Firewall-Optionen bei AWS für Sicherheit bei Cloud-Netzwerken

Firmen, die auf Cloud-Sicherheit Wert legen, sollten Amazons native, funktionell eingeschränkte AWS-Firewall mit externen Lösungen ergänzen.

Firewalls sind eine entscheidende Komponente der Netzwerksicherheit – und als Reaktion auf die stets neuen Bedrohungen für Organisationen werden sie immer raffinierter und leistungsfähiger. Die neueren Modelle sind in der Lage, das Verhalten von Netzwerk-Traffic, Protokolle und Daten der Anwendungsschicht zu analysieren. Wenn sie allerdings Ressourcen in die Amazon-Cloud verlagern, könnten Organisationen feststellen, dass dort nicht dieselbe Anzahl und Typenvielfalt an Firewalls zur Verfügung steht. In diesem Artikel beschäftigen wir uns mit der bei AWS integrierten Firewall sowie mit Optionen für Sicherheit in Cloud-Netzwerken von Dritten und aus dem Open-Source-Bereich.

Die AWS-Firewall

Die eingebaute AWS-Firewall lässt für Sicherheitsprofis viel zu wünschen übrig. Um innerhalb von EC2 Firewall-Regeln zu erstellen, können Kunden "Security Groups" anlegen. Diese Gruppen stehen für Firewall-Regelsätze, die auf EC2-Instanzen angewendet werden können. Dabei können jeweils nur Regeln für eingehenden Verkehr definiert werden. Kunden der Amazon-Dienste im Rahmen von Virtual Private Cloud (VPC) können auch Regeln für ausgehende Daten vorgeben, doch die Kosten bei VPC sind höher.

Hinsichtlich Paketanalysen filtert die AWS-Firewall alle Pakete mit gesetzten IP-Optionen, bietet Grundfunktionen für fragmentierte Pakete (lässt aber unübliche Fragmente durch, die von Angreifern oft zur Umgehung von Systemen für Intrusion Detection geschickt werden) und übernimmt eine einfache Stateful-Filterung. Allerdings gibt es für keine der Regeln irgendwelche Logging-Funktionen, was eine erhebliche Schwäche darstellt. Die meisten Netzwerk- und Sicherheitsteams werden solche Logs für Intrusion Detection und Analysen benötigen, entweder einzeln oder zur Verwendung in Werkzeugen zur Behandlung von Sicherheitsvorfällen. In manchen Szenarien könnte die Amazon-Firewall also ausreichen, doch in den meisten Fällen werden Sicherheitsprofis bei der Nutzung von AWS wohl andere Möglichkeiten zur Netzwerksicherheit wählen.

Firewalls für AWS von Drittanbietern

Einige Firewall-Angebote von Drittanbietern eignen sich für eine Integration mit AWS. Check Point etwa hat sein Check Point Security Gateway R75 in den AWS Marketplace integriert. Organisationen, die eine VPC-Umgebung aufsetzen wollen, können also eine neue virtuelle Check Point-Firewall erstellen und sie in ihre private Cloud integrieren. Jedoch eignet sich das Check Point Security Gateway R75 nur für VPC und lässt sich nicht mit reinen EC2-Instanzen nutzen.

Diese Firewall von Check Point arbeitet sehr ähnlich wie traditionelle Geräte des Herstellers. Sie bietet Stateful-Überprüfungen des Datenverkehrs sowie Steuermöglichkeiten, Regeln zur Analyse von Anwendungen und Protokollen sowie VPN-Konnektivität. Die virtuelle Appliance kann mit einer Vielzahl von Amazon-Instanztypen integriert werden und bietet unterstützt auch die Funktionalität "Software Blade" von Check Point, die einen modularen Umgang mit Sicherheitsfunktionen erlaubt. Damit bietet Check Point als einziger etablierter Anbieter ein reifes Produkt, das voll mit dem Amazon Marketplace integriert ist. Cisco und Juniper haben noch keine derartigen Angebote. Beide haben jedoch Plattformen für virtuelle Firewalls (die Produkte ASA 1000v bzw. vGW) im Programm.

Abgesehen von Check Point sind Unternehmen, die Netzwerk-Firewalls bei Amazon EC2 installieren wollen, also auf den Bau eigener Lösungen mit Hilfe von Open-Source-Software angewiesen. Smoothwall etwa gibt es sowohl als Open Source als auch als kommerzielles Angebot, das Paketfilterung, Web-Filterung und E-Mail-Schutz in einem Gesamtpaket kombiniert. Das Unternehmen bietet auch Software-basierte kommerzielle Versionen an, die sich direkt in Amazon-Images installieren lassen oder als VMware-Images direkt in EC2 importiert werden können. Eine weitere Open-Source-Option ist Openwall. Diese Lösung bündelt Firewall-Funktionen und andere Sicherheitshilfen zu einer gehärteten Plattform, die sich als virtuelle Maschine installieren und dann bei Amazon importieren lässt.

Host-basierte Firewalls

Viele Organisationen wenden sich zur Stärkung der Netzwerksicherheit bei Amazon EC2 Host-basierten Firewalls zu. Abgesehen von nativen Betriebssystem-Firewalls für virtuelle Linux- oder Windows-Maschinen können Unternehmen hier auch über Firewalls nachdenken, die von Anbietern von Security as a Service bereitgestellt werden. Einer dieser Anbieter ist CloudPassage. Sein Firewall-Agent Halo und die Management-Plattform dafür sind für begrenzte Nutzung kostenlos. Die Lösung bietet zusätzlich Planungs- und andere Möglichkeiten wie Überwachung und Steuerung von Konfigurationen, Schwachstellen-Bewertung und Verwaltung von Nutzer-Konten. Der Firewall-Agent bindet sich unter Linux und Windows in bestehende Firewalls ein, bietet aber leichteres, zentrales Management sowie Werkzeuge für Protokollierung und Warnmeldungen.

Zu erwarten ist, dass in Zukunft weitere kommerzielle Firewall-Anbieter ihre Produkte für Amazon und andere Clouds anpassen werden. Zumindest heute aber ist die Auswahl für Organisationen in diesem Bereich noch begrenzt.

Für Sicherheitsprofis ist es wichtig, dass sie in Cloud-Umgebungen wo immer möglich ein robustes System für eine "Tiefen-Verteidigung" entwickeln. Denn Daten bei öffentlichen Cloud-Angeboten für Infrastructure as a Service (Iaas) sind über das Internet und interne Netze zugänglich – und das erfordert Schutz. Vielen Organisationen ist vielleicht nicht klar, dass die native AWS-Firewall nur einen begrenzten Funktionsumfang hat, der an den moderner Firewall-Plattform für Unternehmen nicht annähernd herankommt. Hier mit leistungsfähigeren Instanzen mit virtuellen Firewalls oder Host-basierter Filterung und Detection zu arbeiten, verbessert die Sicherheitslage deutlich.

Über den Autor:

Dave Shackleford ist Eigentümer und Principal Consultant von Voodoo Security, Senior Vice President of Research und Chief Technology Officer (CTO) bei IANS, sowie SANS-Analyst, Dozent und Schulungsautor. Er hat hunderte von Organisationen im Bereich von Sicherheit, regulatorischer Compliance, Netzwerk-Architektur und -Technik beraten. Shackleford ist VMware vExpert und verfügt über umfassende Erfahrungen bei Design, Entwerfen und Konfiguration sicherer virtualisierter Infrastrukturen. Früher hat er als CSO für Configuresoft, CTO für das Center for Internet Security sowie als Security-Architekt, -Analyst und -Manager für diverse Fortune 500-Unternehmen gearbeitet. Shackleford ist Co-Autor von Hands-On Information Security von Course Technology und des Kapitels „Managing Incident Response“ im Buch Readings and Cases in the Management of Information Security von Course Technology. Vor kurzem hat er außerdem den ersten öffentlichen Kurs über Virtualisierungssicherheit für das SANS-Institute verfasst. Shackleford gehört aktuell zum Vorstand des SANS Technology Institute und ist an der Leitung des Chapter Atlanta der Cloud Security Alliance beteiligt.

Artikel wurde zuletzt im Juli 2012 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datensicherheit und Cloud-Computing

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close