valentint - Fotolia

Drei wichtige Faktoren für die Wahl einer Next-Generation Firewall

Es gibt drei wichtige strategische Faktoren, die IT-Manager unbedingt abwägen müssen, bevor sie sich für eine Next-Generation Firewall entscheiden.

Dieser Artikel behandelt

Firewalls

Da die heutigen IT-Bedrohungen immer ausgefeilter werden, suchen Unternehmen immer mehr nach einer umfassenden Security-Architektur, die effiziente, proaktive und leistungsstarke Security-Produkte vereint. Die gleichgültige Einstellung des „Wir hatten noch nie einen Sicherheitsverstoß“ oder „Wir sind sicher kein großes Angriffsziel“ verschwindet immer mehr. Es gibt allerdings eine Menge an Security-Produkten, die zwar effizient zu sein scheinen, die allerdings architektonisch unzusammenhängend und reaktiv sind.

Die Integration einzelner Produkte in die Architektur wird oft forciert, damit diese punktuellen Lösungen zusammenarbeiten. Darüber hinaus sind sie eher reaktive und taktische Produkte anstatt proaktiver und strategischer Lösungen. IT-Infrastrukturen und Netzwerke sind über die Zeit immer komplexer geworden und verfügen über Datenperimeter und -standorte, die – insbesondere wegen der Cloud-Technologien – nicht mehr deutlich gekennzeichnet sind.

Next-Generation Firewalls (NGFWs) sind gute ergänzende Security-Produkte, die sicher keine Alleskönnerlösung sind, dafür aber diese Probleme gut adressieren. Trotzdem eignen sich NGFWs nicht für jedes Unternehmen. Bevor man sich dazu entscheidet, diese Technologie zu implementieren, sollte man feststellen, ob sich die Investition einer integrierten NGFW rechtfertigen lässt, ob sie sich in die bestehende IT-Strategie einfügt und ob sie eine gute Total Cost of Ownership (TCO) mitbringt.

Ist die Investition zu rechtfertigen?

Für einige Unternehmen reicht es aus, traditionelle Firewalls, Intrusion Prevention Systems (IPS) und unterstützende Router und Switches zum Schutz ihrer Umgebung einzusetzen. Die Services einer Basis-Firewall regulieren die Netzwerkverbindungen zwischen Computersystemen mit unterschiedlichen Vertrauensniveaus.

Allerdings reicht dieser Grad an Sicherheit nicht jeder Firma heutzutage. Unternehmen müssen herausfinden, ob eine traditionelle Firewall eine adäquate Lösung darstellt oder ob eine Kombination einzelner punktueller Security-Produkte eine bessere Wahl ist oder ob eben doch eine NGFW eher in Frage kommt.

Die Erfahrung hat gezeigt, dass die meisten Firmen mindestens Firewalls, IPS, Anitvirus-Software, Malware-Schutz, Threat Intelligence und kabellose Security-Funktionalitäten benötigen. NGFWs decken diese Anforderungen und mehr oftmals ohne Probleme ab. Entscheidet sich ein Unternehmen hingegen dazu, einzelne Produkte für jede Security-Technologie einzusetzen, so müssen die individuellen Kosten, die Wartung und die Schutzmechanismen der Herausforderung, jedes einzelne Produkt zu unterstützen, gegenübergestellt werden. Dazu gehören unter anderem der Integrationsaufwand, Training, Monitoring und Reporting sowie Quality of Service (QoS), um sicherzustellen, dass der gewünschte Grad an Sicherheit mit jedem einzelnen Produkt und mit allen zusammen erreicht wird.

Darüber hinaus sollten sich Firmen ihre Netzwerkarchitektur, Bedrohungsvektoren und ihre Risikobereitschaft näher betrachten, um zu identifizieren, ob einzelne Produkte oder NGFWs der beste Lösungsansatz sind. Anders als bei punktuellen Produkten, bieten NGFWs eine einzige Architektur, ein Management und nur einen Hersteller, was mehr Flexibilität bei der Bereitstellung von verschiedenen Schutzniveaus sowie von übersichtlichen Reportings und eine Kostenreduktion zulässt. Letzteres entsteht einfach dadurch, dass man nur ein Produkt eines Herstellers erwirbt und nicht verschiedene Services zu unterschiedlichen Preisen einkauft.

Ein Fakt wird häufig bei der Implementierung von NGFWs übersehen: der hohe Aufwand, den ein integriertes Netzwerk-Security-Produkt erfordert, zumindest zu Beginn der Installation. Die Migration bedarf oft hoher Aufwendungen und architektonischer Umstrukturierung. Für einige Firmen mag dieser Aufwand die Vorteile der Lösung überwiegen, erst recht, wenn die Investition der bestehenden Security-Produkte bereits hoch war.

Trotzdem kann der Wechsel zu NGFW signifikante Einsparungen über einen längeren Zeitraum mit sich bringen, nicht nur finanziell, sondern auch zeitlich, verwaltungstechnisch und beim Support. Da die NGFWs integrierte Lösungen sind, können sie effizienter sein, da die Security-Services für ein nahtloses Zusammenspiel untereinander konzipiert, getestet und ausgelegt wurden. Zu diesen Services gehören unter anderem IPS, Deep Packet Inspection, Applikationskontrollen, VPN, SSL und kabellose Mobile Security.

Obwohl langfristig Einsparungen zu erreichen sind und die Wirksamkeit integrierter Security-Lösungen unbestritten ist, hängt die Entscheidung für einen Wechsel zu NGFWs davon ab, wie viel Aufwand man treiben kann und welche Ressourcen zur Verfügung stehen.

Passt die NGFW in die bestehende IT-Strategie?

Anwender, die NGFWs implementieren, stellen oft fest, dass sie nicht alle Funktionen der Appliance benötigen. Welche Funktionen eine Firma wirklich braucht, sollte bereits im Vorfeld bestimmt werden, da dies den Kauf der NGFW und die Services, die installiert werden, beeinflusst.

Einige NGFWs verfügen über alle Security-Funktionen in einer Appliance ohne Zusatzkosten. Die Erfahrung zeigt, dass Unternehmen oftmals nicht alle Funktionen aktivieren. Das liegt daran, dass sie nicht alle Funktionen für nötig halten oder weil diese nicht ins Geschäftsmodell passen. Darüber hinaus gibt es NGFWs, die zwar alle Security-Services umfassen, diese aber über eine Gebühr freigeschaltet werden können – der Kunde kann also gezielt auswählen und zahlt nur für die Funktionen, die er nutzt.

Zu den NGFW-Funktionen, die nicht jeder benötigt, die aber genutzt werden können, gehören unter anderem Active-Directory-Integration, Data Loss Prevention (DLP), Multifaktor-Authentifizierung, Applikationskontrolle, QoS, Mobile Security, SSL, VPN und Threat Intelligence.

Ist das Unternehmen bereit, eine NGFW zu erwerben?

Will man eine NGFW erwerben, sollte die IT-Security-Strategie an das Geschäftsmodell angepasst sein. Ein Beispiel:

  • Große Retail-Firmen nutzen wahrscheinlich ein NGFW-Produkt am Hauptstandort, setzen aber in den Filialen punktuelle Produkte ein, unabhängig ob vom gleichen Hersteller oder nicht.
  • Online-Retail-Unternehmen, die keine physischen Standorte haben, benötigen in der Regel robuste und integrierte Netzwerksicherheitslösungen, die auf QoS, Load Balancing, IPS, Web Application Security, SSL, VPN und starke Firewalls mit Deep Packet Inspection fokussieren.
  • Unternehmen, die über Standards stark reguliert werden (PCI, HIPAA, HITECH Act, Sarbanes-Oxley, FISMA, PERC) müssen darüber hinaus Remote Access Controls, Zweifaktoren-Authentifizierung, Active-Directory-Integration und DLP adressieren.

Egal welche Security-Entscheidung der IT-Manager trifft, sie muss sich mit den strategischen Zielen der Firma integrieren lassen. IT sollte das Geschäft unterstützen, es aber nicht treiben. Das Geschäft muss sich selbst vorantreiben. Die IT ist dafür da, eine Infrastruktur zur Verfügung zu stellen, mit der sich strategische Geschäftsziele erreichen lassen. Wenn IT das Unternehmen schützen soll – ob als NGFW oder eine Kombination an Produkten – so muss hier eine Balance bestehen, die den Mitarbeitern erlaubt, ihre Arbeit zu tun.

Was ist die Total Cost of Ownership?

Die State of the Network Study 2014 der Network World fand heraus, dass 54 Prozent der Geschäftsziele und 55 Prozent der Technologieziele die Verringerung von Prozessen und die Reduzierung der IT-Kosten umfasste. Dies sollte durch Konsolidierung beziehungsweise Vereinfachung erreicht werden. Zu den restlichen Technologiezielen zählten: verbesserte Security und optimiertes Risikomanagement (50 Prozent), Verbesserung der Produktivität (43 Prozent) sowie optimierte Mobilität (BYOD-Programme, Consumer-Technologien; 40 Prozent).

Was sich über Jahre in dieser Studie nicht veränderte, war das oberste Geschäftsziel. Unternehmen wollen beständig die IT-Betriebskosten durch Konsolidierung und Vereinfachung verringern. Deswegen besteht ein großer Trend in Richtung integrierter Services, wie zum Beispiel Colocation- und Managed Services. Das ist ebenso bei der Implementierung integrierter Security-Technologien wie der NGFWs zu beobachten.

Bei NGFWs umfasst der TCO die Kosten für den Kauf und die Implementierung sowie die Betriebskosten. Die TCO bei NGFWs berücksichtigt nicht nur den Kaufpreis, sondern auch Ausgaben, die durch den Einsatz, die Wartung, den Support und den Betrieb entstehen. Eine NGFW, die zunächst vom Kaufpreis her als Schnäppchen erscheint, kann einen höheren TCO haben als andere NGFWs oder als eine Kombination an einzelnen Produkten.

Flexible und einfach zu bedienende Security-Produkte mit zahlreichen Funktionen gewährleisten generell gute Ergebnisse zu einem annehmbaren Preis. Oft muss man dafür aber mehr Zeit in Kauf nehmen – weniger um die Bedienungsanleitung zu studieren, als vielmehr NGFW anzupassen. Dies ist Zeit, die wiederum an anderer Stelle fehlen könnte.

Ein weiterer Faktor für die TCO einer NGFW ist die Zeit, die man für False Positives aufbringen muss. False Postives sind das Resultat pauschaler Policys, die bei der Implementierung eingerichtet wurden. Diese verschwinden allerdings im Laufe der Zeit, wenn der Administrator die NGFW-Policys optimiert.

Fazit

Bevor man eine NGFW erwirbt, müssen die Risikobereitschaft, Bedrohungsfaktoren und das Geschäftsmodell evaluiert werden. Ist der Einsatz einer NGFW die richtige Option für das Unternehmen, so muss sichergestellt werden, dass der Betriebs- und Implementierungsplan

  1. eine integrierte statt einer einzelnen Lösung rechtfertigt,
  2. sich an die Geschäftsstrategien anpassen lässt,
  3. eine TCO erhält, die Zeit, Aufwand und Kosten wert ist.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Februar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Firewalls

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close