Meldung

Zero Trust über Workloads hinweg

Ein Zero-Trust-Ansatz ist am effektivsten, wenn er sich über alle Standorte und Umgebungen erstreckt, in denen Workloads auf verschiedene Anwendungen und Daten zurückgreifen. Aus diesem Grund unterstützt eine zeitgemäße Firewall-Plattform eine Zero-Trust-Architektur erheblich, indem sie die Netzwerksicherheit so nah wie möglich an die Workloads heranbringt. Wie dies gelingt und worauf es ankommt, erklärt Palo Alto Networks.
Firewalls haben auch in Zeiten flexibler Workloads nicht ausgedient, müssen jedoch technologisch schritthalten.
Die Konnektivität von Anwendungen hat zu einer Explosion des Datenverkehrs zwischen Workloads geführt, die sich in Rechenzentren sowie öffentlichen, privaten und hybriden Clouds befinden. Ebenso gibt es containerisierte Workloads, die schnell hoch- und wieder heruntergefahren werden müssen, um den unmittelbaren Anforderungen in schnelllebigen Umgebungen gerecht zu werden.

Kommen noch Anwendungen und Services von Drittanbietern hinzu, sind all diese mit der Zeit wachsenden Verbindungen zwischen Workloads komplex und schwierig zu verwalten. Ganz zu schweigen davon, dass sichergestellt werden muss, dass der Zugang nicht übermäßig offen bereitgestellt wird und nur die richtigen Benutzer und Systeme miteinander kommunizieren können.

Zero Trust muss Verbindungen berücksichtigen, die sich über verschiedene Infrastrukturtypen erstrecken, da der Datenverkehr häufig Umgebungen überquert. Ein Szenario wäre eine containerisierte Anwendung, gehostet in einer Public-Cloud-Umgebung. Die Anwendung ist beispielsweise mit einem gemeinsam genutzten Dienst verbunden, der auf einem Bare-Metal-Server in einem On-Prem-Rechenzentrum betrieben wird. Es fällt nicht schwer, sich vorzustellen, wie sich Angreifer zwischen den beiden Umgebungen bewegen könnten, indem sie eine Richtlinienlücke ausnutzen, die aus mangelnder Sichtbarkeit und Kontrolle in einem Teil der Umgebung resultiert, und sich dann auf die Suche nach anderen Workloads machen, die sie kompromittieren können.

Mit Blick auf diese ständig wachsende Interkonnektivität ergeben sich nach Meinung von Palo Alto Networks [1] sechs Gründe, warum Next-Generation-Firewalls (NGFWs) dazu beitragen, einen Zero-Trust-Ansatz auf Workload-Ebene umzusetzen.

Grund Nr. 1: Layer-7-Sichtbarkeit und Bedrohungsabwehr an jedem Ort
Ein Leitprinzip beim Design einer ML-gestützten Next-Generation-Firewall (NGFWs) ist es, die Sicherheit so nah wie möglich an den Workload zu bringen. Dieser Ansatz macht sich Softwarekonstrukte wie virtuelle Maschinen, Container und Kubernetes zunutze und hilft, zusätzlichen Kontext für die Erstellung und Verwaltung von Sicherheitsrichtlinien zu schaffen. Außerdem gewährleistet er die für einen Zero-Trust-Ansatz wichtige Layer-7-Transparenz und Bedrohungsabwehr für Workloads, unabhängig von deren Hosting-Umgebung.  Die Umgebung jedes Workloads wird mit dem passenden Firewall-Formfaktor geschützt, um Layer-7-Sichtbarkeit und Bedrohungsabwehr zu gewährleisten.

  • Die Hardware-NGFWs der PA-Reihe sind ideal für Workloads auf physischen Maschinen in On-Prem-Rechenzentren und Multi-Rechenzentrumsarchitekturen.
  • Virtuelle Firewalls der VM-Reihe sind für Workloads in virtualisierten Umgebungen konzipiert – Public Clouds, virtualisierte Rechenzentren und Software-Defined-Networking-Umgebungen (SDN).
  • Die Container-Firewalls der CN-Reihe sichern Kubernetes-Umgebungen und schützen den Datenverkehr, der die Grenzen des Kubernetes-Namensraums überquert.

Alle drei Firewall-Formfaktoren bieten den gleichen umfangreichen Satz an NGFW-Funktionen sowie tiefe Layer-7-Transparenz und Bedrohungsabwehr in jedem Teil einer Netzwerkinfrastruktur. Dies sichert den Datenverkehr zwischen Benutzern, Anwendungen und Diensten unabhängig davon, wo sich Workloads und Benutzer befinden.

Grund Nr. 2: Netzwerksegmentierung und Mikrosegmentierung

Während Netzwerk- und Mikrosegmentierung sicherlich die Angriffsfläche reduzieren, garantieren sie keine Sicherheit in komplexen Umgebungen. Zum einen wird die Kommunikation zwischen verschiedenen Workload-Typen, die sich in unterschiedlichen Vertrauenszonen befinden, immer häufiger, und auch die Vertrauenszonen selbst befinden sich in physischen, virtuellen und öffentlichen Cloud-Netzwerken.

Aus diesem Grund ist die Nutzung – und Erweiterung – von Netzwerk- und Mikrosegmentierung sowohl ein Grundpfeiler von Zero Trust als auch ein wesentlicher Bestandteil eines modernen Firewall-Designs. Die Firewalls können die Sicherheitsprovisionierung automatisieren, um Segmentierungsaufgaben zu vereinfachen. In internen Netzwerken können Unternehmen mithilfe von Software-Firewall-Formfaktoren Vertrauenszonen erzwingen, um ihre Netzwerke zu segmentieren, was die seitliche Ausbreitung von Bedrohungen verhindert.

Die Mikrosegmentierung geht noch einen Schritt weiter als die Segmentierung, um Workloads voneinander zu isolieren und individuell zu schützen. Aber was passiert bei Workloads in mikrosegmentierten Umgebungen, die miteinander kommunizieren müssen?

Moderne Firewalls bieten Sichtbarkeit und Schutz für den notwendigen erlaubten Verkehr zwischen Anwendungen und Diensten in mikrosegmentierten Umgebungen. Es gilt sicherzustellen, dass Angreifer diese erlaubten Verbindungen nicht ausnutzen können, um sich seitlich in einer Umgebung zu bewegen. Daher ist erweiterte Bedrohungsabwehr, wie etwa Intrusion Prevention, in jede Firewall integriert, um den Workload-Verkehr zu sichern, der sich zwischen vertrauenswürdigen Zonen bewegt, insbesondere Zonen mit unterschiedlichen Vertrauensstufen.

Grund Nr. 3: Seitliche Bewegungen zwischen Workloads einschränken
Die von der Next-Generation-Firewall durchgesetzten Grenzen für die Vertrauenswürdigkeit von Workloads rund um sensible Daten und Anwendungen tragen wesentlich dazu bei, dass sich Bedrohungen nicht beliebig innerhalb der Infrastruktur bewegen können. Dies ist für Zero Trust auf Workload-Ebene von entscheidender Bedeutung, denn sobald Angreifer die Sicherheitsgrenze durchbrochen haben, ist es wahrscheinlich, dass sie sich intern von kompromittierten physischen Maschinen, virtuellen Maschinen und Containern aus verbreiten.

Diese Art von "Ost-West"-Bewegung ist mit Protokollen und anderen traditionellen Sicherheitstools nur schwer in Echtzeit zu erkennen. Eine Erkennung ist auch nicht möglich mit unverbundenen Tools, die nicht in der Lage sind, unterschiedliche und miteinander verbundene Workloads zu überwachen und zu schützen.

Als Beispiel für diesen Schutz in Aktion verhält sich die Container-Firewall der CN-Reihe wie die anderen Firewalls von Palo Alto Networks, wenn sie Layer-7-Traffic-Schutz und fortschrittlichen Bedrohungsschutz in Kubernetes-Umgebungen einfügt. Ein Beispiel wäre die Sicherung der zulässigen Verbindungen zwischen zwei containerisierten Anwendungen unterschiedlicher Vertrauensstufen. Zum Schutz vor lateralen Bewegungen durch Sicherung des Datenverkehrs zwischen Pods und anderen Workload-Typen (wie virtuellen Maschinen oder sogar Bare-Metal-Servern) schränkt die CN-Reihe laterale Bewegungen innerhalb von Kubernetes sowie der restlichen Infrastruktur ein.

Grund Nr. 4: Zentrales Management für granulare Benutzerzugriffskontrolle
Um die Verwaltung aller Firewalls und Sicherheitsrichtlinien zu vereinfachen, kann Palo Alto Networks Panorama beispielsweise alle Firewall-Formfaktoren von einer einzigen Konsole aus verwalten. Anstatt Richtlinien in verschiedenen Umgebungen zu duplizieren, können Sicherheitsteams dieselbe erstklassige Sicherheit für jede Umgebung und ihre Workloads bereitstellen. So lässt sich ein einheitliches Richtlinienmodell auf das gesamte Ökosystem ausdehnen, um eine konsistente Anwenderüberprüfung und ein konsistentes Zugriffsregime zu gewährleisten.

Virtuelle Firewalls der VM-Reihe, die in öffentlichen und privaten Clouds eingesetzt werden, können zum Beispiel alle von derselben Panorama-Konsole aus verwaltet werden. So sind Sicherheitsteams in der Lage, für jede Umgebung und ihre Workloads dieselben erstklassigen Zero-Trust-Sicherheitsfunktionen bereitzustellen. Virtuelle Firewalls der VM-Reihe ermöglichen eine konsistente Richtliniendurchsetzung für Workloads in Multi-Cloud- und Hybrid-Umgebungen.

Grund Nr. 5: Automatisierung in dynamischen Umgebungen
Automatisierung und Skalierbarkeit reduzieren Zeit, Aufwand, Kosten und Fehler weiter. Wenn neue Workloads hochgefahren werden, können sie automatisch mit Sicherheitsrichtlinien geschützt werden, die auf ihren nativen Infrastruktur-Tags und Labels basieren. Und wenn der Datenverkehr in die Höhe schießt, können zusätzliche Firewalls in Minutenschnelle bereitgestellt werden, um den erhöhten Datenverkehr zu bewältigen und Anwendungen und Workloads zu schützen.

Darüber hinaus können virtuelle Firewalls automatisch Reaktionen auf erkannte Bedrohungen auslösen. In SDN-Umgebungen automatisiert die VM-Reihe die Reaktion auf Bedrohungen, indem sie VMware NSX oder Nutanix Flow über das Vorhandensein eines infizierten Workloads benachrichtigt, den NSX dann kennzeichnet. Die VM-Reihe verwendet das NSX-Tag, um eine Quarantäne-Richtlinie zu erzwingen und die Kommunikationsfähigkeit des Workloads zu unterbinden. Durch den Einsatz eines Tag-basierten Richtlinienmodells können Unternehmen ihre Sicherheitsregeln von statischen Attributen wie IP-Adressen abkoppeln. So lässt sich sicherstellen, dass ein neu erstellter und entsprechend gekennzeichneter Workload automatisch die richtige Sicherheitsrichtlinie erbt.

Grund Nr. 6: Zero Trust für Workloads
Unabhängig davon, wo sich Workloads befinden, ist die Firewall-Plattform vollständig auf Zero Trust ausgerichtet, sodass Workloads, Anwendungen und Daten kontinuierlich überprüft und bewertet werden. Datenexfiltration, Hijacking, Ransomware und die unzähligen laufenden Bedrohungen, denen hybride Workloads ausgesetzt sind, werden blockiert.

Diese sechs Gründe zeigen, wie Unternehmen eine solide Grundlage für die Implementierung von Zero Trust in ihrer gesamten Infrastruktur schaffen können. Sie stellen jedoch nur einige Aspekte einer unternehmensweiten Zero-Trust-Strategie dar, wie Palo Alto Networks betont.
12.04.2021/dr

Tipps & Tools

Download der Woche: SterJo NetStalker [5.05.2021]

Es gibt zahlreiche Maßnahmen, um die Sicherheit für Internet-Rechner zu fördern. Grundsätzlich gilt gerade für professionelle Anwender, dass sie zunächst wissen sollten, was auf dem PC nach außen geöffnet ist. Das kostenfreie Tool "NetStalker" hilft dabei, genau diese Details zu sehen und zu analysieren. Neben der Überwachung der Programme, die auf das Internet zugreifen, können Sie diese Verbindungen bei Bedarf auch blockieren. [mehr]

BITKOM kritisiert IT-Sicherheitsgesetz 2.0 scharf [4.05.2021]

Das kürzlich verabschiedete IT-Sicherheitsgesetz 2.0 stößt beim IT-Branchenverband auf überwiegend negative Resonanz. Es nehme Kollateralschäden in Kauf, kritisiert die BITKOM unter anderem. So bemängelt der Verband die Ausweitung des Kreises jener Unternehmen, die besonders hohe IT-Sicherheitsanforderungen erfüllen müssen. [mehr]

Fachartikel

Advertorial: E-Book OPNsense – Mehr als eine Firewall [30.04.2021]

Als leicht bedienbare Security-Plattform findet die Open Source Firewall OPNsense in immer mehr Unternehmen Anwendung. Aber OPNsense punktet nicht nur durch hohe Zugänglichkeit und den Wegfall von Lizenzkosten: Dank seines modularen Aufbaus integriert es die besten Open-Source-Sicherheitslösungen unter einer einheitlichen Oberfläche und überzeugt so mit einem Funktionsumfang, der viele kostenpflichtige Lösungen übertrifft. Im neuen E-Book "OPNsense – Mehr als eine Firewall" der Thomas-Krenn.AG und ihrem Partner m.a.x. it finden Sie alle Informationen zum Einstieg in OPNsense und für die Grundabsicherung eines Unternehmensnetzes. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen