Azure Firewalls

Zum Schutz vor den zunehmenden Cyberbedrohungen wird Kunden von Azure empfohlen, eine Firewall zu installieren. Verschiedene Arten von Azure Firewalls übernehmen in der Microsoft-Cloud zwar unterschiedliche Funktionen, sie fungieren insgesamt aber vornehmlich als Überwachungsinstanz für Interaktionen zwischen einem vorgegebenen Bereich der öffentlichen Cloud und dem Rest des Internets. Diese Firewalls filtern Pakete und Anfragen und können so Schadsoftware abwehren und verhindern, dass diese auf Anwendungen, Daten oder sogar das Netzwerk selbst zugreifen kann. Auf Microsoft Azure Marketplace stehen Firewalls zum Verkauf, die sich im Allgemeinen zwei Kategorien zuordnen lassen: Web Application Firewalls und Netzwerk-Firewalls. Microsoft Azure ist eine öffentliche Cloud-Service-Plattform, die eine umfassende Auswahl an Betriebssystemen, Programmiersprachen, Frameworks, Tools, Datenbanken und Geräten unterstützt. Wie andere Cloud-Bereitstellungen verwendet Azure ein Modell der gemeinsamen Sicherheit, das am besten im Whitepaper Gemeinsame Verantwortung im Cloud-Computing von Microsoft erläutert wird. Kurz gefasst, ist Microsoft für die Sicherheit der Infrastruktur verantwortlich die für die Wartung der Cloud zuständig ist, während die Kunden für ihre eigenen Daten und Anwendungen verantwortlich sind, die die Infrastruktur nutzen. Diese Verantwortung für das eigene digitale Eigentum bedeutet, dass Kunden zusätzliche Schritte unternehmen müssen, um ihre Daten, Anwendungen und Netzwerke zu schützen.

Azure Web Application Firewalls

Die Installation einer Web Application Firewall ist eine wichtige Maßnahme -im Übrigen für jedes Unternehmen und jede Einzelperson-, um Anwendungen in Azure zu schützen. Cloud-WAFs werden vor eine Webanwendung gesetzt. Sie überwachen sämtliche Interaktionen mit dem Internet. Pakete von Benutzern oder auch von anderen Anwendungen werden gefiltert, sodass Schadsoftware die Anwendung selbst nicht erreichen kann. Microsoft Azure hat aktuell seine eigene native Firewall. Die meisten Unternehmen wenden sich jedoch eher Web Application Firewalls von Dritten zu, da sie Funktionen bieten, die besser auf die eigenen Anforderungen zugeschnitten sind.

Eine leistungsstarke und robuste Web Application Firewall sollte die folgenden Funktionen mitbringen:

• Datenverkehr-Filterung: Datenverkehr-Filterung ist einer der praktischsten und wichtigsten von einer Web Application Firewall ausgeführten Vorgänge. Durch Datenverkehr-Filterung basierend auf Faktoren wie HTTP-Headern, Schlüsselwörtern, IP-Adressen und sogar URI-Strings können Web Application Firewalls schädliche Interaktionen verhindern, bevor sie eine Anwendung erreichen.
• Skriptschutz: Da immer mehr Anwendungen in die Public Cloud verlagert werden, finden Cyberkriminelle einfachere Möglichkeiten, ihre Angriffe auf eine größere Bandbreite von Zielen zu automatisieren. Durch die Generierung von Tools oder Skripten, die anfällige Anwendungen kontinuierlich testen und angreifen, können sie ihr Netz viel weiter über die Tausenden von Anwendungen auswerfen, die in der Azure Public Cloud ausgeführt werden. Während Angriffe wie SQL-Injection oder Cross-Site-Scripting personalisiert werden können, wenn Schwachstellen gefunden werden, werden sie häufig zufällig über das Internet gesendet, um nach ungeschützten Anwendungen zu suchen. Eine Web Application Firewall sollte zumindest ohne Weiteres vor diesen nicht personalisierten Angriffsskripten schützen.
• API-Schutz und Sicherheit: Cloud-basierte Anwendungen sind heutzutage Standard. Das bedeutet, dass APIs für fast jede Anwendung erforderlich sind, um Interaktionen zu ermöglichen. Eine fähige WAF sollte in der Lage sein, Ihre Azure Applikation-APIs vor allen Arten von API-basierten Angriffen wie API-Farming oder -Scraping zu schützen.
• Sichere Bereitstellung: Moderne WAF-Lösungen können sicherstellen, dass Ihre Anwendung sicher über HTTPS übertragen wird. Die Bereitstellung einer HTTPS-Anwendung ist für die meisten modernen Services obligatorisch – niemand möchte, dass die eigenen Daten offengelegt werden, wenn es sich vermeiden lässt.
• Benutzerdefinierte Regelsätze: WAFs beginnen mit der Verwendung eines CRS- oder Core-Regelsatzes. Während ein CRS (und davon es gibt mehrere Versionen) vor den meisten OWASP Top-10-Angriffen und anderen Bedrohungen schützt, finden viele Unternehmen, dass sie zusätzlich zu CRS spezifische benutzerdefinierte Regeln benötigen (oder bereits entwickelt haben), die im Allgemeinen auf bestimmte Anwendungen und Benutzergruppen zugeschnitten sind. Um diese Anwendungen in der Cloud bereitzustellen, werden diese Unternehmen ihre benutzerdefinierten Regelsätze replizieren wollen. Das können WAFs, die nur CRS anbieten, nicht leisten.

Azure Network Firewalls

Netzwerk-Firewalls in Azure sind das aufs Netzwerk bezogene Äquivalent zu Anwendungsfokus und -schutz – also praktisch das, was Web Application Firewalls bieten. Unternehmen, die Azure für geschäftsnotwendige Anwendungen einsetzen oder um Benutzern einen sicheren Fernzugriff auf diese Anwendungen bereitzustellen, implementieren eine Netzwerk-Firewall. Eine echte Azure-Netzwerk-Firewall sollte alle integrierten Azure-Funktionen wirksam einsetzen und ein Lizenzmodell bieten, das für jede Organisation geeignet ist, damit sie jeweils nur für den Schutz bezahlt, den sie auch braucht. Darüber hinaus sollte sie sich in die gesamte Suite aus Management-, Monitoring- und Automatisierungsfunktionen einbinden lassen, die in die öffentlichen Cloud-Infrastrukturen von Azure integriert sind.

Eine standardmäßige Azure-Netzwerk-Firewall sollte die folgenden Funktionen mitbringen:

• Identitäts- und Zugriffsmanagement (IAM): Wie bei jedem Cloud-Sicherheitssystem sind sichere Authentifizierung und Zugriffsmanagement entscheidend, um den Zugriff auf das Netzwerk einzuschränken. Ohne Identitätsmanagement könnten sich Cyberkriminelle als gültige Benutzer ausgeben und Zugriff auf sensible Daten oder Anwendungen erhalten.
• Schutz von Zugangspunkten: Die Nutzung der öffentlichen Cloud bedeutet, dass es häufig viele Zugangspunkte für Benutzer gibt, die mit dem Netzwerk interagieren. Aus diesem Grund ist es wichtig, einen sicheren Netzwerkrand zur Überwachung des Datenverkehr zu haben, der in das Netzwerk einzudringen versucht. Ohne angemessenen Schutz können diese Zugangspunkte kompromittiert werden, sehr häufig sogar unbemerkt.
• Modulares Wirtschaftsmodell: Wie bei den meisten modernen SaaS-Produkten ist es wichtig, dass es mehrere verfügbare Lizenzoptionen gibt, die Flexibilität für verschiedene Organisationen mit unterschiedlichen Anforderungen ermöglichen. Eine Skalierung basierend auf dem Netzwerkdatenverkehr ermöglicht Ihnen, nur für den Datenverkehr zu bezahlen, den Sie nutzen. Diese Zahlungs-Granularität bedeutet, dass sich kleine Unternehmen auf dieselben Funktionen verlassen können wie große Unternehmen.
• Hohe Verfügbarkeit: Die von Ihnen gewählte Firewall sollte in der Lage sein, eine große Anzahl von Serverinstanzen über mehrere Regionen hinweg bereitzustellen und gleichzeitig einen hohen Leistungsstandard beizubehalten. Einer der Vorteile eines Cloud-Services wie Azure besteht darin, dass Sie Zugang auf Rechenzentren auf der ganzen Welt haben. Wenn die Netzwerksicherheit nicht gewährleistet oder überlastet wird, ist dieser geografische Vorteil nicht mehr relevant.
• VPN-Unterstützung: Einer der Vorzüge von Cloud-Plattformen besteht darin, dass Mitarbeiter von mehreren Geräten aus auf Daten zugreifen können, sowohl vor Ort als auch – was noch wichtiger ist – wenn sie remote arbeiten. Eine effektive Azure-Netzwerk-Firewall sollte in der Lage sein, sich direkt in VPNs zu integrieren und Benutzern mit jedem Gerätetyp einen optimierten und sicheren Zugang zu Cloud-Ressourcen zu bieten.
• SD-WAN-Funktionen: SD-WAN ist zu einem Muss für Organisationen geworden, da es bei richtigem Einsatz anstelle der herkömmlichen MPLS-Infrastruktur enorme Kosteneinsparungen ermöglicht. Viele moderne Netzwerk-Firewalls bieten integrierte SD-WAN-Funktionen. So haben Sie die Netzwerksicherheit herkömmlicher Netzwerk-Firewalls mit der Möglichkeit, den Datenverkehr kostengünstig über ein erweitertes Netzwerk zu leiten.
• Virtueller WAN Support: Microsoft Azure verfügt über Rechenzentren an vielen Standorten weltweit und bietet eine überzeugende Funktion, diese Rechenzentren als virtuelles WAN zu nutzen. Dies wird zu einem erweiterten Netzwerk, ähnlich wie SW-WAN, benötigt aber auch einen ähnlichen Netzwerk-Firewall-Schutz. Eine effektive Azure-Netzwerk-Firewall sollte virtuell WAN-fähig sein und über eine optimierte Integration verfügen.

Cloud-Dienste sind für die Internet-Infrastruktur und Speicherung von grundlegender Bedeutung. Dies erfordert robuste Sicherheitslösungen, bei denen Bedienbarkeit und Zuverlässigkeit im Vordergrund stehen. Für Microsoft Azure entwickelte Firewall-Dienste bieten Unternehmen, die ihre Daten und Anwendungen schützen möchten, Sicherheit und Support - insbesondere jenen Unternehmen, die keine speziellen Anforderungen haben.