Firewalls in the cloud - Is dat nodig?
Ga naar de Cloud... Het is er veilig...! Zeggen ze dan.....
Een interessant fenomeen dat mij al jaren bezighoudt heeft te maken met organisaties waar gezegd wordt ‘we migreren alles naar de Cloud’. Aangezien het me altijd interesseert wat iemands motivatie is, vraag ik meestal door. Dan is een van de argumenten vaak dat het in de cloud veilig is.
Op de een of andere manier denken veel mensen dat als het eenmaal in de Cloud staat, niets meer mis kan gaan. Het idee dat Microsoft, Amazon of Google de spullenboel beheert maakt het een soort van onaantastbaar.
Helaas is dat niet helemaal waar.
Natuurlijk wordt een hoop werk door de Cloud provider gedaan. Je klikt op een paar knopjes en je hebt een server met bepaalde SLA garanties, redundantie en allerlei backup mogelijkheden. Er zijn absoluut voordelen aan het Cloud gebeuren omdat zij zaken als standaard optie bieden die je zelf zou moeten inrichten in een eigen datacenter. Door (een deel van) je IT-omgeving uit te besteden, heb je een bepaalde mate van kennis intern niet meer nodig. Je bespaart op FTE’s, workload en budget doordat je je eigen omgeving niet hoeft te beheren.
De vraag is of alles in de Cloud zetten zaligmakend is.
Om maar even in hogere sferen te blijven…
Firewalls in the Cloud
Dus, is het veilig in de Cloud?
Daar zitten nog wat haken en ogen aan. De meeste providers bieden een eigen ontwikkelde firewall aan. Vaak in de vorm van een basic, standaard of premium versie. Dat zijn in de basis geen slechte, maar wel vrij eenvoudige firewalls.
Simpel gezegd zijn het firewalls met een feature set die ik je niet zou aanraden voor een eigen datacenter. Het zijn meer traditionele firewalls dan de moderne UTM / NG firewalls. Zie ook onze blogs IT-Security is ook een kwestie van een slim ingericht IT-netwerk en Firewalls functioneren alleen zo goed als de ingestelde policies.
Cloud firewalls doen dus de basis, maar niet meer. In de praktijk kan dat voldoende zijn, maar verwacht echt geen deep packet inspection, geavanceerde VPN mogelijkheden, malware detectie, user awareness en nog veel meer threat intelligence.
Het zijn basis firewalls. Blokkeer alles, tenzij via een eenvoudige ruleset is toegestaan. Je gaat gewoon 20 jaar terug in de tijd en hebt dan een aardige firewall. Deze bocht is wel wat kort genomen, want Cloud firewalls zijn vaak wel voorzien van wat basis Intrusion Prevention en nog wat andere zaken in de ‘premium’ versie die we in traditionele firewalls niet zagen.
Jouw eigen firewall in de Cloud – Kan dat?
Absoluut! Je kunt zeker een eigen firewall in de Cloud plaatsen. In ‘jouw’ deel van de Cloud dan. Dit doe je in de vorm van een ‘virtual appliance’ die in de Cloud kan worden geïnstalleerd. Hiermee haal je alle geavanceerde features die je van een Next-Gen/UTM firewall verwacht naar de Cloud.
Als je nu denkt ‘waarom zegt ie nou steeds Next-Gen en UTM in één moeiteloze adem?’, lees dan mijn mening over de verschillen eens na in IT-Security is ook een kwestie van een slim ingericht IT-netwerk.
Met jouw eigen firewall wordt ‘jouw’ Cloud qua firewalling net zo goed beschermd als jouw ‘earth based’ datacenter dat ook zou zijn. En mijn mening? Doen! Veel van onze klanten geven aan dat de standaard Cloud firewalls te weinig opties bieden. Het begint al bij de (beperkte) VPN mogelijkheden. Laat daar nou recent een alarmerend bericht over zijn geweest. Meer dan de helft van de organisaties heeft afgelopen jaar te maken gehad met een VPN-gerelateerde cyberaanval…
Alle reden dus om te kiezen voor jouw eigen firewall in de Cloud.
Een ander veel gehoorde klacht over standaard Cloud firewalls is dat de logging ondermaats is en het gevoel van controle erg vaag is. Dit staat natuurlijk nog los van de features die je simpelweg mist bij de standaard Cloud firewalls.
De standaard Cloud firewalls hebben een te beperkt aanbod aan features. Verwacht geen geavanceerde VPN mogelijkheden, malware detectie, user awareness en nog veel meer threat intelligence..
Grote leveranciers zijn het er mee eens dat het verstandig is je eigen Cloud firewall te installeren. Het is niet voor niets dat spelers als Fortinet, Palo Alto en Checkpoint naast nog vele anderen een Cloud variant bieden. Jouw mate van controle en logging is veel hoger. Qua integratie en beheer kun je ook jouw Cloud firewall(s) onderdeel maken van een groter netwerk aan firewalls als je meerdere locaties hebt.
Wanneer heb je dan geen firewall in de Cloud nodig?
..hoor ik je ook vragen. Want uiteraard zijn er ook organisaties die geen andere firewall installeren. En ook dat is een valide optie.
Een belangrijk verschil in een Cloud opzet kan zijn dat er geen gebruikers vanuit de Cloud naar het internet communiceren. Aangezien we nog niet de mogelijkheid hebben om onze gebruikers te digitaliseren en in de Cloud te zetten, is het absoluut mogelijk dat er in de Cloud alleen servers staan. Een deel van de virussen en malware komt namelijk binnen via gebruikers die op verkeerde links klikken. Daarnaast willen die gebruikers misschien wel stoute sites bezoeken, terwijl jouw servers alleen maar om wat software updates zullen vragen. Een deel van de bedreigingen is dus direct gekoppeld aan het wel of niet hebben van gebruikers in bepaalde omgeving.
Misschien leveren jouw servers heel eenvoudige diensten die prima kunnen worden afgeschermd met een traditionele firewall. En als dat zo is, dan zou ik je ook echt niet aanraden om iets te veranderen. Daarnaast is het ook mogelijk dat jij de Cloud diensten van Amazon, Google of Azure in een eigen jasje aan jouw klanten levert. In een dergelijk geval heb je misschien zelf (vrijwel) geen servers in de Cloud, maar alleen doorverkoop van diensten. In die gevallen kun je je afvragen of het wel jouw verantwoording is om daar extra beveiliging voor aan te schaffen. Je mag immers verwachten dat die diensten al voldoende beschermd zijn.
Wanneer heb je wel een eigen Cloud firewall nodig?
Om die vraag te beantwoorden, moet je even rustig nadenken over jouw behoeften:
Heb je:
- Gebruikers die via mijn Cloud omgeving naar het internet communiceren?
- VDI in de Cloud
- Proxy diensten waarbij externe sites via de Cloud communiceren
- NG/UTM Features nodig die niet door de Cloud firewalls worden geboden?
- Deep packet inspection
- Geavanceerde VPN opties
- Malware detectie
- User awareness
- Geavanceerde threat intelligence
- Etc.
- Behoefte aan full control en uitgebreide logging?
- Behoefte aan integratie met andere sites?
Is op één of meerdere vragen jouw antwoord ja? Dan is het overwegen van een eigen firewall appliance echt de moeite waard.
Advies over firewalls in jouw Cloud omgeving of “on-premise”?
Wil jij jouw Cloud omgeving bulletproof maken? 🚀 🔒
Neem contact met ons op: https://www.procyonnetworks.nl/contact/
Bekijk ook de rest van onze IT Security Blog reeks
Volg Procyon Networks op LinkedIn en vind wekelijks waardevolle informatie over cybersecurity en netwerktechnologie op jouw tijdlijn.