Was ist eine Cloud-Firewall? Was bedeutet Firewall-as-a-Service (FWaaS)?

Was ist eine Cloud-Firewall?

Eine Cloud-Firewall ist ein Sicherheitsprodukt, das wie eine herkömmliche Firewall potenziell böswilligen Traffic aus dem Netzwerk filtert. Anders als herkömmliche Firewalls werden Cloud-Firewalls in der Cloud gehostet. Dieses in der Cloud bereitgestellte Modell für Firewalls wird auch als Firewall-as-a-Service (FWaaS) bezeichnet.

So wie herkömmliche Firewalls eine Barriere um das interne Netzwerk einer Organisation bilden, bilden cloudbasierte Firewalls eine virtuelle Barriere um Cloud-Plattformen, -Infrastruktur und -Anwendungen. Cloud-Firewalls können auch die Infrastruktur vor Ort schützen.

Firewall definieren

Eine Firewall ist ein Sicherheitsprodukt, das böswilligen Traffic herausfiltert. Herkömmliche Firewalls wurden zwischen einem vertrauenswürdigen internen Netzwerk und einem nicht vertrauenswürdigen Netzwerk, z. B. einem privaten Netzwerk und dem Internet, ausgeführt. Die ersten Firewalls waren physische Vorrichtungen, die an die On-Premise-Infrastruktur einer Organisation angeschlossen wurden. Entsprechend einem internen Satz von Regeln wird Traffic von einer Firewall blockiert oder zugelassen. Bei den meisten Firewalls können Administratoren diese Regeln anpassen.

Die Grenze zwischen einem vertrauenswürdigen Netzwerk und dem Internet wird als „Netzwerkperimeter“ bezeichnet. Mit der zunehmenden Beliebtheit von Cloud Computing ist der Netzwerkperimeter jedoch weitgehend verschwunden. Daher werden Cloud-Firewalls, die eine virtuelle Barriere zwischen vertrauenswürdigen Cloud-Ressourcen und nicht vertrauenswürdigem Internet-Traffic bilden, immer wichtiger.

Gibt es einen Unterschied zwischen einer Firewall-as-a-Service (FWaaS) und einer Cloud-Firewall?

Firewall-as-a-Service, oder kurz FWaaS, ist ein anderer Begriff für Cloud-Firewalls. Wie andere „As-a-Service“-Kategorien, z. B. Software-as-a-Service (SaaS) oder Infrastructure-as-a-Service (IaaS), läuft FWaaS in der Cloud und wird über das Internet bezogen, und ein Drittanbieter aktualisiert und wartet sie.

Warum FWaaS nutzen?

In Banken sind viele physische Sicherheitseinrichtungen vorhanden. Die meisten Bankgebäude sind mit Sicherheitsmerkmalen wie Sicherheitskameras und Panzerglas ausgestattet. Sicherheitsbeamte und Bankangestellte versuchen ebenfalls, potenzielle Bankräuber zu stoppen, und Bargeld wird in äußerst sicheren Safes aufbewahrt.

Aber stellen Sie sich einmal vor, das Bargeld der einzelnen Bankfilialen würde nicht an einem Ort, sondern in verschiedenen, über das gesamte Land verteilten Safes aufbewahrt, die von einem auf die Wartung von Safes spezialisierten Unternehmen betrieben würden. Wie könnte die Bank sicher sein, dass das Geld sicher aufbewahrt wird, ohne zusätzliche Sicherheitsressourcen für die verstreuten Safes bereitzustellen? Das ist vergleichbar mit dem, was Cloud Firewalls tun.

Die Cloud ist wie eine Bank mit verstreuten Ressourcen. Statt Geld werden in der Cloud jedoch Daten und Rechenleistung gespeichert. Autorisierte Nutzer können sich von überall und über fast jedes Netzwerk mit der Cloud verbinden. In der Cloud ausgeführte Anwendungen können überall ausgeführt werden, und das gilt auch für Cloud-Plattformen und -Infrastruktur.

Cloud-Firewalls blockieren auf diese Cloud-Assets gerichtete Cyberangriffe. Die Bereitstellung einer Cloud-Firewall ist mit dem Austausch der lokalen Sicherheitskameras und physischen Sicherheitsbeamten einer Bank durch ein globales rund um die Uhr tätigen Sicherheitszentrums vergleichbar, das über zentral verwaltete Mitarbeiter und Sicherheitskameraübertragungen von allen Orten, an denen Assets der Bank aufbewahrt werden, verfügt.

Was sind die wichtigsten Vorteile einer Cloud-Firewall/FWaaS?

• Böswilliger Traffic wird blockiert, einschließlich Malware und schädlicher Bot-Aktivitäten. Einige FWaaS-Produkte können auch die Weitergabe sensibler Daten blockieren.
• Der Traffic muss nicht durch eine Hardwareanwendung geschleust werden, sodass keine Engpässe im Netzwerk entstehen.
• Cloud-Firewalls lassen sich problemlos in die Cloud-Infrastruktur integrieren.
• Mehrere Cloud-Bereitstellungen können gleichzeitig geschützt werden (sofern der Anbieter der Cloud-Firewall jede der beiden Clouds unterstützt).
• Cloud-Firewalls lassen sich schnell skalieren, um mehr Traffic zu bewältigen.
• Unternehmen müssen Cloud-Firewalls nicht selbst warten; der Anbieter kümmert sich um alle Updates.

Worin besteht der Unterschied zwischen einer Cloud-Firewall und einer Next-Generation-Firewall (NGFW)?

Bei einer Next-Generation-Firewall (NGFW) handelt es sich um eine Firewall, die neue Technologien enthält, die in früheren Firewall-Produkten nicht verfügbar waren, z. B.:

• Intrusion Prevention System (IPS): Ein Intrusion Prevention System (System zur Prävention eines Eindringens) erkennt und blockiert aktiv Cyberangriffe.
• Deep Packet Inspection (DPI): NGFWs überprüfen Header und Nutzlast von Datenpaketen, nicht nur die Header. Dadurch werden Malware und andere Arten von böswilligen Daten leichter erkannt.
• Anwendungskontrolle: NGFWs können kontrollieren, worauf einzelne Anwendungen zugreifen können, oder Anwendungen insgesamt blockieren.

NGFWs können in der Cloud oder als lokale Hardware betrieben werden. Eine cloudbasierte Firewall kann über NGFW-Funktionen verfügen, aber auch eine vor Ort installierte Firewall kann eine NGFW sein. Erfahren Sie mehr über NGFW vs. FWaaS.

Wie passt FWaaS in einen SASE-Rahmen?

„Secure Access Service Edge“ bzw. SASE ist eine Cloud-basierte Netzwerkarchitektur, die Netzwerkfunktionen wie softwaredefinierte WANs mit einer Reihe von Sicherheitsdiensten, einschließlich FWaaS, kombiniert. Anders als herkömmliche Netzwerkmodelle, bei denen der Perimeter von lokalen Rechenzentren mit lokalen Firewalls geschützt werden muss, bietet SASE umfassende Sicherheit und Zugriffskontrolle am Netzwerkrand.

Innerhalb eines SASE-Netzwerkmodells arbeiten cloudbasierte Firewalls zusammen mit anderen Sicherheitsprodukten, um den Netzwerkperimeter vor Angriffen, Datenschutzverletzungen und anderen Cyber-Bedrohungen zu schützen. Anstatt mehrere Drittanbieter für die Bereitstellung und Wartung der einzelnen Dienste einzusetzen, können Unternehmen einen einzigen Anbieter beauftragen, der FWaaS, Cloud Access Security Brokers (CASB), sichere Web-Gateways (SWG) und Zero Trust Network Access (ZTNA) mit SD-WAN-Funktionen bündelt.

Die Cloudflare Magic Firewall wurde entwickelt, um sowohl lokale als auch Cloud-Infrastrukturen über das globale Cloudflare-Netzwerk zu schützen. Magic Firewall ist in der Cloudflare One SASE-Plattform enthalten – erfahren Sie hier mehr.

Unternehmen, die ihre Webanwendungen schützen wollen, können auch die Cloudflare WAF nutzen (mehr erfahren).