Cloudové firewally a jejich využití
Zájem o tyto bezpečnostní produkty se zvyšuje mimo jiné kvůli rostoucím rizikům i komplikovanosti IT infrastruktury a tyto faktory budou nepochybně působit i nadále. Mění se ovšem nejen IT prostředí, ale i samotné firewally, přičemž k nejdiskutovanějším trendům patří využití cloudových firewallů.
Termín firewall se v IT poprvé objevil v 80. letech minulého století a jeho obsah se průběžně vyvíjel, stejně jako se vyvíjely i informační technologie obecně. V zásadě ale šlo vždy o fyzické zařízení, které chránilo určenou IT infrastrukturu před hrozbami zvenčí. Na počátku stály jednoduché paketové filtry, postupně se přidávaly sofistikovanější funkce včetně kontroly provozu stavějící na znalosti stavu komunikace, vyšších protokolů i konkrétních aplikací. Moderní firewally zahrnují prvky IPS (intrusion prevention system), zvládají kontrolu šifrovaného provozu, mohou disponovat funkcemi pro zajištění QoS nebo třeba filtrem přístupu k webovým stránkám.
Hlavní změna, o které se ale v poslední době mluví, nespočívá v samotné funkcionalitě firewallů, ale ve způsobu, jak je jejich fungování zajištěno. A právě tady vstupuje do hry pojem cloudového firewallu.
Virtuální firewall
Prostřednictvím cloudů je postupně realizováno stále více IT operací, a to i těch, které souvisejí s bezpečností IT. Nejinak je tomu i v případě firewallů. Hovoříme-li o virtuálních nebo cloudových firewallech, může ovšem dojít k určitému matení pojmů. Tyto termíny jsou totiž používány ve dvou různých významech.
Pojem cloudový firewall může označovat řešení, jehož úkolem je chránit cloudové prostředí poskytovatele služeb, ale i produkt, který sice běží v cloudu, ale stejně jako klasický „on premise“ firewall chrání běžnou IT infrastrukturu klienta. V prvním případě bývá firewall součástí nabídky poskytovatele cloudových služeb, ve druhém se hovoří o službě typu SECaaS, tedy o poskytování zabezpečení formou služby, zde případně označované jako FWaaS, tedy Firewall as a Service.
Firewall, který chrání cloud
Zastavme se nejprve u prvního uvedeného významu termínu cloudový firewall. V situaci, kdy organizace využívá k provozu svých IT služeb cloud typu IaaS nebo PaaS u externího poskytovatele, je mimo jiné třeba myslet i na ochranu těchto služeb před nejrůznějšími druhy útoků. Vždy pochopitelně záleží na konkrétní smlouvě s poskytovatelem, ale obecně platí, že za tuto činnost nese odpovědnost klient.
Zde pak lze nasadit cloudový firewall, který chrání služby provozované na pronajaté infrastruktuře poskytovatele. Na trhu je k dispozici řada takových řešení. Klient nebo poskytovatel cloudových služeb vybrané z nich zprovozní na virtuálních strojích v datovém centru a právě přes ně pak směruje provoz k pronajaté infrastruktuře - a k IT službám na nich běžícím.
Takto vytvořené virtuální firewally zpravidla nabízejí vysokou flexibilitu a jejich konfiguraci lze snadno a rychle měnit podle aktuálních potřeb. Lze také pochopitelně přesně určit, na základě jakých pravidel a jakou část infrastruktury, případně které konkrétní aplikace, má daný virtuální firewall chránit.
Firewall jako služba
Jak už bylo zmíněno výše, pojem cloudový firewall může také označovat řešení, které nahrazuje klasický „on premise“ firewall v organizaci. Jeho smyslem pak je poskytovat komplexní ochranu jejího IT prostředí. Takový FWaaS, tedy Firewall as a Service, je virtuálním zařízením, které běží v cloudové infrastruktuře poskytovatele.
Stejně jako v případě ostatních cloudových služeb, také vznik služeb FWaaS umožnil až příchod dostatečně dimenzovaných komunikačních linek. Ve virtuálním firewallu u poskytovatele se typicky schází provoz ze všech koncových zařízení firmy a jeho prostřednictvím interní i externí uživatelé bezpečně komunikují se zdroji IT služeb. Z logického pohledu pak jde o jedno zařízení, které obsluhuje síťovou komunikaci firmy.
Před dvěma lety analytik Greg Young z Gartneru zařadil na hype křivku FWaaS mezi nastupující technologie, u nichž zatím rychle rostou očekávání uživatelů, nicméně další analytici uvedené společnosti upozorňují, že významně roste i počet zástupců firem, kteří jeho využívání plánují již na nejbližší dobu.
Výhody a nevýhody FWaaS
Firewall poskytovaný z cloudu formou služby má oproti klasickému řešení řadu výhod, které se projevují obzvláště dnes, ve stále komplexnějším IT prostředí. V něm bývá mnohdy nutno spravovat firewally ve více pobočkách, reagovat na nová rizika nebo se vyrovnat s přístupem zaměstnanců k internetu z jejich mobilních zařízení. Je třeba zvládnout nejen konzistentní nastavení několika firewallů, ale také dobře naplánovat jejich kapacitu, a to s ohledem na nové hrozby, rostoucí využívání SSL i nárůst internetového provozu obecně.
FWaaS nabízí řešení. Z hlediska uživatele jde o jeden logický firewall dostupný doslova kdekoli - v jakémkoli místě, kde ho firma potřebuje. Není tedy třeba zvlášť řešit centrálu a zvlášť pobočky, z jednoho místa lze ošetřit zabezpečení všech prvků IT infrastruktury, ať už se fyzicky nacházejí kdekoli. Lze tu nastavit jednotná pravidla platná pro celou organizaci, ale současně je lze flexibilně upravovat podle aktuálních potřeb. Zaměstnanci mimo firmu se typicky připojí k poskytovateli firewallu přes VPN, přičemž pod jeho ochranou mohou přistupovat k dalším IT zdrojům, ať už přímo ve firmě, nebo u poskytovatelů služeb, například typu SaaS.
K tomu se přidává výhoda škálovatelnosti a vysoké dostupnosti. Virtuální firewall roste s potřebami klienta, navíc nabízí vysokou dostupnost podpořenou cloudovou infrastrukturou, na které běží. Do značné míry tu odpadají otázky, zda má firewall dostatečnou kapacitu pro provoz toho či onoho filtru i při rostoucím objemu provozu, případně zda zvládne připojení většího množství externích uživatelů. Vysoká škálovatelnost FWaaS se projeví i v okamžiku rostoucích nároků spojených s růstem firmy, s využíváním většího množství služeb nebo při nenadálých událostech, jako je třeba útok typu DDoS.
Zajištění FWaaS zbavuje uživatele nutnosti pořizovat si nákladné zařízení. Platí jen za službu, za to, co skutečně používá. S FWaaS má v optimálním případě k dispozici nejen propracované firewallové řešení těžící ze specializace poskytovatele a z výkonu jeho cloudové infrastruktury, ale také personál s příslušným know-how a zejména procesní rámec, který definuje činnosti potřebné pro zajištění kybernetické bezpečnosti a adekvátní reakci na zjištěné hrozby. Tým specialistů poskytovatele může na příchod nových hrozeb reagovat rychleji než běžné IT oddělení menší nebo střední firmy. Klient se díky němu může zcela osvobodit od činností, jako je správa, záplatování nebo upgrady firewallu, což je obzvláště citelnou výhodou v době, kdy jsou bezpečnostní specialisté celosvětově nedostatkovým zbožím.
Specializovaný poskytovatel také snáze zajistí využívání skutečně aktuálního řešení, které využívá moderní technologie a nabízí pokročilé bezpečnostní funkce, včetně třeba prvků umělé inteligence, které se učí ze získávaných dat.
A druhá strana mince? Za nevýhodu bývá považován fakt, že je s využíváním FWaaS outsourcována zásadní součást IT infrastruktury, tedy starost o její bezpečnost. Je nutno spoléhat se na někoho jiného, kdo nemusí vždy zcela optimálně chápat potřeby organizace - a hrozí zde vznik závislosti, plynoucí mimo jiné i z chybějící možnosti získat vlastní dostatečně hluboké know-how. To se může následně odrazit i v ceně služby. Tyto nevýhody jsou nicméně podstatné především pro větší organizace, protože v těch menších je de facto jedinou alternativou vznik závislosti na jednom či dvou klíčových zaměstnancích.
Cloudový firewall na českém trhu
Aktuálně na český trh uvádí službu typu FWaaS společnost České Radiokomunikace (ČRA). ČRA Virtual Firewall podle zástupců firmy poskytuje klientům kompletní bezpečnostní řešení s vysokou dostupností služby, s moderními funkcemi a s ochranou před aktuálními hrozbami, a to s nulovou počáteční investicí.
Služba ČRA Virtual Firewall je dostupná ve dvou úrovních podpory: základní úrovní je platforma, kdy má zákazník přístup ke správě bezpečnostních pravidel a poskytovatel zákazníkovi zajišťuje provoz infrastruktury v režimu vysoké dostupnosti. V rámci rozšířené varianty pak poskytovatel nabízí širokou škálu služeb spojenou s implementací a nastavením bezpečnostního řešení a dále podporu řešící operativní požadavky klienta.
Výhodou služby je škálovatelnost dle požadavků a potřeb zákazníka. Nejdostupnější variantou je virtuální kontext na sdíleném zákaznickém firewallu, který poskytuje funkce srovnatelné s většími firewally za zlomek ceny vlastního řešení. Nejčastěji ale zákazníci volí dedikovanou variantu, kdy je zákazníkovi kompletně vyhrazen virtuální firewall. Sdílená varianta služby je cenově dostupné řešení pro menší sítě s jednotkami poboček, kdežto dedikovaná varianta dokáže pokrýt výkonové požadavky od malých firem až po velké nasazení s desítkami a stovkami poboček.
Zajímavostí je, že CRA Virtual Firewall může v rámci Fortinet Security Fabric (FSF) spolupracovat s dalšími bezpečnostními prvky v síti. Ochranu sítě zajišťovanou virtuálním firewallem na perimetru sítě lze rozšířit o bezpečnost na klientských stanicích, bezpečný přístup díky nabídce Wi-Fi infrastruktury, VPN klienty pro vzdálený přístup nebo nástroji pro analýzu provozu a všechny komponenty spravovat z jednoho uživatelského rozhraní.
Petr Mandík