Cloud-Serviceanbieter (Cloud Service Provider, CSP) bereitstellen. Sie sichern auch kritische Netzwerkverbindungen zu Cloud-Anwendungen. In diesen Situationen fungieren cloudbasierte Firewalls normalerweise als virtuelle Maschinen (Gastmaschinen). Einige können Transparenz über mehrere CSP-Bereitstellungen hinweg bieten.
Höherwertige virtuelle Firewalls können folgende Vorteile eröffnen:
- Unterstützung von Organisationen bei der Erfüllung von Sicherheitsverpflichtungen für Benutzer der öffentlichen Cloud
- Gewährleistung der Compliance mit gesetzlichen Normen
- Verstärkung der integrierten individuellen Sicherheitsmerkmale der einzelnen CSP
Containerfirewalls
Containerfirewalls verhalten sich ähnlich wie virtuelle Firewalls, sind aber speziell für Kubernetes-Umgebungen entwickelt worden. Containerfirewalls werden tief in Kubernetes-Umgebungen integriert, um Netzwerksicherheitsteams beim Schutz von Entwicklern zu unterstützen. Dies ist wichtig, da es schwierig sein kann, Container-Workloads in Kubernetes-Umgebungen mit herkömmlichen Firewalls zu schützen.
Managed-Service-Firewalls
Softwarefirewalls sind – ähnlich wie viele andere Software-as-a-Service(SaaS)-Angebote – auch als Managed Services verfügbar. Einige dieser Managed Services eignen sich zur flexiblen Bereitstellung von Sicherheitsmaßnahmen auf der Anwendungsebene (Layer 7) ohne zusätzlichen Managementaufwand. Wie alle Managed Services können diese Firewalls auch schnell herauf- und herunterskaliert werden.
Netzwerksicherheit: Herausforderungen, die Softwarefirewalls erforderlich machen
In der Welt der virtualisierten, dezentralisierten Umgebungen ergeben sich viele Herausforderungen für die Netzwerksicherheit, die nicht mit Lösungen für ein traditionelles Rechenzentrum gelöst werden können.
Verschwindender Sicherheitsperimeter
Traditionell trennt ein Sicherheitsperimeter die Außenwelt vom internen Netzwerk, doch dieses Konzept steht schon seit einiger Zeit auf dem Prüfstand, denn mit der zunehmenden Verbreitung von Hybrid- und Multi-Cloud-Strategien in modernen Architekturen ist das nicht mehr so einfach. Außerdem besteht ein Großteil der Architektur aus Clouds, die von Serviceanbietern betrieben werden. Dies führt zu einer ständigen Bewegung von Informationen über das Netzwerk und das Internet.
Die Bedrohungslage verschärft sich
40 % der Unternehmen wurden bereits Opfer mindestens einer cloudbasierten Datenpanne – ein erstaunliches Ergebnis angesichts der Tatsache, dass die Cloud noch gar nicht so lange existiert. Bei den Opfern handelt es sich auch nicht ausschließlich um Cloud-Neulinge, sondern ebenfalls um etablierte Unternehmen mit hohen Investitionen und ausreichend Erfahrung im Netzwerksicherheitsbereich.
Widersprüchliche Ansichten zum Thema Sicherheit zwischen Cloud- und Netzwerkteams
Der Wechsel zu Cloud-First-Strategien hat erhebliche Konsequenzen für die Sicherheit, und zwar bereits ab der Anwendungsentwicklung. Cloud-Entwickler räumen der Sicherheit nicht immer höchste Priorität ein. Ihr Auftrag ist es, so schnell wie möglich zu entwickeln und zu veröffentlichen. Tatsächlich stufen nur 14 % der Cloud-Entwickler die Anwendungssicherheit als höchste Priorität ein. Zwei Drittel hingegen ignorieren regelmäßig bekannte Sicherheitslücken und Exploits in ihrem Code. Außerdem nehmen Entwickler oft an, dass die nativen Sicherheitsfunktionen des Cloud-Serviceanbieters gut genug sein werden.
Die Netzwerksicherheit wird oft erst relativ spät im Entwicklungszyklus berücksichtigt, wenn nur noch eingeschränkte Möglichkeiten zur Verfügung stehen. Wenn das Netzwerksicherheitsteam eine Sicherheitslösung wie z. B. eine NGFW empfiehlt, trägt es die Beweislast dafür, dass seine Empfehlungen das Unternehmen nicht verlangsamen oder die Zeit bis zur Wertschöpfung verzögern.
Cloudnative Anwendungen führen zu Netzwerksicherheitsproblemen in Hybrid- und Multi-Cloud-Architekturen
Eine gravierende Änderung ist die Nutzung anbieterspezifischer Orchestrierungsservices wie AWS Elastic Beanstalk, Azure App Service und Google App Engine. Mit diesen Tools brauchen Entwickler nur ihren Anwendungscode hochzuladen und der Orchestrierungsservice übernimmt automatisch die Bereitstellung. Eine solch umfassende Automatisierung vereinfacht zwar die Arbeit des Entwicklers, bringt aber zusätzliche Probleme für die Netzwerksicherheit in Hybrid- und Multi-Cloud-Architekturen mit sich.
Größere Angriffsfläche
Die Rechenzentren entwickeln sich zu privaten Clouds, in denen lokale Anwendungen auf virtuellen Maschinen gehostet werden und nicht direkt auf physischen Servern. Andere Anwendungen werden in öffentlichen Clouds in virtuellen Umgebungen ausgeführt, häufig in Kombination mit Containern und Kubernetes-Orchestrierung. In diesem Modell besteht die Architektur aus zahlreichen unterschiedlichen Verbindungen, wodurch die Angriffsfläche wesentlich größer und nur schwer abzugrenzen ist.
Abbildung 3: Firewallsicherheit in einer herkömmlichen Rechenzentrumsarchitektur
Hybrid- und Multi-Cloud-Umgebungen: Herausforderungen bei der Compliance
Modell der gemeinsamen Verantwortung
- Das Modell der gemeinsamen Verantwortung ist nur ein Aspekt in Hybrid- und Multi-Cloud-Umgebungen, der die Einhaltung der Compliancevorgaben erschweren kann.
- Der Cloud-Serviceanbieter implementiert einige der erforderlichen Kontrollmaßnahmen und muss daher auch Informationen zur Verfügung stellen, die dann für Audits genutzt werden können. Glücklicherweise können die Kunden oft Kontrollen vom CSP übernehmen. Dadurch lassen sich die Complianceprozesse straffen, sofern dies entsprechend dokumentiert wird.
- Für alle Elemente, die außerhalb der Verantwortlichkeit des Cloud-Serviceanbieters liegen – wie beispielsweise Anwendungen –, sind im Hinblick auf das Audit die Benutzer selbst zuständig.
Regionale Unterschiede
- Eine weitere Herausforderung hinsichtlich der Compliance ist, dass Hybrid- und Multi-Cloud-Umgebungen oft verschiedene Regionen und damit auch unterschiedliche Rechtsprechungen abdecken. Dies kann zu Problemen etwa hinsichtlich der Datenlokalität und der Datenschutzbestimmungen führen.
Vorteile von Softwarefirewalls
Herkömmliche Sicherheitslösungen sind den Anforderungen von Hybrid- und Multi-Cloud-Architekturen nicht mehr gewachsen. Physische Firewalls sind ein wichtiges Sicherheitsinstrument für viele Netzwerkanwendungen. Sie sind jedoch nicht immer die einzige Wahl, wenn es um moderne Hybrid- und Multi-Cloud-Infrastrukturen und cloudnative Entwicklungsmethoden geht.
Umfassender Schutz
Schutz des eingehenden Datenverkehrs
Es ist bekannt, dass der Perimeter von Hybrid- und Multi-Cloud-Umgebungen nicht genau definiert ist. Softwarefirewalls erleichtern die Definition des Perimeters und der gewünschten Sicherheitspunkte.
Ein Beispiel: Ein Benutzer kann eine Datenbank mikrosegmentieren und eine Richtlinie festlegen, die es nur dem Backend einer bestimmten Anwendung erlaubt, mit ihr zu kommunizieren. Dies ermöglicht den Schutz vor eingehenden Bedrohungen aus der Außenwelt. Bedrohungen, die darauf abzielen, Angreifern Zugriff auf Anwendungen zu verschaffen, sensible Daten zu stehlen oder Daten zu verschlüsseln, werden blockiert.
Schutz des ausgehenden Datenverkehrs
Moderne Anwendungen greifen heute routinemäßig auf den Code von Drittanbietern oder Open-Source-Code zu. Dies erfordert die Nutzung von Repositorys wie GitHub für Software-Updates von Drittanbietern. Updates können an einen Command-and-Control-Server umgeleitet werden.
Softwarefirewalls bieten Schutz für den ausgehenden Datenverkehr. Dadurch wird sichergestellt, dass nur auf die notwendigen Repositorys zugegriffen wird. Der Schutz des ausgehenden Datenverkehrs stellt außerdem sicher, dass nur zugelassene URLs aufgerufen werden, und verhindert den unbefugten Zugriff auf URLs, die schädlich oder mit Malware infiziert sind.
Lateraler Schutz
In der Cloud arbeiten die Anwendungen nicht isoliert. Vielmehr kommunizieren sie über APIs und Netzwerkverbindungen. Anwendungen kommunizieren auch mit Benutzern innerhalb und außerhalb der Cloud. Damit soll im Allgemeinen sichergestellt werden, dass die Benutzer auf diese Anwendungen zugreifen und sie nutzen können.
Wenn die Schutzoberfläche infiltriert wird, verhindern Softwarefirewalls laterale Bewegungen innerhalb der Cloud. Dazu gehören Cloud-to-Cloud oder VCP. Infolgedessen sind Angreifer in ihren Möglichkeiten, sich innerhalb einer Cloud auszubreiten oder andere Ressourcen zu befallen, extrem eingeschränkt.
Relativ einfache Einrichtung und Wartung
Softwarefirewalls erfordern keine Technikerbesuche an einem physischen Standort, kein Umstecken von Kabeln und keine Interaktion mit einer CLI. Tatsächlich werden Bereitstellung, Skalierung und Richtlinienänderungen in der Regel automatisiert. Das Personal muss nicht stundenlang manuelle Routinearbeiten durchführen.
