Firewalls en de cloud
Laatst hoorde ik iemand zeggen dat firewalls op locatie het veld zullen ruimen voor firewalls in de cloud. Dat klonk nogal onwaarschijnlijk, maar het deed me wel afvragen of er waarheid in deze bewering schuilt. Firewalls zullen altijd nodig blijven. Het zijn immers de enige apparaten die in staat zijn om het applicatie- en gegevensverkeer te analyseren en te inspecteren. De vraag is echter wel welke invloed de cloud op firewalls zal uitoefenen.
Om een antwoord op deze vraag te kunnen geven, moeten we teruggaan naar het verleden.Tien jaar geleden bestonden de eerste architecturen voor beveiliging aan de netwerkrand uit een zogeheten 'fast packet processor' (de firewall) en een reeks servers die al het inkomende en uitgaande verkeer scanden. Iedere server had daarbij een specifieke taak, zoals het detecteren van spyware of het scannen op virussen. De servers waren afkomstig van verschillende leveranciers en werden afzonderlijk beheerd. Zij waren stuk voor stuk de beste in hun soort en louter vanuit het perspectief van de netwerkprestaties was dit een ideale oplossing. Deze aanpak resulteerde echter in een uiterst complexe infrastructuur die uit verschillende componenten was opgebouwd en daarmee moeilijk te beheren was.
Compromissen
Vervolgens trad er een verschuiving op. In plaats van gebruik te maken van de beste componenten in hun soort, ging men over op een 'unified threat management' (UTM)-architectuur. Deze trend werd voor een belangrijk deel veroorzaakt door een aantal goedbedoelende analisten die op zoek waren naar een oplossing voor implementatieproblemen. UTM liep echter op een mislukking uit. Het was simpelweg niet mogelijk dat één apparaat alle taken op zich nam en bescherming kon bieden tegen alle mogelijke bedreigingen. Zo boden de antivirus-engines in UTM-apparaten slechts beperkte mogelijkheden in vergelijking met standalone antivirusproducten. De implementatie van een firewall resulteerde hierdoor per definitie in een compromis ten aanzien van de beveiliging.
Een andere uitdaging waar firewalls de afgelopen jaren mee te maken kregen, zijn de reusachtige gegevensvolumes die ze moeten verwerken. De hardware kan het tempo van de gegevensgroei niet bijbenen, een probleem dat wordt veroorzaakt door de beschikbaarheid van bandbreedte. Er bestaat namelijk niet zoiets als ongebruikte netwerkbandbreedte. Als we meer bandbreedte aanleveren, zal deze direct worden gebruikt. Dit maakt het probleem er alleen maar groter op. Al dit real-time gegevensverkeer legde een enorme druk op de analysecapaciteit van firewalls. In een ideale situatie zou de veiligste oplossing zijn dat de firewalls het verkeer stopzetten, analyseren en vervolgens zijn weg laten hervatten. Dit zorgt echter voor vertragingen en is daarom geen praktische oplossing. Eindgebruikers willen simpelweg niet op een dergelijke manier werken. Vanuit beveiligingsoogpunt is dit echter precies wat ICT-afdelingen graag van een firewall zouden willen zien.
Firewalls en de cloud
De belangrijkste uitdaging voor firewalls is dus om het sterk toegenomen gegevensverkeer op een snelle manier te verwerken zonder daarvoor de beveiliging op te offeren. De zoektocht naar een betere strategie viel gelukkigerwijze samen met de opkomst van cloud computing.
De cloud biedt een oplossing voor het prestatievraagstuk door de asynchrone workload weg te halen bij de netwerkrand en door te leiden naar contentfilters in de cloud. De firewall-infrastructuur binnen zakelijke omgevingen wordt hierdoor uiterst schaalbaar, omdat er in de cloud vrijwel onbeperkte rekenkracht beschikbaar is. Vanuit beheerperspectief verandert er niets ten opzichte van de UTM-aanpak . Beheerders kunnen gebruik blijven maken van één console om alle firewalls op locatie te beheren zoals dat ook gebeurde bij fast packet processing. Via datzelfde console kunnen zij ook de contentfilters in de cloud beheren.
Nieuwe architecturen
Bedrijven kunnen een beroep doen op schaalbare rekenkracht in de cloud ter ondersteuning van de asynchrone, CPU-intensieve contentfiltering die onderdeel vormt van de functionaliteit van een firewall. Op deze manier kunnen ze hun omgeving voor fast packet processing sterk vereenvoudigen en beter voorspelbaar maken. Ook vanuit kostenperspectief biedt dit voordelen: cloud-gebaseerde scantechnologie is namelijk veel efficiënter en goedkoper dan de bestaande firewall-architecturen.
Wat de cloud gebruikers te bieden heeft, is dus een ‘separation of duty’-architectuur waarbij taken worden gescheiden zonder de kosten die daar normaliter bij komen kijken. Uiteindelijk zal dit leiden tot sterk verbeterde firewalls en een oplossing voor het 15 jaar oude dilemma van het selecteren van de juiste firewalls voor de beveiliging van de netwerkrand.
Veranderende vragen
In een private cloud of een eenvoudige gesloten ICT-architectuur worden de volgende basisvragen aan de firewall gesteld:
– 'Blokkeert de firewall deze aanvallen?'
– Beperkt de firewall de toegang tot bepaalde typen systemen?
– Kan de firewall de toegang tot de buitenwereld beperken?
In het huidige ICT-landschap is de cloud een vreemde eend in de bijt. Hij is zowel intern als extern en omdat onderdelen van de bedrijfsgegevens en –applicaties zich nu ergens buiten de organisatie bevinden, veranderen ook de vragen die aan firewalls worden gesteld. De vragen die in de wereld van applicaties en interne datacenters oorspronkelijk werden gesteld aan application delivery controllers, worden nu aan firewalls gesteld.
Deze nieuwe vragen zijn onder meer:
– Kan de firewall de toegang tot die specifieke applicatie versnellen?
– Kan de firewall prioriteit geven aan het verkeer van een gebruikersgroep voor bepaalde gegevens?
– Kan de firewall toegang tot die specifieke gegevens verlenen?
Opeens raakt de firewall op tal van manieren bij allerhande bedrijfsprocessen betrokken. Veel firewalls zijn daar echter niet op voorbereid.
Middelpunt
De meeste leveranciers van firewalls proberen een oplossing te vinden voor het vraagstuk van wat er moet worden geblokkeerd. De moderne firewall is echter geen apparaat dat malware en cybercriminelen blokkeert of scheidt van het gecontroleerde deel van het netwerk. Vanuit het perspectief van de applicatie-architectuur vormt de firewall het middelpunt van alle bedrijfsprocessen.
De hamvraag is dan ook of een firewall een positieve bijdrage kan leveren aan de toegang tot applicaties en bedrijfsgegevens. De traditionele functie van een firewall is om hindernissen op te werpen voor 'slechteriken'. Het nadeel van deze aanpak is dat dit ook problemen oplevert voor de normale gebruikers. Iedereen kent wel het excuus van beveiligingsmanagers: ‘Sorry, maar we zijn even uit de lucht omwille van beveiligingsredenen’. Organisaties en hun eindgebruikers accepteren dit soort excuus echter steeds minder.
Veel mensen denken dat technologie voor het detecteren van applicaties voornamelijk wordt ingezet voor het blokkeren van kwaadaardige applicaties. De waarheid is echter dat deze functionaliteit vooral wordt gebruikt om applicaties te identificeren, zodat de toegang van eindgebruikers tot deze applicaties op prioriteit kan worden ingedeeld. Bij SAP-applicaties kan bijvoorbeeld gebruik worden gemaakt van WAN-optimalisatietechnieken om de toegang tot bepaalde onderdelen van het netwerk te versnellen voor de bestandsuitwisseling. Dit is in veel gevallen de belangrijkste reden voor het gebruik van applicatiedetectie.
‘Firewall plus cloud’
Bovenstaand geeft stof tot nadenken. Voorop staat echter dat cloud een aantal beperkingen van de traditionele firewall of UTM-oplossing, zoals de performance van applicaties, kan wegnemen. De combinatie ‘firewall plus cloud’ brengt voor IT- en security-managers de voordelen samen van UTM zonder dat het ten koste gaat van beveiligingsniveaus.
Ook met de komst van cloud zal de firewall een belangrijke rol blijven spelen bij het stroomlijnen van bedrijfsprocessen en het beveiligen van zakelijke gegevens en –applicaties. Nu functionaliteiten zoals applicatiedetectie en het prioriteren van datastromen steeds vaker samensmelten met security, zijn IT-managers beter in staat om de voordelen van cloud ten aanzien van beschikbaarheid en schaalbaarheid effectief te benutten.
door Wieland Alge, vice president en directeur EMEA bij Barracuda Networks