Firewallen er blevet voksen og er flyttet hjemmefra

Jeg startede med at arbejde med firewalls i 2005-2006, hvor jeg fik æren af at arbejde med Ciscos famøse PIX. Hvis du ikke kender PIX’en, så er det sandsynligvis, fordi den blev taget ud af service tilbage i 2008. Det var en fantastisk simpel tid, hvor firewallen var den centrale del af netværkssikkerheden hos alle virksomheder, og den eksisterede primært for at sikre virksomhederne mod scriptkiddies og Kevin Mitnick (Kendt som: the worlds most famous hacker), som desværre gik bort sidste år.

Nå tilbage til firewallen…
Firewallen har udviklet sig siden sin barndom, hvor den var en fysisk kasse, der som Harry Potter boede under trappen i virksomhedens kosteskab. Senere blev firewallen ældre og besluttede sig for at flytte ind i bofællesskabet kaldet “rack-skabet”, hvor den delte hus med sine venner – switchen og den lidt anderledes ven, der altid vil have lyset tændt – UPS’en. I dag er firewallen flyttet hjemmefra.

Firewallen er flyttet hjemmefra, og dens nye hjem er “skyen”

Den fysiske firewall, som man modtager i dag, er hos de fleste producenter en virtuel maskine, der kører på firewallproducentens hardware. Dette gør det nemmere for producenterne at opdatere softwaren både til deres egen hardware og i skyen. Når jeg nævner “skyen”, refererer jeg både til den private sky (dit eget datacenter) og den offentlige sky (AWS, Azure, Google Cloud). Det vil sige, at du kan få de samme funktioner, som du kender fra din nuværende Next Generation Firewall i skyen. Det giver os mulighed for at have den samme sikkerhedspolitik i skyen, som på dine andre sites gennem én administrativ platform med den kendte url-filtrering, DNS sikkerhed, IPS konfiguration, applikations kontrol, avanceret site-2-site og remote access vpn uden behov for yderligere uddannelse.

Hvorfor have en virtuel Firewall?

Den virtuelle firewall giver os mulighed for hurtigt at reagere, hvis vi pludselig står i en situation, hvor vi har brug for ekstra sikkerhed eller som under COVID-19, hvor vi blev sendt hjem og var nødt til at arbejde hjemmefra. Her kom den virtuelle firewall os til undsætning. De fleste virksomheder har bygget deres netværk baseret på deres normale behov, men situationen ændrede sig pludselig under COVID-19. Hvor man tidligere havde haft få hjemmearbejdsdage, så blev alle medarbejdere pludselig sendt hjem og arbejdede 100% hjemmefra. Det var meget få virksomheder, som havde en firewall, der kunne håndtere det nye load på båndbredde og antal af remote access VPN-brugere. Derfor blev der hurtigt travlt med at finde en løsning, og en af de meget udbredte løsninger blev at bygge en ny virtuel firewall i skyen eller i vores kunders egne datacentre, som kunne håndtere den nye situation. Før firewallen blev voksen, blev vi nødt til at afvente en hardware forsending fra vores producent, hvilket også var presset under COVID-19.

Læs også Niels Mogensens blog om Cisco Hypershield her

Så hvornår er det, at den virtuelle firewall er relevant?
Her er 3 gode usecases for virtuelle firewalls:

Simpel og central management af alle firewalls.

Samme funktionalitet og gennemsigtighed i skyen, som i datacenteret og på din perimeter firewall.

Fleksibelt miljø, hvor der kan skrues op og ned for ressourcer efter behov, samt hurtigt sættes noget op, hvis det bliver nødvendigt.

Men hvad skal man være opmærksom på, når man flytter hjemmefra?

Firewallen er klar til at flytte hjemmefra, men hvad skal man være opmærksom på, når man flytter hjemmefra?
– Er der styr på sikkerheden i det nye hjem? Er dine vinduer fx kun ‘sikret’ af de her små søde hasper, som er designet til at holde vinden ude og kan åbnes udefra af min 4 årige søn med et stykke ståltråd? Eller er vinduer og døre låst med nøgle?

Når firewallen flytter hjemmefra, så flytter den ind på et nyt stykke hardware, hvilket introducerer et nyt lag under firewallen i form af en hypervisor, som pludseligt bliver meget kritisk for din infrastruktur. Hvis en bad actor, lad os kalde ham Kevin, fik adgang til din hypervisor, kan personen tilgå konsollen på din firewall. På konsollen kan Kevin lave meget spændende ravage. Et hyggeligt eksempel kunne være at etablere en VPN ind til din infrastruktur fra et site, hvor Kevin kan tilgå dit netværk uden firewall regler. Et andet hyggeligt eksempel kunne være at lægge dit netværk ned i forbindelse med eksempelvis Black Friday eller på et andet kritisk tidspunkt for din forretning.

Derfor er det super kritisk, at du har styr på, hvem der tilgår din infrastruktur. Du kunne eventuelt kigge på:

  • Adgang begrænses fra dedikerede IP/adresser
  • MFA adgangskontrol
  • At have sikret adgang til din audit log, så du altid ved, hvem der har været på hvornår.

Der kan være mange andre gode tiltag afhængig af den konkrete skytjeneste eller datacenter implementering.

Men er firewallen i virkeligheden klar til at flytte på plejehjem?

For 3 år siden havde jeg en kollega, som spurgte mig, om sikkerheden i virkeligheden ikke var flyttet ud på endpointet. Det vil sige, at firewallen og netværkssikkerheden i virkeligheden var blevet mindre vigtige. Her glemte min ellers dygtige og sikkerhedsfokuserede kollega de gamle principper om ‘defense in depth’ eller sikkerhed i lag. IT har udviklet sig ekstremt meget de sidste 20 år, og IT er nu trådt ind i alt fra køleskabe til relæer, som styrer adgangen til vores strøm. IT-økosystemet er blevet større og større, og vores sikkerhedsprodukter til endpointet virker ikke på alle styresystemer.

Derfor er vi nødt til at tage en risikobaseret tilgang til vores IT-sikkerhed. Hvis du repræsenterer en virksomhed, som primært arbejder fra et kontor, er risikoen for at blive angrebet sandsynligvis størst på dine endpoints. Derfor kan det være vigtigere at investere i høj sikkerhed på endpointet og kontinuerligt overvåge dine endpoints. Hvis dit forretningsgrundlag handler om at levere strøm, internet eller lignende kritisk infrastruktur, er det nødvendigt med både centrale og decentrale firewalls for at segmentere trafikken og begrænse omfanget af et angreb, hvis man skulle få besøg af Kevin eller hans venner.

Firewallens nye Zero Trust familie

Firewallen er fortsat i dag en vigtig del af et større IT-økosystem. Den spiller en afgørende rolle i at sikre basal konnektivitet, sikkerhed og visibilitet. Derfor er firewallen i nyere tid blevet adopteret ind i en ny familie. Den er blevet en del af SASE- og SSE-familien, som udover at have de traditionelle firewall-funktioner også understøtter Zero Trust Network Access, SDWAN, CASB og meget mere.

Bliv klogere på begrebet “Zero Trust” her

SASE-løsningen har en central administration fra skyen og er særligt velegnet til virksomheder med mange lokationer, hvor man ønsker en mere simpel og ensartet firewall-politik, fx hvis man har mange ens butikker eller lagerhaller, hvor man skal have samme sikkerhedspolitik.

Læs mere om SASE i vores whitepaper her

Desværre er det ikke længere kun scriptkiddies og Kevin Mitnick, vi skal beskytte vores IT imod. Verden er blevet betydeligt mere kompleks, og det er nødvendigt at have kontrol og synlighed på sine endpoints, applikationer og meget mere for at kunne gå i seng med ro i sindet. Dette betyder også, at firewallen ikke længere kan stå alene med sikkerheden i vores IT-infrastruktur, hvilket bidrager til endnu mere kompleksitet i vores IT. Derfor er det yderst relevant at overveje, hvor din firewall bør implementeres i dag, så du opnår den højeste sikkerhed baseret på din forretning. Hvis din virksomhed oplever udfordringer med at håndtere både endpoint, applikationssikkerhed, netværk og din firewall-infrastruktur, kan det være en fordel at overveje at få hjælp til at administrere din firewall-infrastruktur som en Firewall as a Service (FwaaS).

Dette giver jer mulighed for at fokusere på områder med højere risiko eller jeres kerneforretning, samtidig med at I overlader driften af jeres firewall-infrastruktur til eksperter som os.