Was Sie beim Umstieg auf Next-Generation Firewalls beachten sollten

Next-Generation Firewalls (NGFW) bieten jede Menge Potenzial, müssen sich aber mit der aktuellen Security-Strategie unter einen Hut bringen lassen.

Next-Generation Firewalls (NGFW) sind in der IT-Security-Community derzeit der letzte Schrei. Anbieter wollen mit neuen und verbesserten Produkten unbedingt einen Fuß in die Enterprise-Tür bekommen. Sie versprechen, die Netzwerk-Sicherheit Kontext-sensibel zu machen. 

Wenn Netzwerk-Profis mit ihrem ersten NGFW-Projekt liebäugeln, dann sollten sie einige wichtige Fragen vor dem Start beantworten. Dazu gehören auch die Gründe, warum man die Technologie überhaupt einsetzen möchte. Weiterhin ist eine Identifikation der Standorte wichtig, die am meisten vom Einsatz einer Next-Generation Firewall profitieren. Ebenso muss man sich für Leistungsmerkmale entscheiden, die sich für eine bestimmte Umgebung eignen.

Vom Nischen-Produkt zu einer NGFW

Die momentane Security-Umgebung in vielen Unternehmen sieht so aus, dass verschiedene Technologien im Einsatz sind, die sich jeweils auf eine bestimmte Komponente der IT-Sicherheits-Strategie der Firma fokussieren. 

Eine Next-Generation Firewall vereint verschiedene IT-Sicherheits-Technologien in einem einzigen Gerät.

Netzwerk-Security-Services findet man oft in Form von Firewalls, Intrusion-Detection- (IDS) und Intrusion-Prevention-Systemen (IPS), Netzwerk-Zugriffskontrollen (NAC) und Data Loss Prevention (DLP). Mit diesem Ansatz kann ein Unternehmen das beste Produkt in jeder Kategorie auswählen. Allerdings ist das Management und Monitoring all dieser Einzelprodukte eine erhöhte Herausforderung.

Eine Next-Generation Firewall vereint verschiedene IT-Sicherheits-Technologien in einem einzigen Gerät. Netzwerk-Security-Funktionen laufen parallel zu Desktop-Security, Inhalts-Filtern und anderen Komponenten der Sicherheits-Infrastruktur. Somit haben Netzwerk-Administratoren nur eine einzige Management-Schnittstelle für multiple Systeme. 

Noch wichtiger ist, dass all diese Funktionen die Informationen hinsichtlich Bedrohungen und Betriebsmittel gemeinsam verwenden können. Der echte Mehrwert einer NGFW ist das konsolidierte Monitoring. System-Administratoren haben im Vergleich mit den Nischen-Produkten einen besseren Überblick in Bezug auf die Enterprise-Security.

NGFWs im Netzwerk platzieren

Die Vorteile einer NGFW haben natürlich auch ihren Preis, der sich in diesem Fall direkt auf die Kosten auswirkt. Eine Next-Generation Firewall ist verglichen mit anderen Technologien teurer. Erwägen Netzwerk-Profis einen NGFW-Einsatz, sollten sie sich über die Standorte Gedanken machen, die am meisten von den verbesserten Security-Services profitieren. 

Möglicherweise ist es nicht sehr kosteneffizient, eine NGFW „am Rande“ eines Unternehmens einzusetzen. Stattdessen sollte man eine NGFW an ausgewählten Engpässen im internen Netzwerk stationieren, da sie dort am wertvollsten sind.

Die oberste Priorität für die meisten Unternehmen beim NGFW-Einsatz ist der Schutz von Services, die über das Internet erreichbar sind. Dazu gehören Webserver, Mailserver und andere Geräte, die einen öffentlichen Zugriff erfordern. Diese sind den größten Risiken ausgesetzt und profitieren natürlich am meisten von den Schutz-Mechanismen einer NFGW. Aus diesem Grund eignen sich jegliche DMZ-Netzwerke für Next-Generation Firewalls.

Sobald Sie Ihre DMZ-Bereiche abgesichert haben, widmen Sie sich den höherwertigen Netzwerk-Segmenten. Gibt es eine bestimmte Klasse an Nutzern, die einem höheren Risiko ausgesetzt sind? Mögliche Gründe dafür können die Arten an Daten sein, mit denen diese Anwender arbeiten oder die ausgeführten Aktivitäten. Ausgezeichnete Einsatzorte für NGFW-Technologie wären zum Beispiel Verkaufs-Terminals, die mit Kreditkarten zu tun haben. Somit wäre eine schnelle Reaktion garantiert, wenn Bedrohungen wie die Point-of-Sale-Malware BackOff zuschlagen.

NGFW-Leistungsmerkmale auswählen

Die Netzwerk- und Security-Teams sollten zusammenarbeiten, wenn Sie sich für die speziellen NGFW-Leistungsmerkmale entscheiden, die sie im Endeffekt einsetzen möchten. Es gibt zwei Gründe, warum man bei der Wahl der Leistungsmerkmale eher konservativ vorgehen sollte. 

Die Vorteile einer NGFW haben natürlich auch ihren Preis, der sich direkt auf die Kosten auswirkt.

Zunächst einmal müssen die für die Netzwerk-Security verantwortlichen System-Administratoren die neuen Optionen überwachen und betreiben können. Weiterhin benötigt man für viele Leistungsmerkmale zusätzliche Lizenzen, was sich natürlich auf die Investitions- und die laufenden Kosten auswirkt.

Die unkomplizierteste Herangehensweise ist, eine NGFW-Plattform zu wählen, die alle Services anbietet, die Sie langfristig implementieren wollen. Sie lizenzieren allerdings nur diejenigen, die Sie im Moment benötigen. Verwenden Sie einen Satz an Services, der den momentan eingesetzten Nischen-Produkten sehr ähnlich ist. 

Dann nehmen Sie sich genügend Zeit, um das Team langsam an die NGFW zu gewöhnen. Sobald alles unter Kontrolle ist, können Sie neue Leistungsfähigkeiten implementieren. Am besten aktivieren Sie immer nur einen Service gleichzeitig, bis Sie den gewünschten Status erreichen.

Fazit

Next-Generation Firewalls sind für Effizienz und Effektivität der Netzwerk- und Security-Teams sehr vielversprechend. Unternehmen sollten eine NGFW-Strategie umsichtig wählen und die Geräte an Orten platzieren, an denen der Mehrwert am höchsten ist. Am besten führen Sie einen Satz an Services ein, der eine gute Balance zwischen Security-Anforderungen und betrieblichen Notwendigkeiten widerspiegelt.

Über den Autor:
Mike Chapple, Ph.D., CISA, CISSP, ist IT-Sicherheitsmanager an der University of Notre Dame. Zuvor hat er bei der National Security Agency und der U.S. Air Force im Bereich Informationssicherheit geforscht. Chapple schreibt regelmäßig Artikel für SearchSecurity.com, wo er auch als ständiger Experte für Compliance, Frameworks und Standards tätig ist. Außerdem ist er technischer Redakteur für das Magazin Information Security und Autor mehrere Bücher über Informationssicherheit, darunter CISSP Study Guide und Information Security Illuminated.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Januar 2015 aktualisiert

Erfahren Sie mehr über Netzwerksicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close