AlgoSec: Firewalls in der Cloud orchestrieren

Eine der grundlegenden Sicherheitsmassnahmen in der Cloud ist die Implementierung von Firewalls. Firewalls schützen Netzwerke, indem sie den Datenverkehr filtern und den Zugriff auf Netzwerkressourcen einschränken. Die Firewall-Orchestrierung ist jedoch eine komplexe Aufgabe, insbesondere in der Cloud. Hier kommen Tools wie AlgoSec Firewall Analyzer (AFA) ins Spiel, um diese Aufgabe zu erleichtern.

Vielen dürften die Begriffe AlgoSec und Tufin ein Begriff sein, dieser Artikel fokussiert auf AlgoSec. Jedoch kann auch Tufin viele der Hersteller abdecken, die auch von AlgoSec unterstützt werden. Denjenigen, welchen AlgoSec oder Tufin bereits ein Begriff ist, sind bestimmt schon die gängigen Funktionen zum Einbinden von Firewalls und deren Analyse bekannt. Das funktioniert bei On-Premise sehr einfach, indem das Management (Check Point Smart Console, Palo Alto Panorama, Forti Manager etc.) AlgoSec angehängt wird und damit die darin verwalteten Firewalls analysiert werden können. Vorteil von diesen Managements ist, dass hier auch direkt die in der Cloud laufenden Firewalls eingebunden werden können. Was ist aber mit Firewalls, die kein dediziertes Management haben? Und die Clouds selbst?

In der Praxis sieht man nur sehr selten eine Einbindung von Firewalls aus der Cloud, welche auch wirklich «nur» als Cloud Firewalls zählen. Ich nehme hier mal Zscaler als Beispiel, denn seit Version A32.50 kann dies ebenfalls mit AFA eingebunden und in die Analyse eingeschlossen werden. Ja, die Anzeige der Policy ist noch nicht so übersichtlich, wie es bei anderen Firewalls der Fall ist. Es ist eher noch «zweckmässig».

Allerdings erfüllt diese Übersicht bereits ihren Zweck, die Analyse durchleuchtet wie gewohnt die Policy und stuft deren Risiken ein, zeigt nicht verwendete Rules, kann Changes dokumentieren uvm.

In den oberen Abschnitten haben wir uns um Firewalls in der Cloud gekümmert, was aber, wenn ich die Cloud selbst orchestrieren will? Ich möchte die Security Groups von AWS steuern oder Netzwerk-ACL? Ich kann AWS «direkt» an AlgoSec AFA anschliessen und so dessen Security Groups und ACLs überwachen und analysieren lassen. Dazu gebe ich lediglich den AWS Access Key für meine ID ein.

Die Sicherheit in Amazon Web Services funktioniert, wie die meisten öffentlichen Clouds, nach einem Modell der geteilten Zuständigkeit. AWS erklärt: «Wenn Sie Computersysteme und Daten in die Cloud verlagern, werden die Sicherheitsverantwortlichkeiten zwischen Ihnen und Ihrem Cloud-Service-Anbieter geteilt. In diesem Fall ist AWS für die Sicherung der zugrunde liegenden Infrastruktur verantwortlich, die die Cloud unterstützt, und Sie sind für alles verantwortlich, was Sie in die Cloud stellen oder mit der Cloud verbinden.»

Kann ich dies also mit AlgoSec überwachen und bewerten lassen, spare ich es mir zum Teil, mir Gedanken über meine Hälfte der Verantwortung zu machen.

Ich gehe hier nicht weiter ins Detail. Es könnte für einen zweiten technischeren Teil interessant sein😉

Nicht Orchestrierung in der Cloud, sondern aus der Cloud. Will heissen: Ich deploye den AlgoSec AFA in Azure oder AWS. Natürlich besteht auch diese Möglichkeit.

Dazu gehe ich in die Download-Sektion von AlgoSec, wähle «AWS Amazon Machine Image (AMI)» und gebe meine Daten ein.

AlgoSec «schickt» das Image an AWS, von wo wir das AMI deployen können.

Mit Orchestrierung in der Cloud oder aus der Cloud lassen sich viele weitere Use Cases abdecken und besonders die Möglichkeit, auch die Security Groups und damit die VPC(s) zu überwachen, bietet einen brauchbaren Mehrwert.

Trotz der vielen Vorteile von AlgoSec Firewall Analyzer und deren Cloud-Funktionen gibt es auch einige Aspekte, die kritisch hinterfragt werden sollten. Eine dieser Fragen betrifft die Integration mit anderen Sicherheitstools und -lösungen. Obwohl AlgoSec Firewall Analyzer eine umfassende Firewall-Orchestrierungslösung ist, ist es kein Alleskönner. Es ist wichtig sicherzustellen, dass das Tool in das vorhandene Sicherheitsökosystem integriert werden kann und sich nahtlos mit anderen Lösungen wie SIEM-Systemen und Netzwerk-Monitoring-Tools integrieren lässt. Zudem muss an dieser Stelle erwähnt sein, dass eine Integration in Google Cloud zum jetzigen Zeitpunkt nicht möglich ist.

Zusammenfassend kann gesagt werden, dass AlgoSec Firewall Analyzer ein leistungsstarkes Tool für die Firewall-Orchestrierung in der Cloud ist. Es bietet eine umfassende Sicht auf die Firewall-Regeln, Automatisierung von Änderungen und Compliance-Unterstützung. Trotzdem sollte sorgfältig die Prüfung, ob die Integration in das bestehende Sicherheitsökosystem möglich ist, nicht vernachlässigt werden.