Barracuda full logo

Vielschichtige Abwehrstrategie mit integriertem Firewall-as-a-Service und sicherem Web Gateway

Themen:
6. Apr.. 2023
|
Stefan Schachinger

Ransomware-Angriffe sind ein imageträchtiges Problem für Unternehmen und andere Organisationen. Der Barracuda 2023 Ransomware Insights Report zeigt, dass trotz der globalen Trends rund um Ransomware 27 % der befragten Unternehmen nicht angemessen auf den Umgang mit einem Ransomware-Angriff vorbereitet sind. Viele dieser Befragten gaben an, dass sie sich von der hohen Anzahl an Cyberangriffen überwältigt sind.

Unternehmen mit vielen Daten und einer großen Angriffsfläche sind einem höheren Angriffsrisiko ausgesetzt. Webtraffic oder Webanwendungen, E-Mail-Nachrichten und anderer Netzwerk-Traffic sind häufige Ausgangspunkte für Ransomware-Angriffe. Angriffstrends zeigen je nach Branche unterschiedliche Ausgangspunkte, aber alle Unternehmen müssen jeden Bedrohungsvektor schützen, um einen vollständigen Schutz zu erlangen. Das bedeutet den Einsatz einer vielschichtigen Verteidigungsstrategie zum Schutz der Angriffsflächen außerhalb der Unternehmens-Firewall. 

Firewall-as-a-Service (FWaaS)

Nachdem die öffentliche Cloud vor einem Jahrzehnt populär wurde, stellte sich heraus, dass herkömmliche Firewall-Funktionen zum Schutz der Unternehmen nicht mehr ausreichten. Hardware-basierte Firewalls reichten nicht über die eigenen Räumlichkeiten des Unternehmens hinaus, was bedeutete, dass der Firewall-Schutz dem Unternehmen nicht in die Cloud folgen konnte. Die damalige unmittelbare Lösung bestand darin, virtuelle Geräte in der Public Cloud bereitzustellen, um hauptsächlich Infrastructure-as-a-Service (IaaS)-Angebote zu schützen und zu verbinden. 

Das Wachstum und die Entwicklung der öffentlichen Cloud haben einige Schwachstellen in der Strategie der virtuellen Firewall aufgedeckt. Virtuelle Geräte funktionierten zwar wie vorgesehen, boten aber nicht die notwendige Flexibilität für eine sich verändernde Cloud-Infrastruktur. Software-as-a-Service (SaaS)-Anwendungen wuchsen rasant. Die Einführung der öffentlichen Cloud führte zu neuen Überlegungen in Bezug auf Skalierbarkeit, Lizenzierung sowie Ressourcenverbrauch und -kosten. Um diesen Anforderungen gerecht zu werden, war ein flexibleres Firewall-Design erforderlich.

FWaaS ist der neue Formfaktor für Firewalls in der Cloud. Es handelt sich dabei um eine Firewall, die als Cloud-nativer Dienst bereitgestellt wird, der für viel mehr Schutz bietet, als das, was sich in der Cloud befindet. Als Teil einer größeren SASE-Plattformlösung (Secure Access Service Edge) kann die FWaaS ihre volle Leistungsfähigkeit entfalten. Das bedeutet, dass Sie Ihre FWaaS nicht nur zum Schutz von Cloud-Ressourcen, sondern auch von Benutzern und Websites verwenden können.

Was ist das Besondere an FWaas? Hier sind einige kurze Fakten über Firewall-as-a-Service:

  • Wie alle modernen Best-of-Breed-Firewalls umfasst FWaaS alle Sicherheitsfunktionen der nächsten Generation, darunter ein anwendungs- und absichtsbasiertes Regelwerk, IPS/IDS, Sandboxing (Advanced Threat Protection) und viele andere. Sie schützt Ressourcen vor internen und externen Bedrohungen.
  • Die FWaaS ist der Einstiegspunkt, um eine Verbindung zu mehreren Cloud-gehosteten Diensten herzustellen, die nicht öffentlich verfügbar sind. Dadurch kann die FWaaS die Cloud-Workloads und die Benutzer schützen, die auf diese Anwendungen zugreifen.
  • Die Sicherheits- und Inspektionsfunktionen einer FWaaS erstrecken sich über die Cloud hinaus auf On-Premise-Lösungen. Die Firewall-as-a-Service kann neben den lokalen Hardware-Firewalls eine Überprüfung des Benutzerdatenverkehrs durchführen. Dies reduziert die Abhängigkeit von diesen Firewalls und umständlichen Umwegen über Backhauling. Die Konfiguration von FWaaS für die Überprüfung des Benutzer-Traffics fügt dem Endpunkt zusätzliche Sicherheit hinzu. Eine intelligente Endpunktlösung führt eine absichtsbasierte Inspektion durch und identifiziert, welcher Datenverkehr eine zusätzliche Prüfung erfordert. Der Endpunkt leitet diesen Datenverkehr entsprechend weiter.
  • Eine FWaaS wird über eine schlanke, aber leistungsstarke Cloud-basierte Schnittstelle verwaltet und lässt sich wesentlich schneller konfigurieren und bereitstellen als herkömmliche Firewall-Lösungen. Obwohl viele Unternehmen einen Cloud-First-Ansatz verfolgen, gibt es nur sehr wenige, die sich ausschließlich auf die Cloud konzentrieren. Daher ist es besonders wichtig, die Managementfunktionen in einem einzigen Fenster zu vereinen. Dies gilt insbesondere dann, wenn andere Sicherheitskomponenten wie Zero Trust Network Access (ZTNA)-Lösungen oder Firewall-Hardware vorhanden sind. Die SASE-Plattform ermöglicht die Verwaltung dieser Sicherheitskomponenten als Funktionen einer einzigen Lösung.
  • Wie die meisten As-a-Service-Angebote ist die Lizenzierung einfach und flexibel, d. h. die Einstiegshürde ist niedrig.

FWaaS verlagert die Unternehmens-Firewall in die öffentliche Cloud und wird als Service bereitgestellt. Es kann als eigenständige Lösung oder in Kombination mit lokalen Komponenten in Hybridbereitstellungen verwendet werden.  

Secure Web Gateway (SWG)

Die Art und Weise, wie wir das World Wide Web nutzen, hat sich mit der Einführung der öffentlich Cloud weiterentwickelt. Früher haben Sicherheitsteams webbasierte Bedrohungen mit einem Webfilter-Gerät an einem zentralen Ort abgewehrt. Bei diesem Ansatz werden außerhalb dieses Standorts tätige Benutzer nicht geschützt. Da so viele Ressourcen jetzt als Webanwendungen verfügbar sind, können Benutzer von jedem Ort aus mit einer Internetverbindung arbeiten. Das Backhauling des Webtraffics zu einem Rechenzentrum zur Überprüfung verursacht zusätzliche Latenzzeiten und kann den standortbasierten Zugriff auf Ressourcen beeinträchtigen. Der herkömmliche lokale Webfilter kann den modernen Benutzer nicht schützen. Web-Sicherheit muss dort implementiert werden, wo sie benötigt wird – am Endpunkt.

Und die Entwicklung der Webnutzung beinhaltet mehr als lediglich den Standort des Benutzers, wenn er auf das Internet zugreift. Fast der gesamte Benutzer-Traffic zum Internet ist jetzt Webtraffic, und es handelt sich dabei hauptsächlich um verschlüsseltes HTTPS. Andere Protokolle wie FTP oder SSH (wer kann sich noch daran erinnern?) sind in den letzten Jahren fast vollständig aus der allgemeinen öffentlichen Nutzung verschwunden. Man könnte argumentieren, dass Internet-Firewalling für ausgehenden Verkehr heute Webfilterung ist. Aus diesem Grund passen SWG und FWaaS gut zusammen.

Kurze Fakten zu Secure Web Gateway:

  • Eine SWG-Lösung sollte eine einfache DNS-basierte Filterung auf dem Endpunkt aufweisen, um unerwünschte oder unangemessene Website-Kategorien und bekannte bösartige Websites sofort zu blockieren. Dadurch wird jeglicher Zugriff auf diese Bedrohungen verhindert. Das ist eine technisch einfache, aber hocheffiziente Methode, um ein gutes Maß an Sicherheit zu erreichen.
  • Granulare Regelsätze können so konfiguriert werden, dass gewisse Anwendungen blockiert, zugelassen oder genau untersucht werden.
  • Der gesamte verdächtige oder unbekannte Datenverkehr muss die SWG-Inspektion durchlaufen, bei der ein erweiterter Bedrohungsschutz angewendet wird. Dadurch wird sichergestellt, dass keine Bedrohung verpasst und an den Benutzer weitergeleitet wird.
  • SWG kann SSL abfangen. Diese Funktion ist erforderlich, da der meiste Webtraffic HTTPS-verschlüsselt ist. Die Überprüfung des Webtraffic kann Benutzer nur dann schützen, wenn sie in der Lage ist, verschlüsselten Traffic zu analysieren.

So funktioniert die Kombination

Sowohl FWaaS als auch SWG sind Komponenten einer modernen SASE-Lösung. Und wie bei allen Teilen von SASE wächst der Nutzen mit den kombinierten Anwendungsfällen. Eine stärkere Integration technischer Komponenten schafft mehr Konfigurations- und Bereitstellungsvorteile für den Administrator. Dies erhöht den Sicherheitsaspekt für die Benutzer. 

Die Vorteile der FWaaS- und SWG-Integration sind offensichtlich, aber eine SASE-Bereitstellung umfasst auch ZTNA als Endgerätekomponente. In einem Szenario, wo man buchstäblich von überall aus arbeiten kann, ist ZTNA der Schlüssel, um dem Endpunkt und dem Benutzer überall das gleiche Maß an Sicherheit zu bieten, egal ob im Homeoffice oder im Büro selbst. Grundlegende Entscheidungen wie anwendungsbasierte Regeln und URL-Filterung können am Endpunkt angewendet werden. Je nachdem, wo sich der Benutzer befindet, wird der Traffic, der eine zusätzliche Überprüfung erfordert, entweder von einem herkömmlichen Gerät oder der Cloud-Firewall verarbeitet. Die Cloud-Firewall-Funktionen, die von der kombinierten FWaaS- und SWG-Lösung bereitgestellt werden, ermöglichen die Überprüfung des Netzwerk-Traffics auf OSI Transport Layer 4 sowie das Abfangen von SSL und andere detaillierte Webprüfungen.

Wenn der Nutzer versucht, auf private Ressourcen zuzugreifen, wäre der FWaaS ohnehin der Einstiegspunkt, um eine Verbindung herzustellen. Andernfalls wird der Nutzertraffic nach der Gewährung geprüft und umgeleitet. 

Unternehmen mit hardwarebasierten Geräten und SDWAN-Gateways zum Schutz von lokalen Ressourcen können diese Lösungen in die Cloud-basierte SASE-Plattform integrieren. Dies macht die gesamte Architektur flexibler und verstärkt die Vorteile für IT-Administratoren und Endbenutzer. In diesem Fall gilt: Mehr ist mehr.

Erste Schritte mit SASE-Lösungen und vielschichtiger Security 

Barracuda bietet umfassende Firewall- und Web-Sicherheitslösungen, die vollständig in  Zero Trust Access integriert werden können. Unsere Experten beantworten Ihre Fragen und führen Sie durch eine Demo dieser Lösungen oder helfen Ihnen bei der Bereitstellung einer kostenlosen Testversion in Ihrer eigenen Umgebung.Besuchen Sie unsere Website für den Einstieg.

 

 

 

 

Stefan Schachinger

Stefan Schachinger ist Product Manager, Network Security – IoT/OT/ICS. Er arbeitet seit 2013 mit dem Barracuda-Team in Innsbruck zusammen. Vernetzen Sie sich hier mit ihm auf LinkedIn.

Verwandte Beiträge:
Bevorstehende Webinare, die Sie nicht verpassen sollten
Bevorstehende Webinare, die Sie nicht verpassen sollten
 Machen Sie Ihren sicheren Internetzugang zukunftssicher mit der neuen Generation von Web-Security-Geräten.
Machen Sie Ihren sicheren Internetzugang zukunftssicher mit der neuen Generation von Web-Security-Geräten.
Mit dem Aufstieg von KI-Agenten muss endlich das Zero-Trust-Problem in den Griff bekommen werden
Mit dem Aufstieg von KI-Agenten muss endlich das Zero-Trust-Problem in den Griff bekommen werden
 Neue Geräte der nächsten Generation bieten effizientere Netzwerk-Security und Zugriff auf die Public-Cloud
Neue Geräte der nächsten Generation bieten effizientere Netzwerk-Security und Zugriff auf die Public-Cloud
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.