Virtuelle NSv-Firewall: in der Public Cloud von AWS getestet und zertifiziert
Über 90 % der Unternehmen nutzen die Cloud in irgendeiner Form, wobei 69 % von ihnen Hybrid-Cloud-Nutzer sind (d. h., sie nutzen sowohl Private als auch Public Clouds). Angesichts dieser Entwicklung und der zunehmenden Verbreitung von Remote-Work-Modellen spielen verteilte Scale-out-Infrastrukturen eine immer wichtigere Rolle.
In dieser neuen Cloud-Landschaft ist die Sicherheit komplexer denn je, da zum einen die Zahl der Perimeter und Integrationen wächst und zum anderen Cyberkriminelle es zunehmend auf Sicherheitslücken und Schwachstellen in Cloud-Implementierungen abgesehen haben. Oft ist es für Bedrohungsakteure einfacher, diese Schwachstellen auszunutzen, als gehärtete Komponenten der Cloud-Implementierung zu infiltrieren.
Eine in der Cloud implementierte Next-Generation-Firewall kann kritische Daten schützen, die in der Cloud gespeichert sind. Wichtig dabei ist, dass die Firewall dieselbe Sicherheit und Performance wie eine lokal installierte Firewall bietet.
Vor Kurzem evaluierte die Tolly Group mithilfe der brandneuen nativen Cloud-Testlösung CyPerf von Keysight Technologies die Performance der virtuellen SonicWall-Firewall NSv 470 in Amazon Web Services (AWS). AWS ist derzeit der führende Public-Cloud-Anbieter. Laut Schätzungen wird das Unternehmen in 2022 einen Marktanteil von 49 % bei Enterprise-Clouds erreichen. AWS empfiehlt ein Shared-Responsibility-Modell: Demnach ist AWS für die Sicherheit der Cloud und der Kunde für die Sicherheit in der Cloud verantwortlich.
Wobei handelt es sich bei der virtuellen SonicWall-NSv-Firewall?
Die virtuellen Firewalls der SonicWall NSv Series vereinen die Sicherheitsvorteile einer physischen Firewall mit den operativen und wirtschaftlichen Vorteilen der Cloud – einschließlich Systemskalierbarkeit und Agilität, einer schnellen Systembereitstellung, einer einfachen Verwaltung und reduzierter Kosten. NSv bietet umfassende Sicherheitstools wie VPN, IPS, Anwendungskontrolle und URL-Filterung. Diese Funktionen schützen alle kritischen Komponenten von Private-/Public-Cloud-Umgebungen vor Ressourcenmissbrauch, Cross-VM-Angriffen, Side-Channel-Angriffen sowie gängigen netzwerkbasierten Exploits und Bedrohungen.
Was ist CyPerf von Keysight Technologies?
Keysight CyPerf ist die branchenweit erste cloudnative Softwarelösung, die jeden Aspekt einer realistischen Workload über eine Vielzahl physischer und cloudbasierter Umgebungen hinweg nachbildet. Über eine Vielzahl heterogener Cloud-Umgebungen hinweg implementiert, kann CyPerf den dynamischen Anwendungsverkehr, das Benutzerverhalten sowie umfangreiche Bedrohungsvektoren auf realistische Weise modellieren. Die Lösung prüft Hybrid-Cloud-Netzwerke, Sicherheitsgeräte und Services, um möglichst sichere Roll-outs zu ermöglichen.
SonicWall NSv auf dem Prüfstand
Experten von Keysight Technologies und der Tolly Group testeten die virtuelle SonicWall-Firewall NSv 470 mit SonicOSX-Version 7. Die AWS-Instanz für die getestete NSv 470 war AWS C5.2xlarge. Die Keysight Technologies-Ingenieure implementierten CyPerf-Agents auf AWS C5.n2xlarge-Instanzen. Auf diese Weise wollten sie sichergehen, dass die Agents über genügend Ressourcen verfügen, um die Firewall während des Tests einer hohen Belastung auszusetzen. Die beiden Agent-Instanzen wurden je mit 8 vCPUs, einem 21-GB-Speicher und 25-GbE-Netzwerkschnittstellen ausgerüstet.
Testmethoden und Ergebnisse
Die Ingenieure nutzten drei verschiedene Traffic-Profile zur Erhebung der Ergebnisse – unverschlüsselten HTTP-Traffic, verschlüsselten Traffic (HTTPS/TLS) und den Productivity-Traffic-Mix von Tolly, der fünf Anwendungen beinhaltet: JIRA, Office 365, Skype, AWS S3 und Salesforce. Die Ingenieure nutzten CyPerf-Application-Mix-Tests, um den Tolly-Productivity-Mix zu erstellen und einen zustandsorientierten, simulierten Anwendungsverkehr zu generieren.
Die Tests wurden auf Basis dreier unterschiedlicher Sicherheitsprofile ausgeführt:
1) Firewall: grundlegende Firewall-Funktionen ohne implementierte Regeln
2) IPS: Firewall mit aktiviertem Intrusion-Prevention-System
3) Threat-Prevention: Firewall mit aktivierten IPS-, Anti-Virus-, Anti-Spyware- und Anwendungskontrollfeatures
Die in der Public-Cloud-Umgebung von AWS registrierten Ergebnisse waren ähnlich wie die Ergebnisse in der virtuellen Umgebung.
| Test | Unverschlüsselter HTTP-Traffic | Verschlüsselter HTTPS-/TLS-Traffic |
| Firewall-Durchsatz | 7,70 GBit/s | 3,10 GBit/s |
| IPS-Durchsatz | 7,60 GBit/s | 3,05 GBit/s |
| Schutz vor Sicherheitsbedrohungen | 7,40 GBit/s | 3,04 GBit/s |
Tabelle 1: Testergebnisse für NSv 470 in AWS-Cloud
Bitte beachten Sie, dass die oben aufgeführte Tabelle nur eine Auswahl der Testergebnisse enthält. Wenn Sie einen Blick auf die vollständigen Ergebnisse und Testparameter werfen möchten, laden Sie den Bericht herunter.
Fazit
Die meisten Unternehmen sind dabei, ihre traditionellen, lokal implementierten Datencenter in die Cloud zu verlagern. Wichtig dabei ist, dass Sicherheitsteams dasselbe Schutzniveau für Cloud-Server-Instanzen wie für lokale physische Server bieten. Eine Next-Generation-Firewall mit erweiterten Sicherheitsservices wie IPS und Anwendungskontrolle ist der erste Schritt, um Cloud-Instanzen vor Cyberbedrohungen zu schützen.
Neben geeigneten Sicherheitsfeatures sollte die Firewall auch ein passendes Performance-Niveau für entsprechende Cloud-Workloads gewährleisten. Die SonicWall NSv Series umfasst alle nötigen Sicherheitsfeatures sowie eine Vielzahl von Modellen mit verschiedenen Performance-Levels, die sich für beliebig große Cloud-Implementierungen eignen. Um mehr über die überragende Performance der SonicWall NSv Series in AWS-Umgebungen zu erfahren, klicken Sie hier.
