Die Konnektivität von Anwendungen hat zu einer Explosion des Datenverkehrs zwischen Workloads geführt, die sich in Rechenzentren sowie öffentlichen, privaten und hybriden Clouds befinden. Ebenso gibt es containerisierte Workloads, die schnell hoch- und wieder heruntergefahren werden müssen, um den unmittelbaren Anforderungen in schnelllebigen Umgebungen gerecht zu werden.

Kommen noch Anwendungen und Services von Drittanbietern hinzu, sind all diese mit der Zeit wachsenden Verbindungen zwischen Workloads komplex und schwierig zu verwalten. Ganz zu schweigen davon, dass sichergestellt werden muss, dass der Zugang nicht übermäßig offen bereitgestellt wird und nur die richtigen Benutzer und Systeme miteinander kommunizieren können.

Zero Trust muss Verbindungen berücksichtigen, die sich über verschiedene Infrastrukturtypen erstrecken, da der Datenverkehr häufig Umgebungen überquert. Ein Szenario wäre eine containerisierte Anwendung, gehostet in einer Public-Cloud-Umgebung. Die Anwendung ist beispielsweise mit einem gemeinsam genutzten Dienst verbunden, der auf einem Bare-Metal-Server in einem On-Prem-Rechenzentrum betrieben wird. Es fällt nicht schwer, sich vorzustellen, wie sich Angreifer zwischen den beiden Umgebungen bewegen könnten, indem sie eine Richtlinienlücke ausnutzen, die aus mangelnder Sichtbarkeit und Kontrolle in einem Teil der Umgebung resultiert, und sich dann auf die Suche nach anderen Workloads machen, die sie kompromittieren können.

Mit Blick auf diese ständig wachsende Interkonnektivität ergeben sich nach Meinung von Palo Alto Networks [1] sechs Gründe, warum Next-Generation-Firewalls (NGFWs) dazu beitragen, einen Zero-Trust-Ansatz auf Workload-Ebene umzusetzen.

Grund Nr. 1: Layer-7-Sichtbarkeit und Bedrohungsabwehr an jedem Ort
Ein Leitprinzip beim Design einer ML-gestützten Next-Generation-Firewall (NGFWs) ist es, die Sicherheit so nah wie möglich an den Workload zu bringen. Dieser Ansatz macht sich Softwarekonstrukte wie virtuelle Maschinen, Container und Kubernetes zunutze und hilft, zusätzlichen Kontext für die Erstellung und Verwaltung von Sicherheitsrichtlinien zu schaffen. Außerdem gewährleistet er die für einen Zero-Trust-Ansatz wichtige Layer-7-Transparenz und Bedrohungsabwehr für Workloads, unabhängig von deren Hosting-Umgebung.  Die Umgebung jedes Workloads wird mit dem passenden Firewall-Formfaktor geschützt, um Layer-7-Sichtbarkeit und Bedrohungsabwehr zu gewährleisten.

• Die Hardware-NGFWs der PA-Reihe sind ideal für Workloads auf physischen Maschinen in On-Prem-Rechenzentren und Multi-Rechenzentrumsarchitekturen.
• Virtuelle Firewalls der VM-Reihe sind für Workloads in virtualisierten Umgebungen konzipiert – Public Clouds, virtualisierte Rechenzentren und Software-Defined-Networking-Umgebungen (SDN).
• Die Container-Firewalls der CN-Reihe sichern Kubernetes-Umgebungen und schützen den Datenverkehr, der die Grenzen des Kubernetes-Namensraums überquert.

Alle drei Firewall-Formfaktoren bieten den gleichen umfangreichen Satz an NGFW-Funktionen sowie tiefe Layer-7-Transparenz und Bedrohungsabwehr in jedem Teil einer Netzwerkinfrastruktur. Dies sichert den Datenverkehr zwischen Benutzern, Anwendungen und Diensten unabhängig davon, wo sich Workloads und Benutzer befinden.

Grund Nr. 2: Netzwerksegmentierung und Mikrosegmentierung
Während Netzwerk- und Mikrosegmentierung sicherlich die Angriffsfläche reduzieren, garantieren sie keine Sicherheit in komplexen Umgebungen. Zum einen wird die Kommunikation zwischen verschiedenen Workload-Typen, die sich in unterschiedlichen Vertrauenszonen befinden, immer häufiger, und auch die Vertrauenszonen selbst befinden sich in physischen, virtuellen und öffentlichen Cloud-Netzwerken.

Aus diesem Grund ist die Nutzung – und Erweiterung – von Netzwerk- und Mikrosegmentierung sowohl ein Grundpfeiler von Zero Trust als auch ein wesentlicher Bestandteil eines modernen Firewall-Designs. Die Firewalls können die Sicherheitsprovisionierung automatisieren, um Segmentierungsaufgaben zu vereinfachen. In internen Netzwerken können Unternehmen mithilfe von Software-Firewall-Formfaktoren Vertrauenszonen erzwingen, um ihre Netzwerke zu segmentieren, was die seitliche Ausbreitung von Bedrohungen verhindert.

Die Mikrosegmentierung geht noch einen Schritt weiter als die Segmentierung, um Workloads voneinander zu isolieren und individuell zu schützen. Aber was passiert bei Workloads in mikrosegmentierten Umgebungen, die miteinander kommunizieren müssen?

Moderne Firewalls bieten Sichtbarkeit und Schutz für den notwendigen erlaubten Verkehr zwischen Anwendungen und Diensten in mikrosegmentierten Umgebungen. Es gilt sicherzustellen, dass Angreifer diese erlaubten Verbindungen nicht ausnutzen können, um sich seitlich in einer Umgebung zu bewegen. Daher ist erweiterte Bedrohungsabwehr, wie etwa Intrusion Prevention, in jede Firewall integriert, um den Workload-Verkehr zu sichern, der sich zwischen vertrauenswürdigen Zonen bewegt, insbesondere Zonen mit unterschiedlichen Vertrauensstufen.

Grund Nr. 3: Seitliche Bewegungen zwischen Workloads einschränken
Die von der Next-Generation-Firewall durchgesetzten Grenzen für die Vertrauenswürdigkeit von Workloads rund um sensible Daten und Anwendungen tragen wesentlich dazu bei, dass sich Bedrohungen nicht beliebig innerhalb der Infrastruktur bewegen können. Dies ist für Zero Trust auf Workload-Ebene von entscheidender Bedeutung, denn sobald Angreifer die Sicherheitsgrenze durchbrochen haben, ist es wahrscheinlich, dass sie sich intern von kompromittierten physischen Maschinen, virtuellen Maschinen und Containern aus verbreiten.

Diese Art von "Ost-West"-Bewegung ist mit Protokollen und anderen traditionellen Sicherheitstools nur schwer in Echtzeit zu erkennen. Eine Erkennung ist auch nicht möglich mit unverbundenen Tools, die nicht in der Lage sind, unterschiedliche und miteinander verbundene Workloads zu überwachen und zu schützen.

Als Beispiel für diesen Schutz in Aktion verhält sich die Container-Firewall der CN-Reihe wie die anderen Firewalls von Palo Alto Networks, wenn sie Layer-7-Traffic-Schutz und fortschrittlichen Bedrohungsschutz in Kubernetes-Umgebungen einfügt. Ein Beispiel wäre die Sicherung der zulässigen Verbindungen zwischen zwei containerisierten Anwendungen unterschiedlicher Vertrauensstufen. Zum Schutz vor lateralen Bewegungen durch Sicherung des Datenverkehrs zwischen Pods und anderen Workload-Typen (wie virtuellen Maschinen oder sogar Bare-Metal-Servern) schränkt die CN-Reihe laterale Bewegungen innerhalb von Kubernetes sowie der restlichen Infrastruktur ein.

Grund Nr. 4: Zentrales Management für granulare Benutzerzugriffskontrolle
Um die Verwaltung aller Firewalls und Sicherheitsrichtlinien zu vereinfachen, kann Palo Alto Networks Panorama beispielsweise alle Firewall-Formfaktoren von einer einzigen Konsole aus verwalten. Anstatt Richtlinien in verschiedenen Umgebungen zu duplizieren, können Sicherheitsteams dieselbe erstklassige Sicherheit für jede Umgebung und ihre Workloads bereitstellen. So lässt sich ein einheitliches Richtlinienmodell auf das gesamte Ökosystem ausdehnen, um eine konsistente Anwenderüberprüfung und ein konsistentes Zugriffsregime zu gewährleisten.

Virtuelle Firewalls der VM-Reihe, die in öffentlichen und privaten Clouds eingesetzt werden, können zum Beispiel alle von derselben Panorama-Konsole aus verwaltet werden. So sind Sicherheitsteams in der Lage, für jede Umgebung und ihre Workloads dieselben erstklassigen Zero-Trust-Sicherheitsfunktionen bereitzustellen. Virtuelle Firewalls der VM-Reihe ermöglichen eine konsistente Richtliniendurchsetzung für Workloads in Multi-Cloud- und Hybrid-Umgebungen.

Grund Nr. 5: Automatisierung in dynamischen Umgebungen
Automatisierung und Skalierbarkeit reduzieren Zeit, Aufwand, Kosten und Fehler weiter. Wenn neue Workloads hochgefahren werden, können sie automatisch mit Sicherheitsrichtlinien geschützt werden, die auf ihren nativen Infrastruktur-Tags und Labels basieren. Und wenn der Datenverkehr in die Höhe schießt, können zusätzliche Firewalls in Minutenschnelle bereitgestellt werden, um den erhöhten Datenverkehr zu bewältigen und Anwendungen und Workloads zu schützen.

Darüber hinaus können virtuelle Firewalls automatisch Reaktionen auf erkannte Bedrohungen auslösen. In SDN-Umgebungen automatisiert die VM-Reihe die Reaktion auf Bedrohungen, indem sie VMware NSX oder Nutanix Flow über das Vorhandensein eines infizierten Workloads benachrichtigt, den NSX dann kennzeichnet. Die VM-Reihe verwendet das NSX-Tag, um eine Quarantäne-Richtlinie zu erzwingen und die Kommunikationsfähigkeit des Workloads zu unterbinden. Durch den Einsatz eines Tag-basierten Richtlinienmodells können Unternehmen ihre Sicherheitsregeln von statischen Attributen wie IP-Adressen abkoppeln. So lässt sich sicherstellen, dass ein neu erstellter und entsprechend gekennzeichneter Workload automatisch die richtige Sicherheitsrichtlinie erbt.

Grund Nr. 6: Zero Trust für Workloads
Unabhängig davon, wo sich Workloads befinden, ist die Firewall-Plattform vollständig auf Zero Trust ausgerichtet, sodass Workloads, Anwendungen und Daten kontinuierlich überprüft und bewertet werden. Datenexfiltration, Hijacking, Ransomware und die unzähligen laufenden Bedrohungen, denen hybride Workloads ausgesetzt sind, werden blockiert.

Diese sechs Gründe zeigen, wie Unternehmen eine solide Grundlage für die Implementierung von Zero Trust in ihrer gesamten Infrastruktur schaffen können. Sie stellen jedoch nur einige Aspekte einer unternehmensweiten Zero-Trust-Strategie dar, wie Palo Alto Networks betont.

dr

[1] www.paloaltonetworks.com