Leitfaden Für Käufer | NGFW Einkaufsführer 2022

CHECK POINT NEXT GENERATION FIREWALL – LEITFADEN FÜR K ÄUFER
S I E V E R D I E N E N D I E B E S T E S I C H E R H E I T
INHALTSVERZEICHNIS Die Landschaft der Cybersicherheit ist im Umbruch ............... 3
Definition Firewall ...................................................................... 4
Auf dem Stand der Technik: Die „Next Generation Firewall“ wird zur „Unternehmens-Firewall“ ...................... 9
Erforderliche Funktionen der Unternehmens-Firewall ............ 10 Sicherheitsmanagement ....................................................... 10 Bedrohungsprävention .......................................................... 10 Anwendungsprüfung und Kontrolle ...................................... 11 Identitätsbasierte Inspektion und Kontrolle ......................... 11 Hybrid Cloud-Unterstützung ................................................. 11 Skalierbare Leistung mit Dienstleistungen .......................... 11 Überprüfung des verschlüsselten Datenverkehrs ............... 12 Autonome Bedrohungsprävention ....................................... 12 Sicherheitsautomation .......................................................... 12 IoT und OT-Sicherheit ........................................................... 12
Check Point: Eine ganzheitliche Sicht auf Unternehmens-Firewalls .................................................... 13
Check Point Enterprise Firewalls: Vom Next-Gen zu einer Sicherheitsarchitektur .................... 14
Zusammenfassung und nächste Schritte ................................. 21
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION LEITFADEN FÜR KÄUFER | 2
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 3
Die Landschaft der Cybersicherheit verändert sich Die Welt, wie wir sie kennen, hat sich verändert, und Ihr Unternehmen auch. Unternehmen auf der ganzen Welt suchen nach Möglichkeiten, sich zuverlässig zu verbinden, schnell zu skalieren und ihre mobilen Mitarbeiter zu schützen. Gleichzeitig halten Bedrohungsakteure Schritt.
Laut dem Cybersicherheitsbericht 2022 verzeichneten Softwareanbieter im Jahr 2021 das größte Wachstum im Vergleich zum Vorjahr, mit einem Anstieg von 146 % gegenüber 2020. Das sollte nicht überraschend sein, wenn man bedenkt, dass das Jahr 2020 mit dem Angriff auf die Lieferkette von SolarWinds endete.
Im Jahr 2021 war der Bereich Bildung und Forschung mit durchschnittlich 1.605 wöchentlichen Angriffen am stärksten betroffen. Im Jahr 2021 wurden auch Cloud-Dienste angegriffen, Bedrohungsakteure konzentrierten sich zunehmend auf mobile Geräte, die Colonial Pipeline wurde erpresst und Emotet, eines der gefährlichsten Botnetze der Geschichte, war wieder auf dem Vormarsch.
1 Cisco Global Cloud Index, Forecast und Methodik, 2016-2021 https://virtualization.network/Resources/Whitepapers/0b75cf2e-0c53-4891-918e-b542a5d364c5_white-paper-c11-738085.pdf
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 4
Definition Firewall Eine Firewall ist ein Netzwerksicherheitsgerät, das den ein- und ausgehenden Netzwerkverkehr überwacht. Eine Firewall setzt die Sicherheitsrichtlinien einer Organisation durch, indem sie den Netzwerkverkehr filtert. Auf ihrer grundlegendsten Ebene ist eine Firewall im Wesentlichen die Grenze oder Barriere zwischen zwei Netzwerken, um Bedrohungen im eingehenden Datenverkehr zu identifizieren und bestimmten Datenverkehr zu blockieren, sobald er durch einen definierten Satz von Sicherheitsregeln gekennzeichnet ist, während sie nicht bedrohlichen Datenverkehr durchlässt.
Firewalls gibt es seit den späten 80er- Jahren, die zunächst als „Paketfilter“ dienten, d. h. als Netzwerke, die eingerichtet wurden, um zwischen Computern übertragene Pakete zu untersuchen. Sie haben sich seither weiterentwickelt, aber das Grundprinzip, warum sie so wichtig sind, ist geblieben: Sie ermöglichen es einem Unternehmen, Sicherheitsrichtlinien auf Netzwerkebene durchzusetzen und alle Geräte hinter der Firewall zu schützen, ohne diese Richtlinien auf jedem Gerät implementieren zu müssen.
ARTEN VON FIREWALLS • Paketfilterung: Daten werden aufgrund einer
kleinen Menge an Informationen (z. B. Netzwerkadresse) im Kopf jedes Pakets blockiert oder zugelassen.
• Proxy-Service: Netzwerksicherheitssystem, das bei der Filterung von Nachrichten auf der Anwendungsebene schützt.
• Zustandsbezogene Untersuchung: Dynamische Paketfilterung, die aktive Verbindungen überwacht, um festzustellen, welche Netzwerkpakete durch die Firewall zugelassen werden sollen.
• Firewall der nächsten Generation: Deep Packet Inspection Firewall mit Überprüfung auf Anwendungs ebene.
In der IDC-Umfrage 2022 geben die Unternehmen an, dass die Sicherheit eine entscheidende Rolle bei der digitalen Transformation (DX) spielt. Während sie Arbeitslasten in die Cloud verlagern, modernisieren sie im gleichen Tempo auch ihre Rechenzentren.
Seit der Veröffentlichung unseres letzten Jahresberichts haben Cyberangriffe um durchschnittlich 50 % zugenommen, wobei der Bildungs- und Forschungssektor mit durchschnittlich 1.605 Angriffen pro Woche im Laufe des Jahres am stärksten betroffen war.
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 5
WAS BEWIRKEN SIE? Eine Firewall ist ein notwendiger Bestandteil jeder Sicherheitsarchitektur und vermeidet Mutmaßungen über den Schutz auf Host-Ebene und überträgt diese auf Ihr Netzwerksicherheitssystem. In einem ordnungsgemäß segmentierten Netzwerk erzwingen Firewalls Zero-Trust-Zugriff mit minimalen Privilegien für IoT-Geräte, Benutzer, Gruppen, Anwendungen und Systeme. Dazu gehören Makrosegmentierungs Grenzkontrollen für den Nord-/Süd-Datenverkehr, der in das geschützte Segment eintritt und es verlässt, sowie die Mikrosegmentierung zur Überprüfung des Ost-/West-Datenverkehrs zwischen virtuellen Maschinen in privaten, öffentlichen und hybriden Cloud-Umgebungen sowie des „vertrauenswürdigen“ Datenverkehrs innerhalb eines Rechenzentrums.
Firewalls sind auch vielseitig einsetzbare Netzwerkgeräte. Sie verwenden dynamische Routing-Protokolle, um Verkehrsströme zu leiten. Sie übersetzen Netzadressen von einem Netz in ein anderes, von privat zu öffentlich und von IPv4 zu IPv6. Sie sind VPN-Abschlusspunkte (Virtual Private Network) für Site-to- Site- und Client-to-Site-VPNs. Als Anfang 2020 die Arbeit auf remote umgestellt wurde, waren VPN- und SSL-VPN-Portalfunktionen für den Fernzugriff von entscheidender Bedeutung, um die Mitarbeiter in Verbindung zu halten.
Die vielleicht wichtigste dieser Funktionen ist die Bedrohungsprävention. Firewalls der nächsten Generation konzentrieren sich darauf, Malware und Angriffe auf Anwendungsebene zu blockieren. Das integrierte IPS (Intrusion Prevention System) in Firewalls der nächsten Generation ermöglicht es Unternehmen, anfällige Systeme schnell und nahtlos zu patchen, manchmal bevor ein Sicherheitsupdate entwickelt wird. Unterm Strich können sie Ihr Netzwerk besser schützen und schnelle Analysen durchführen, um invasive oder verdächtige Aktivitäten wie Malware zu erkennen und es abzuschalten.
CHECK POINT NEXT GENERATION FIREWALL BUYER'S GUIDE | 5
WHAT DO THEY DO? A Firewall is a necessary part of any security architecture and takes the guesswork out of host level protections and entrusts them to your network security device. In a properly segmented network, firewalls enforce zero trust least privileged access for IoT devices, users, groups, applications, and systems. This includes macro segmentation boundary controls for north/south traffic entering and exiting the protected segment and micro segmentation to inspect east/west traffic between virtual machines in private, public and hybrid cloud environments.
Firewalls are also multi-purpose network devices. They use dynamic routing protocols to route traffic flows. They translate network addresses from one network to another; private to public and IPv4 to IPv6. They are virtual private network (VPN) termination points for site-to-site and client-to-site VPNs. When work shifted to remote in early 2020 remote access VPN and SSL VPN portal capabilities were vital for keeping employees connected.
Perhaps most important of all of these capabilities is threat prevention. Next Generation Firewalls focus on blocking malware and application-layer attacks. Integrated IPS (intrusion prevention system) in Next Generation Firewalls quickly and seamlessly enables companies to virtually patch vulnerable systems, sometimes before a security update is developed. Bottom line, they can better defend your network and carry out quick assessments to detect invasive or suspicious activity, like malware, and shut it down.
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 6
WARUM BRAUCHEN SIE SIE? Prävention ist entscheidend. Jedes Netzwerk braucht einen Schutz vor Malware, und ein fortschrittlicher Schutz vor Malware umfasst viele Schutzebenen. Es gibt viele Arten von Malware, vor denen eine Firewall schützen kann, einschließlich:
Virus: Ein Virus ist eine bösartige, herunterladbare Datei, die andere Computerprogramme durch ihren eigenen Code verändert. Sobald er sich verbreitet, sind diese Dateien infiziert und können sich von einem Computer zum anderen ausbreiten und/oder Netzwerkdaten beschädigen oder zerstören.
Würmer: Ein Wurm ist eine eigenständige Malware, die sich unabhängig von anderen Dateien verbreiten und arbeiten kann, während ein Virus zur Verbreitung ein Wirtsprogramm benötigt. Sie können Computernetzwerke verlangsamen, indem sie Bandbreite verbrauchen und die Effizienz Ihres Computers bei der Datenverarbeitung beeinträchtigen.
Trojaner: Ein Trojaner ist ein Hintertürprogramm, das böswilligen Benutzern einen Zugang zum Computersystem verschafft, indem es ein Programm verwendet, das wie ein echtes Programm aussieht, sich aber schnell als schädlich herausstellt. Ein Trojaner kann Dateien löschen, andere im Computernetzwerk versteckte Malware wie einen Virus aktivieren und wertvolle Daten stehlen.
Spyware: Wie der Name schon sagt, ist Spyware ein Computervirus, der Informationen über eine Person oder Organisation ohne deren ausdrückliches Wissen sammelt und die gesammelten Informationen ohne die Zustimmung des Verbrauchers an eine Drittpartei senden kann.
Adware: Kann Ihre Suchanfragen auf Werbe-Webseiten umleiten und dabei Marketingdaten über Sie sammeln, wodurch auf der Grundlage Ihrer Such- und Kaufhistorie maßgeschneiderte Anzeigen angezeigt werden.
Phishing: Bei diesem Angriff manipulieren scheinbar legitime Nachrichten einen Benutzer und veranlassen ihn, eine schädliche Datei zu installieren, auf einen schädlichen Link zu klicken oder vertrauliche Informationen wie Zugangsdaten preiszugeben.
Ransomware: Hierbei handelt es sich um eine Art von trojanischer Cyberware, die darauf abzielt, Geld über den Computer der Person oder Organisation, auf dem sie installiert ist, zu erlangen, indem sie Daten verschlüsselt und so unbrauchbar macht und den Zugang zum System des Benutzers blockieren.
Es sollte auch beachtet werden, dass Firewalls bei der Einhaltung von Vorschriften allgegenwärtig sind. Sie sind in der Regel verpflichtet, die in den Geltungsbereich fallenden Systeme vor dem Internet und vor anderen Teilen der Unternehmensumgebung zu schützen. Sie sind mit Sicherheitsrichtlinien konfiguriert, die den gesamten Datenverkehr mit Ausnahme der für Produktionsanwendungen erforderlichen Daten abweisen, Daten während der Übertragung in verschlüsselten Tunneln schützen und auch die für die Einhaltung der Vorschriften erforderlichen Kontrollen zur Prävention von Bedrohungen anwenden können.
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 7
ARTEN VON SCHUTZMASSNAHMEN FÜR DIE NETZWERKSICHERHEIT Jede Diskussion über Firewalls erfordert einen Schritt zurück, um die Arten von Netzwerksicherheitsfunktionen zu betrachten, die Unternehmen von einer Firewall der nächsten Generation erwarten können.
Netzwerksegmentierung Die Netzwerksegmentierung definiert Grenzen zwischen Netzwerksegmenten, wenn die Anlagen innerhalb der Gruppe eine gemeinsame Funktion, ein gemeinsames Risiko oder eine gemeinsame Rolle innerhalb einer Organisation haben. Das Perimeter-Gateway trennt zum Beispiel ein Unternehmensnetz vom Internet. Potenzielle Bedrohungen außerhalb des Netzwerks werden verhindert, so dass die sensiblen Daten eines Unternehmens innerhalb des Netzwerks bleiben. Unternehmen können noch weiter gehen, indem sie zusätzliche interne Grenzen innerhalb ihres Netzwerks definieren, die eine verbesserte Sicherheit und Zugangskontrolle ermöglichen.
Zugriffskontrolle Die Zugriffskontrolle definiert die Personen oder Gruppen und die Geräte, die Zugriff auf Netzwerkanwendungen und -systeme haben, und verwehrt so unerlaubten Zugriff und möglicherweise Bedrohungen. Durch die Integration von IAM-Produkten (Identity and Access Management) kann der Benutzer eindeutig identifiziert werden, und RBAC-Richtlinien (Role-based Access Control) stellen sicher, dass die Person und das Gerät für den Zugriff auf das Asset autorisiert sind.
Remote Access VPN Remote Access VPN bietet einzelnen Hosts oder Clients, wie Telearbeitern, mobilen Benutzern und Extranet-Nutzern, einen sicheren Fernzugriff auf ein Unternehmensnetz. Jeder Host verfügt in der Regel über eine geladene VPN-Client-Software oder verwendet einen webbasierten Client. Die Privatsphäre und Integrität sensibler Informationen wird durch Multi-Faktor-Authentifizierung, Endgeräte-Compliance- Scanning und Verschlüsselung aller übertragenen Daten gewährleistet.
Zero Trust Networks Das Zero-Trust-Sicherheitsmodell besagt, dass ein Benutzer nur über die Zugriffsrechte und Berechtigungen verfügen sollte, die er zur Erfüllung seiner Rolle benötigt. Dies ist ein ganz anderer Ansatz als das herkömmliche an Perimetern orientierte Sicherheitsmodell. Zero Trust ist ein Data- First-Ansatz zur Erzielung von Sicherheit durch Mikrosegmentierung. Mithilfe von Firewalls können Unternehmen eine Richtlinie für den am wenigsten privilegierten Zugang auf Netzwerkebene durchsetzen. Auf diese Weise haben nur die richtigen Benutzer und Geräte den Zugriff, den sie zur Erfüllung ihrer Aufgaben benötigen.
E-Mail-Sicherheit E-Mail-Sicherheit bezieht sich auf alle Prozesse, Produkte und Dienste, die Ihre E-Mail-Konten und E-Mail-Inhalte vor externen Bedrohungen schützen. Die meisten E-Mail-Anbieter verfügen über integrierte E-Mail-Sicherheitsfunktionen, die für Ihre Sicherheit sorgen sollen, aber diese reichen möglicherweise nicht aus, um gezielte Phishing-Angriffe und Zero-Day-Malware zu verhindern.
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 8
Web Security Das Internet ist allgegenwärtig und erfordert sich ständig aktualisierende Funktionen zur Überprüfung von Webprotokollen, die Millionen von Websites genau kategorisieren, dynamische Objekte zur automatischen Aktualisierung von Listen vertrauenswürdiger Cloud-Dienste sowie KI-gestützte Bedrohungsinformationen. Bedrohungsakteure nutzen Web-Infrastrukturen, um bösartige Aktivitäten zu verbergen und direkt oder indirekt Schwachstellen auszunutzen, indem sie ahnungslose Internetnutzer mit gezielten Phishing-Kampagnen in die Irre führen.
Data Loss Prevention (DLP) Data Loss Prevention (DLP) ist eine Cybersicherheitsmethode, die Technologie und bewährte Verfahren kombiniert, um zu verhindern, dass sensible Daten außerhalb eines Unternehmens preisgegeben werden, insbesondere regulierte Daten wie personenbezogene Daten (PII) und Daten im Zusammenhang mit der Einhaltung von Vorschriften: HIPAA, SOX, PCI DSS, usw.
Intrusion Prevention Systems (IPS) IPS-Technologien können Angriffe auf die Netzsicherheit wie Brute-Force-Angriffe, Denial-of- Service-Angriffe (DoS) und die Ausnutzung bekannter Schwachstellen erkennen oder verhindern. Eine Schwachstelle ist eine Sicherheitslücke in einem Softwaresystem, und ein Exploit ist ein Angriff, der diese Schwachstelle ausnutzt, um die Kontrolle über das System zu erlangen. Wenn eine Schwachstelle bekannt gegeben wird, gibt es für Angreifer oft ein Zeitfenster, in dem sie diese Schwachstelle ausnutzen können, bevor das Sicherheits-Patch angewendet wird. Ein Intrusion Prevention System kann in diesen Fällen eingesetzt werden, um diese Angriffe schnell zu blockieren.
Sandboxing Sandboxing ist eine Cybersicherheitspraxis, bei der Code oder geöffnete Dateien in einer sicheren, isolierten Umgebung auf einem Host-Computer ausgeführt werden, der die Betriebsumgebung des Endbenutzers nachahmt. Sandboxing beobachtet die Dateien oder den Code, während sie geöffnet werden, und sucht nach bösartigem Verhalten, um zu verhindern, dass Bedrohungen in das Netzwerk gelangen. Zum Beispiel kann Malware in Dateien wie PDF, Microsoft Word, Excel und PowerPoint sicher erkannt und blockiert werden, bevor die Dateien einen arglosen Endbenutzer erreichen.
Firewall Anmwendungen der nächsten Generation Netzwerk-Firewalls werden zwar traditionell als Hardware-Sicherheits-Gateway eingesetzt, aber das ist nicht die einzige Anwendung. Sie haben sich weiterentwickelt und werden heute in verschiedenen Formfaktoren eingesetzt.
Belastbare, skalierbare Netzwerksicherheit Hyperscale ist die Fähigkeit einer Architektur, bei steigender Nachfrage nach dem System entsprechend zu skalieren. Diese Lösung umfasst die schnelle Bereitstellung und die Skalierung nach oben oder unten, um Änderungen der Anforderungen an die Netzsicherheit zu erfüllen. Durch die enge Integration von Netzwerk- und Rechenressourcen in einem softwaredefinierten System ist es möglich, Arbeitslasten über alle in einer Cluster-Architektur verfügbaren Hardwareressourcen auszugleichen, um eine hohe Verfügbarkeit und Ausfallsicherheit zu gewährleisten.
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 9
Cloud Network Security Anwendungen und Workloads werden nicht mehr ausschließlich vor Ort in einem lokalen Rechenzentrum gehostet. Der Schutz des modernen Rechenzentrums erfordert mehr Flexibilität und Innovation, um mit der Migration von Anwendungs-Workloads in die Cloud Schritt zu halten. Software- Defined Networking (SDN)- und Software-Defined Wide Area Network (SD-WAN)-Lösungen ermöglichen Netzwerksicherheitslösungen in privaten, öffentlichen, hybriden und Cloud-gehosteten Firewall-as-a- Service (FWaaS)-Bereitstellungen.
Latenzempfindliche Anwendungen mit hohem Durchsatz Rechenzentren, E-Commerce- und Service-Provider-Umgebungen stellen besondere Anforderungen an die Sicherung von vertrauenswürdigem Datenverkehr mit Geschwindigkeiten von mehreren hundert Gigabit/Sek. oder Terabit/Sek. Darüber hinaus erfordern Finanzdienstleistungen wie der Hochfrequenzhandel Firewalls, die mit einer extrem niedrigen Latenzzeit arbeiten. Firewalls haben sich entwickelt, um diese anspruchsvollen Umgebungen zu sichern.
Auf dem Stand der Technik: Die „Firewall der nächsten Generation“ wird zur „Netzwerk-Firewall“ Unternehmen haben sich für Firewalls der nächsten Generation (NGFW) entschieden, da diese eine Vielzahl kritischer Sicherheitsfunktionen unterstützen und Anwendungen erkennen. Tatsächlich hat Gartner begonnen, den Begriff Network Firewall zu verwenden, um die rasche Erweiterung der Funktionalität über NGFW hinaus zu beschreiben. Netzwerk-Firewalls sind ein wichtiges Element jeder Sicherheitsarchitektur, aber die Entscheidung, welche Firewall man kaufen sollte, ist nicht einfach. Während die Firewall- Technologie früher recht einfach war, sind Unternehmens-Firewalls heute echte Sicherheits-Gateways, die eine Vielzahl von Funktionen und Formfaktoren unterstützen. Netzwerk-Firewalls sind nicht nur physische Geräte, sondern umfassen auchvirtuelle Firewalls, die als Firewall-as-a-Service (FWaaS) oder als virtuelle Maschine auf einem Hypervisor in einer öffentlichen oder privaten Cloud angeboten werden.
Dieser Firewall-Leitfaden der nächsten Generation definiert die obligatorischen Funktionen der Unternehmens-Firewall der nächsten Generation. Sie können die in diesem Dokument definierten Funktionen verwenden, um Ihre nächste Unternehmens-Firewall-Lösung auszuwählen. Darüber hinaus erläutern wir, wie die Lösung von Check Point über die grundlegenden Anforderungen hinausgeht und erstklassige Unternehmens-Firewalls für Firmen jeder Größe bietet. Wie Gartner, konzentrieren wir uns auf transformatorische Technologien oder Ansätze, die die zukünftigen Bedürfnisse von Endnutzern und Firmen erfüllen. Da „Next Generation Firewall“ (NGFW) bzw. „Firewall der nächsten Generation“ immer noch von der Mehrheit der Industrie verwendet wird, werden wir in diesem Dokument „Next Generation Firewall“ bzw. „Firewall der nächsten Generation“ und „Netzwerk-Firewall“ austauschbar verwenden.
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 10
Erforderliche Funktionen der Firewall Check Point ist der Meinung, dass eine Unternehmens-Firewall neun wichtige Funktionen unterstützen muss, um sich gegen eine schnell wachsende Bedrohungslandschaft zu schützen:
SECURIT Y MANAGEMENT Effektive Firewall-Architekturen in Unternehmen sind ohne Management unmöglich. Die Funktionen einer Firewall sind nutzlos, wenn sie nicht effizient genutzt werden können. Daher beginnt die Suche nach einer Firewall der nächsten Generation mit der
Verwaltungsplattform. Sicherheitsmanagement ist nicht nur eine Frage der Konfiguration, sondern das gesamte Paradigma des Sicherheitsbetriebs muss berücksichtigt werden:
• An erster Stelle steht die Benutzerfreundlichkeit, da die Benutzeroberfläche den Personalaufwand für die Durchführung eines Vorgangs reduziert. Mit anderen Worten: Wählen Sie das beste Werkzeug für die jeweilige Aufgabe.
• Konsistente Umsetzung der Richtlinien in der gesamten Sicherheitsinfrastruktur (einschließlich, aber sicherlich nicht beschränkt auf die Firewalls)
• Bedrohungserkennung und Reaktion auf Vorfälle über den gesamten Lebenszyklus
• Skalierung (verwaltete Geräte, Anzahl der Administratoren und Anzahl der am Betrieb beteiligten Rollen/Teams)
• Änderungsverwaltung, Arbeitsabläufe und Aufgabentrennung, einschließlich Überprüfungen, Bearbeitungen und Genehmigungen durch den Hauptverantwortlichen
• Automatisierung und Orchestrierung mit IT- und Sicherheitslösungen von Drittanbietern, sowie mit Virtualisierung von Rechenzentren, Cloud- und DevOps-Automatisierung;
• Einhaltung von Vorschriften und Auditkontrollen, Validierung und Berichterstattung
THREAT PREVENTION Die wichtigste Funktion, die den Unternehmens-Firewalls hinzugefügt wurde, ist die Integration einer robusten Bedrohungsabwehr der Schichten 1 bis 7. Anfangs lag der Fokus auf der Integration von IPS zur Konsolidierung der Hardware, aber moderne
Firewalls müssen weit darüber hinausgehen: Sandboxing, Anti-Phishing, Anti-Virus und Anti-Bot sind alles mögliche Techniken zur Bedrohungsprävention. Viele Anbieter verwenden Cloud-basierte Analysen und Bedrohungsinformationen in Verbindung mit ihren Firewalls. Diese Cloud-Plattformen leiten Updates zur Bedrohungsabwehr an die Firewalls weiter und erhalten Updates für Malware-Indikatoren, damit diese an andere weitergegeben werden können. Darüber hinaus muss die heutige Unternehmensfirewall mit NAC- und Analysesystemen von Drittanbietern integriert werden, die IoCs dynamisch an die Firewall weiterleiten und so ein sichereres und widerstandsfähigeres Ökosystem schaffen.
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 11
PRÜFUNG UND KONTROLLE Da die Anwendungen immer ausgefeilter wurden, mussten sich die Firewalls weiterentwickeln, um sie zu erkennen, da es sonst unmöglich ist, eine zuverlässige Regel auf der Grundlage der Anwendung zu erstellen. Daher ist es wichtig, eine Firewall zu wählen, die eine breite (so viele Anwendungen wie möglich), tiefe (Unterfunktionen
innerhalb von Anwendungen), intelligente (in der Lage, die Anwendung zu finden, selbst wenn eine Umgehungstechnologie verwendet wird) und dynamische (häufige Aktualisierungen, wenn sich Anwendungen vermehren oder ändern) Anwendungsunterstützung bietet.
IDENTITÄTSBASIERTE PRÜFUNG UND KONTROLLE Firewall-Regeln, die auf einfachen IP-Adressen basieren, werden angesichts des Übergangs zu dynamischer Adressierung, Cloud-Architekturen und gruppenbasierten Richtlinien immer weniger relevant. Eine Unternehmens-Firewall muss Richtlinien unterstützen, die auf Benutzern oder (wichtigeren) Benutzergruppen basieren.
Die häufigste Situation ist eine gruppenbasierte Richtlinie, die den primären Identitätsspeicher der Organisation nutzt, typischerweise die Active Directory-Gruppenmitgliedschaft. Richtlinien wie diese sind äußerst vorteilhaft, da sie typische Prozesse (verschieben/hinzufügen/ändern von Benutzern) automatisieren und die an der Firewall erforderlichen Konfigurationsänderungen verringern.
CLOUD-SUPPORT Es ist unbestreitbar, dass die Cloud-basierte IT neben der On-Premises-Infrastruktur zu den praktikablen Unternehmensarchitekturen gehört. Daher müssen Unternehmens- Firewalls die Sicherheit erweitern, um strategische Workloads zu schützen. Das bedeutet natürlich, dass das Angebot hardware- und softwarebasierte Optionen
zur Unterstützung hybrider Cloud-Umgebungen umfassen muss, aber das reicht für eine echte Unternehmensunterstützung nicht aus. Der Anbieter muss außerdem die verwendeten Automatisierungs- und Orchestrierungsmanagementmodelle, skalierbare Leistung basierend auf dynamischen Arbeitslasten und Verbrauchsmodelle berücksichtigen, die eine kostengünstige Bereitstellung ermöglichen.
SKALIERBARE LEISTUNG Die große Vielfalt an Dienstleistungen, die von den Firewalls der nächsten Generation unterstützt werden, erfordern erhebliche Mengen an Rechen- und Speicherressourcen, was zu Leistungsengpässen führen und die Verfügbarkeit von Anwendungen und die Benutzerfreundlichkeit beeinträchtigen kann. Es gibt verschiedene Ansätze, mit dieser
Überlegung umzugehen, die alle ihre Vor- und Nachteile haben. Die wichtigsten Anforderungen sind jedoch, dass die Leistung bei steigenden Anforderungen problemlos skaliert werden kann und dass Hardwarebeschränkungen Sie nicht daran hindern, die neuesten Technologien und Algorithmen zur Bedrohungsprävention einzusetzen, oder zu sehr unterschiedlichen Leistungsüberlegungen bei virtuellen oder Cloud- und Hardware-Implementierungen führen.
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 12
ÜBERPRÜFUNG DES VERSCHLÜSSELTEN DATENVERKEHRS Der meiste Datenverkehr ist verschlüsselt. Leider haben Malware-Entwickler gleichzeitig gelernt, die Automatisierungsinitiativen der Zertifizierungsstellen (CA) wie die Verschlüsselung zu nutzen, um Phishing-Seiten zu erstellen, denen die Browser vertrauen.
Da der verschlüsselte Datenverkehr und die Bedrohungenzunehmen, müssen Firewalls in der Lage sein, diesen Datenverkehr zu untersuchen, um sowohl Richtlinien zu kontrollieren als auch Bedrohungen zu verhindern. Sie müssen auch so ausgereift sein, dass sie komplexe Richtlinien wie die selektive Entschlüsselung unterstützen, so dass bestimmter Datenverkehr (z. B. Online-Banking der Mitarbeiter) von der Entschlüsselung ausgeschlossen werden kann, um rechtliche oder haftungsrechtliche Fallstricke zu vermeiden.
AUTONOME THREAT PREVENTION Die Technologie zur Erkennung und Abwehr von Bedrohungen ist nicht nur in einem einzelnen Netzwerkgerät enthalten, sondern besteht aus einem System miteinander verbundener Komponenten. Zusätzlich zu den Netzwerksicherheits-Durchsetzungspunkten, die den Netzwerkverkehr überwachen, gibt es Managementsysteme, die Richtlinien
festlegen und Aktualisierungen einspeisen, während sich die Bedrohungen ändern, Protokolldaten von den Durchsetzungspunkten sammeln und Analysesysteme, um die Bedrohungen in den Milliarden von Ereignissen, die täglich auftreten, zu finden.Die Reaktionszeiten auf Bedrohungen sind kürzer, wenn Infrastrukturprozesse automatisiert sind und nicht manuell gesteuert werden müssen.
SICHERHEITS-AUTOMATISIERUNG Die Netzwerksicherheit ist ein Teil der Unternehmensinfrastruktur, die auch Identitätsspeicher, Kommunikationsgeräte, Datenbanken, Webdienste, Netzwerkkomponenten und neuerdings auch "Internet of Things" Geräte, sowie Cloud- Anwendungen, -Dienste und -Arbeitslasten umfasst. Die Sicherheit ist besser, wenn diese
Systeme miteinander verbunden sind, z. B. wenn Firewalls mit Windows Active Directory oder IAM-Systemen (Identitäts- und Zugriffsmanagement) verbunden sind, um eine stärkere und dynamischere benutzerbasierte Sicherheitsrichtlinie zu schaffen. Mit dem Übergang zu Cloud und Software-defined Networking (SDN) sind Firewalls zu modularen Komponenten geworden, die bereitgestellt, konfiguriert und in eine automatisierte Sicherheitsorchestrierung und -reaktion (SOAR) auf Bedrohungen eingebunden werden können.
IOT- UND OT-SICHERHEIT Internet of Things (IoT)-Geräte reichen von intelligenten Türklingeln und Gebäudemanagementsysteme in Privathaushalten und Büros bis hin zu speziellere Geräten, wie tragbare medizinische Geräte in Krankenhäusern und speicherprogrammierbare Steuerungen (SPS) in der Fertigung und anderen
Betriebstechnikumgebungen. Um sie zu schützen, sind Firewalls erforderlich, die die von IoT- Geräten verwendeten Protokolle kontrollieren können, sowie ein Firewall-Management, das mit Erkennungssystemen verbunden ist, die das IoT kontinuierlich überwachen und Richtlinien zur Sicherung des IoT anwenden.
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 13
Check Point: Eine ganzheitliche Sicht auf Unternehmens-Firewalls Check Point verfolgt einen ganzheitlichen Ansatz für die Sicherheitsarchitektur. Jede Komponente nutzt Echtzeit-Bedrohungsdaten, um einen einheitlichen Überblick über die Bedrohungslandschaft zu erhalten, sodass Cyber-Angriffe schnell entdeckt und abgewehrt werden können. Dieser Ansatz steht im deutlichen Gegensatz zu den isolierten Sicherheitslösungen, die heute auf dem Markt sind.Die Entwicklung von Firewall-Funktionen und -Anwendungen hat diesen einheitlichen Ansatz, der sich zuletzt in der Infinity- Architektur von Check Point manifestiert hat, nicht verändert. Wir glauben, dass Firewall-Gateways in ein breiteres Sicherheitskonzept passen, in dem Firewalls eine Rolle spielen:
Praktisch alle Organisationen kämpfen um die Gewährleistung der Sicherheit, zum großen Teil aufgrund der Tatsache, dass sie Punktlösungen erwerben und versuchen, diese (erfolglos) in eine zwangsläufig komplexe Sicherheitsarchitektur zu integrieren. Daher glauben wir, dass Organisationen, die sich für eine Firewall der nächsten Generation oder eine Unternehmens-Firewall entscheiden, im Rahmen von Betriebsabläufen in der Größenordnung denken müssen, anstatt sich mit produktspezifischen Feature-Listen oder Preis-/ Leistungsansprüchen auseinanderzusetzen. Im folgenden Abschnitt des Einkaufsführers beschreiben wir, wie die Unterstützung der Unternehmens-Firewall durch Check Point auf unsere Sicherheitsarchitektur abgestimmt ist.
Zentralisiertes Management Zentralisierte Verwaltung einheitlicher Richtlinien, die anwendungsbasierte
Kontrollen unterstützen und die auf Benutzer, Inhalte und Daten abgestimmt sind
DevSecOps-Automatisierung und -Orchestrierung Kodifizierung der Abläufe für die Bereitstellung, das Konfigurationsmanagement und
die Reaktion auf Bedrohungen in CI/CD-Pipelines
Hyperskalierbar Ermöglichen Sie bedarfsgerechtes Wachstum und die Nutzung vorhandener Ressourcen
mit effizienten N+1-Clustering-Funktionen (Lastverteilung)
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 14
Check Point Enterprise Firewalls: Von der nächsten Generation zu einer Sicherheitsarchitektur
SECURIT Y MANAGEMENT Das Sicherheitsmanagement von Check Point hat in unseren Architekturen schon immer eine fundamentale Rolle gespielt und ist die Grundlage für ein funktionsfähiges Richtlinienmanagement, die Reaktion auf Vorfälle und die Einhaltung von Vorschriften. Auf höchster Ebene unterstützt die Managementarchitektur:
• Ein einziges Richtlinienkonstrukt für Netzwerk, Cloud, Endpunkt, Mobilgeräte und IoT in der Infinity- Architektur
• Einheitliche Bedrohungsabwehr und Zugriffskontrolle in einer einzigen Richtlinie, sowohl vor Ort als auch in der Cloud
• Validierung der Compliance-Kontrolle mit Vorlagenunterstützung für gängige Compliance-Vorschriften • Konsolidiertes, umsetzbares Bedrohungsmanagement (SmartEvent) und Integrationen mit großen SIEM-
Anbietern • Gruppenbasierte Delegierung von Verwaltungsbefugnissen mit vollständiger Workflow-Unterstützung • Orchestrierung von Integrationen mit virtuellen und Cloud-Umgebungen, einschließlich der automatischen
Einbindung von Diensten
• Offene APIs zur Unterstützung von Drittanbieter-Integrationen und Softwareentwicklungstools Ansible und Terraform
Die Verwaltung von Check Point wurde auf der Grundlage der Erfahrungen aus fast 30 Jahren Kundenerfahrung beim Betrieb unserer Firewalls und Sicherheits-Gateways gesammelten Erfahrungen entwickelt.Dadurch sind wir in der Lage, die Personalkosten für den laufenden Betrieb um bis zu 50 % zu reduzieren. Eine umfassende Beschreibung unserer Managementfähigkeiten würde den Rahmen dieses Dokuments eindeutig sprengen. Letztlich ist es jedoch das Management, das den Unterschied zwischen Erfolg und Misserfolg ausmacht, wenn es um die betriebsfähige, netzwerkbasierte Sicherheit geht.
Einheitliche Zugriffsrichtlinie: Einmal schreiben, überall bereitstellen, mit vollständiger Identitäts- und Anwendungserkennung.
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 15
THREAT PREVENTION Ein wesentliches Unterscheidungsmerkmal von Check Point im Vergleich
zu anderen Firewalls ist die Integration von erstklassigem Schutz vor Bedrohungen in die gesamte Architektur. Während andere zugeben, dass Angreifer eindringen werden und sich auf Erkennung und Reaktion konzentrieren, liegt unser Fokus darauf, Angriffe zu stoppen, bevor sie erfolgreich sind. Dazu gehört die Abwehr der neuesten groß angelegten, multivektoriellen GenVI-Angriffe, zusätzlich zu den herkömmlichen Angriffen, die immer noch weit verbreitet sind.
Dieser Schwerpunkt zeigt sich unter anderem in folgenden Fähigkeiten:
• ThreatCloud, Check Points spezielle cloudbasierte Plattform, die dynamische Sicherheitsinformationen in Echtzeit an unsere Firewalls und unsere mobilen und Endpunkt-Sicherheitsprodukte weitergibt.
• ThreatCloud-KI-Engines, die Malware weit über AV und statische Analysen hinaus erkennen und gleichzeitig die Zahl der Fehlalarme um das Zehnfache reduzieren.
• SandBlast Threat Emulation (Sandboxing), die selbst Zero-Day-Angriffe blockiert, bevor sie ihre Ausweichtechniken starten können.
• SandBlast Threat Extraction (Content Disarm and Reconstruction), das den Benutzern sichere und saubere Dateien liefert und sie vor Infektionen schützt. Dazu gehören die Extraktion von Web-Bedrohungen und die Dokumentenbereinigung für Web-Downloads.
• Anti-Phishing, das Phishing-Angriffe erkennt und blockiert, bevor Benutzer infiziert werden können.
• Anti-Ransomware, die die frühen Angriffsphasen erkennt und blockiert, die zu Ransomware führen Infektionen.
KI-gestützte Bedrohungsprävention
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 16
UMSETZBARES BEDROHUNGSMANAGEMENT Das Menü für Protokolle und Überwachung bietet eine umfangreiche und anpassbare interaktive Ansicht aller Netzwerk- und Sicherheitsaktivitäten, die auf physischen/ internen Gateways, Cloud-basierten Gateways, End-/Mobilgeräten und IoT aufgezeichnet wurden.Administratoren können den Bereich der Rohprotokollansicht verwenden oder
eine der vordefinierten Ansichten im Ansichten-Untermenü wählen. Jede Ansicht ist ein interaktives Dashboard, das aus mehreren anwählbaren Widgets besteht, die anpassbare Bereiche bilden und dem Administrator einen Überblick über das Netzwerk und die Ereignisse basierend auf verschiedenen Themen bieten, z. B. Remote-Benutzer, MITRE ATT&CK (mit einer grafischen Darstellung einer aktualisierten MITRE-Heatmap, um die wichtigsten Techniken zu lokalisieren und zu den relevantesten aufzuschlüsseln) oder Bedrohungsprävention.
Dashboard zur Bedrohungsprävention
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 17
PRÜFUNG UND KONTROLLE VON ANWENDUNGEN Die Application Control-Funktion von Check Point unterstützt Sicherheitsrichtlinien zur Identifizierung, Zulassung, Blockierung oder Beschränkung der Nutzung von Tausenden von Anwendungen, einschließlich Internet und sozialen Netzwerken, unabhängig von Port, Protokoll oder Ausweichtechnik, die verwendet wird, um das Netzwerk zu durchqueren.
Und aktuell werden über 9.000 Web 2.0-Anwendungen erkannt und es kommen kontinuierlich weitere hinzu. Erweiterte Funktionen für die Benutzerinteraktion ermöglichen es Sicherheitsadministratoren, Mitarbeiter in Echtzeit über Einschränkungen des Anwendungszugriffs zu informieren und sie zu fragen, ob die Anwendung für geschäftliche oder private Zwecke genutzt wird. So können IT-Administratoren ein besseres Verständnis der Web-Nutzungsmuster gewinnen, Richtlinien anpassen und die persönliche Nutzung regulieren, ohne den Geschäftsfluss zu unterbrechen.
IDENTITÄTSBASIERTE INSPEKTION UND KONTROLLE Check Point war Vorreiter bei der Entwicklung benutzer- und gruppenbasierter Richtlinien. Unsere Firewalls und das Management sind in Microsoft AD, LDAP, RADIUS, Cisco pxGrid, Terminal Server und mit Drittanbietern über eine Web-API integriert. Und da die Verwaltungskonsole diese Richtlinien für unser gesamtes
Portfolio unterstützt, können Sie die Sicherheitsverwaltung vereinfachen und eine umfassende Sicherheitsabdeckung auf der Grundlage eines einzigen Satzes von Identitätsrichtlinien erhalten. Die Kombination von Identitäts- und Anwendungsbewusstsein ist für die Entwicklung dynamischer Sicherheitsrichtlinien unerlässlich.
CLOUD-SUPPORT Die Firewall von Check Point unterstützt sowohl virtuelle als auch Cloud- Implementierungen sowie ein komplettes Portfolio von Geräten, die die Anforderungen von Remote-Büros bis hin zu Rechenzentren erfüllen. Die Unterstützung virtueller Systeme ermöglicht es, ein einzelnes Software-Sicherheits-Gateway in mehrere
Zonen mit unabhängigen Ressourcen und unabhängiger Verwaltung zu segmentieren. Neben der traditionellen vSphere unterstützen wir Software-definierte Netzwerkumgebungen sowohl mit NSX als mit Cisco ACI. Im Bereich der öffentlichen IaaS-Cloud werden alle wichtigen Anbieter unterstützt, darunter AWS, Azure, GCP, Oracle und Alibaba Clouds. Die Integration mit der Cloud-Automatisierung ermöglicht die Instanziierung sowohl virtueller Gateways als auch vorlagenbasierter Sicherheitsrichtlinien ohne manuelle Eingriffe. Auf diese Weise können neue Arbeitslasten bei ihrer Bereitstellung ohne Verzögerungen bei der Implementierung durch manuelle Sicherheitskonfiguration gesichert werden.
CHECK POINT NEXT GENERATION FIREWALL BUYER'S GUIDE | 19
SCAL ABLE PERFORMANCE WITH ADVANCED SECURIT Y FUNCTIONS
Check Point’s portfolio offers powerful scaling options for both hardware and software- based firewalls. The Maestro Hyperscale solution brings the scale, agility and elasticity
of the cloud on premise with efficient N+1 hardware clustering based on Check Point HyperSync technology. Up to 52 gateways/fire- walls can be clustered to deliver up to 1,500 Gbps of throughput, while still being managed as a single entity. Start with what you need today, knowing that you can easily scale when needed without risky and complex upgrades or network redesigns. Check Point Maestro can support many modern use cases, such as capacity planning and work-from-home needs; organizations can add capacity seamlessly exact- ly when it’s needed to deal with new needs and traffic peaks.For cloud deployments, Check Point offers CloudGuard, available in both Pay-as-you- go (PAYG) and Bring-your-own-license (BYOL) pricing models. CloudGuard supports the same services as our physical firewalls, with transparent policy management across on-premises, virtual, and cloud gateways.
ENCRYPTED TRAFFIC INSPECTION Check Point enterprise firewall software includes SSL/TLS decryption and inspection, so that security policies can be applied to encrypted traffic. The software leverages crypto hardware acceleration built into Intel processors. Furthermore, our SecureXL technology
supports crypto acceleration using Check Point hardware models available on many of the security gateways. This acceleration is critical in situations requiring high-scale inspection and policy enforcement upon HTTPS encrypted traffic. Finally enterprise firewalls must securely categorize HTTPS traffic using the Server Name Indication (SNI) extension, inspect all of the latest cipher suites and curves such as TLS 1.3.
Maestro Hyperscale brings agility and non-disruptive scale to the data center for business of all sizes.
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 18
SKALIERBARE LEISTUNG MIT ERWEITERTEN SICHERHEITSFUNKTIONEN Das Portfolio von Check Point bietet leistungsstarke Skalierungsoptionen sowohl für Hardware- als auch für Software-basierte Firewalls. Die Maestro Hyperscale-Lösung bringt die Skalierung, Agilität und Elastizität der Cloud mit effizientem N+1-Hardware-
Clustering basierend auf der Check-Point-HyperSync-Technologie zu den Unternehmen. Bis zu 52 Gateways/Firewalls können zu einem Cluster zusammengefasst werden, um einen Durchsatz von bis zu 1.500 Gbps (1,5 Tbps) bei der Bedrohungsabwehr zu erzielen, während sie gleichzeitig als eine einzige Einheit verwaltet werden. Beginnen Sie mit dem, was Sie heute brauchen, und seien Sie sich bewusst, dass Sie bei Bedarf ohne riskante und komplexe Upgrades oder Netzwerk-Neugestaltungen einfach skalieren können. Check Point Maestro unterstützt viele moderne Anwendungsfälle, wie z. B. die Kapazitätsplanung und den Bedarf an Arbeit von zu Hause aus. Unternehmen können nahtlos Kapazitäten hinzufügen, genau dann, wenn sie benötigt werden, um neue Anforderungen und Traffic- Spitzen zu bewältigen. Check Point empfiehlt für Cloud-Bereitstellungen CloudGuard, das sowohl als Pay-as-you-go- (PAYG) als auch als Bring-your-own-Lizenz (BYOL) Preismodell erhältlich ist. CloudGuard unterstützt die gleichen Services wie unsere physischen Firewalls, mit transparenter Richtlinienverwaltung über lokale, virtuelle und Cloud-Gateways hinweg.
Maestro Hyperscale bringt Agilität und unterbrechungsfreie Skalierung in das Rechenzentrum für Unternehmen jeder Größe.
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 19
EXTREM NIEDRIGE L ATENZ, HYPER-SCHNELLE FIREWALL Unternehmen benötigen die Sicherheit von Rechenzentren, die mit der Geschwindigkeit des Netzwerks arbeiten, um die Übertragung von Hunderten von Terabytes an Daten innerhalb von Minuten statt Stunden zu ermöglichen, geringe Latenzzeiten für
hochfrequente Finanztransaktionen zu bieten und gleichzeitig nach Bedarf zu skalieren, um wachstumsstarke Unternehmen wie den Online-Handel zu unterstützen.
Die hyperschnellen Quantum Lightspeed Firewalls bieten einen Stateful-Firewall-Durchsatz von bis zu 800 Gbit/s pro Gateway bei einer besonders niedrigen Latenz von 3 Mikrosekunden. Bei Einsatz in einer Maestro-Lösung können Kunden den Firewall-Durchsatz auf 3 Tbps skalieren.
ÜBERPRÜFUNG DES VERSCHLÜSSELTEN DATENVERKEHRS Die Firewall-Software von Check Point für Unternehmen umfasst SSL/ TLS-Entschlüsselung und -Prüfung und ermöglicht so die Anwendung von Sicherheitsrichtlinien auf verschlüsselten Datenverkehr. Die Software nutzt die in den
Intel-Prozessoren integrierte Krypto-Hardware-Beschleunigung. Des Weiteren unterstützt unsere SecureXL-Technologie die Krypto-Beschleunigung mit Check-Point-Hardwaremodellen, die auf vielen der Sicherheits-Gateways verfügbar sind. Diese Beschleunigung ist kritisch in Situationen, in denen umfangreiche Überprüfungen und die Durchsetzung von Richtlinien bei HTTPS-verschlüsseltem Datenverkehr erforderlich sind. Schließlich müssen Unternehmens-Firewalls den HTTPS-Verkehr mit der Erweiterung Server Name Indication (SNI) sicher kategorisieren und alle aktuellen Cipher Suites und Kurven wie TLS 1.3 prüfen.
AUTONOME BEDROHUNGSPRÄVENTION Check Point verfügt über das branchenweit erste autonome Bedrohungspräventionssystem für Bedrohungen, das die arbeitsintensive manuelle Klassifizierung und Aktualisierung von Bedrohungen überflüssig macht. Alle Gateways werden automatisch durch KI-basierte Bedrohungsabwehr aktualisiert, um einen
vollständigen Schutz selbst vor Zero-Day-Bedrohungen zu gewährleisten. Mit der Bedrohungsprävention- Richtlinie von Infinity können Sicherheitsadministratoren mit einem einzigen Mausklick eine Bedrohungsabwehr implementieren. Die Richtlinie wird dann fortlaufend automatisch aktualisiert.
Es stehen fünf fertige Profile zur Auswahl. Wählen Sie einfach ein Schutzprofil, das zu Ihrem Netzwerk passt: Perimeter, Internes Netzwerk, Rechenzentrum Ost-West, Gast oder Strikt. Jedes Profil umfasst: IPS, reputationsbasierter Schutz (IP, URL, Domäne usw.), Sandboxing (unsere Bedrohungsemulation), Sanitization (CDR), d. h. unsere Bedrohungsextraktion, sowie Command and Control-Schutz. Sie werden entsprechend den jeweiligen Sicherheitsanforderungen des Netzsegments angepasst. Wählen Sie einfach das passende Profil für die Anforderungen Ihres Unternehmens, und schon sind Sie geschützt.
CHECK POINT NEXT GENERATION FIREWALL BUYER'S GUIDE | 9
The State of the Art: The "Next Generation Firewall" Becomes the "Network Firewall" Enterprises have standardized on next generation firewalls (NGFW) because of their broad support for multiple critical security functions and application awareness. In fact, Gartner has started using the term Network Firewall to describe the rapid expansion in functionality beyond NGFW. Network firewalls are a critical element of any security architecture, but trying to choose which one to buy is not a simple task. While firewall technology used to be fairly straightforward, these days enterprise firewalls are true security gateways which support a wide variety of functions and form factors. Network Firewalls are not just physical appliances, but also include virtual firewalls offered as a firewall as a service (FWaaS) or as a virtual machine running on a hypervisor in a public and private cloud.
This Next Generation Firewall Guide will define the mandatory capabilities of the next-generation enterprise firewall. You can use the capabilities defined in this document to select your next Enterprise Firewall solution. In addition, we will explain how Check Point’s solution goes beyond the basic requirements and provides best-in-class enterprise firewalls for any size business. Like Gartner, we focus on transformational technologies or approaches that deliver on the future needs of end users and businesses. Given the term “Next Generation Firewall” (NGFW) is still used by a majority of the industry we will use both “Next- Generation” and “Network” firewall terms interchangeably in this document.
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 20
SICHERHEITS-AUTOMATISIERUNG Check Point blickt auf eine lange Geschichte der Integration von Technologiepartnern zurück und verfügt heute über mehr als 100 Technologiepartnerschaften mit branchenführenden IAM-, SIEM-, Cloud-, Mobil-, Netzwerk-, SD-WAN-,
Bedrohungsinformationen- und IoT-Discovery-Anbietern. Für Kunden bedeutet dieses große Ökosystem an Technologiepartnerschaften, dass Check Point Firewalls sich nahtlos in jede Infrastruktur einfügen. Ermöglicht wird dies durch offene APIs und die Übernahme von Industriestandards. Eines der besten Beispiele dafür sind unsere Cloud-Netzwerk-Firewalls, die Cloud-native APIs verwenden. Automatische Bereitstellung und automatische Skalierung sowie automatische Richtlinienaktualisierungen stellen sicher, dass der Sicherheitsschutz mit allen Änderungen in öffentlichen und privaten Cloud- Umgebungen Schritt hält. Ein weiterer Anwendungsfall ist das Konfigurationsmanagement mit Tools von Drittanbietern wie Terraform und Ansible. Mit Software-Entwicklungstools können sich wiederholende Aufgaben in Workflows und CI/CD-Pipelines kodifiziert werden. Ein dritter Anwendungsfall sind die Check Point-Integrationen mit führenden SOAR-Anbietern, um die Reaktion auf Bedrohungen zu automatisieren und zu orchestrieren. Ein vierter Anwendungsfall ist die Bereitstellung von Sicherheit für entfernte Niederlassungen mithilfe eines virtuellen Sicherheits-Gateways mit geringem Platzbedarf oder einer FWaaS-Integration mit führenden SD-WAN-Anbietern. Zur Absicherung von Internet of Things (IoT)-Geräten integriert Check Point führende IoT-Discovery-Anbieter, um den IoT- Netzwerkzugang automatisch zu segmentieren, zu kontrollieren und Bedrohungen für anfällige IoT- Geräte zu verhindern.
CHECK POINT FIREWALL DER NÄCHSTEN GENERATION KÄUFER HANDBUCH | 21
Zusammenfassung und nächste Schritte Als Gesellschaft ist das Internet unsere Lebensader, es ist die Schule, in die wir unsere Kinder schicken, die Bank, der wir unsere Finanzen anvertrauen, die Gesundheitsdienste, auf die wir uns verlassen, und die Geschäfte, die wir tätigen. Es ist zwingend erforderlich, dass wir es sichern. Da der Internetverkehr und die Unternehmensnetze jedes Jahr zunehmen, werden Cyberangriffe immer ausgefeilter und schwerer zu erkennen. Aus diesem "Einkaufs Leitfaden" sollte klar hervorgehen, dass „Firewalls der nächsten Generation” viel mehr als nur Durchsetzungsstellen für Netzwerkverkehrsrichtlinien sind. Diese Geräte der Enterprise-Klasse sind wirklich Sicherheits-Gateways, die Anwendungsintelligenz der Ebene 7 und mehrdimensionale Bedrohungsabwehr umfassen. Stellen Sie bei der Auswahl eines Unternehmens- Firewall-Anbieters die folgenden Fragen und prüfen Sie dabei die obligatorischen Funktionen:
• Wie sollte ich die Bedeutung der einzelnen Fähigkeiten gewichten, je nachdem, was für mich am wichtigsten ist?
• Kann ich andere Tools und Geräte beseitigen, wenn ich Unternehmens-Firewalls flächendeckend einsetze und damit sowohl die Investitions- als auch die Personalkosten senke?
• Wie werde ich angesichts der unvermeidlichen Zunahme des Datenverkehrs und der Komplexität, die zur Bekämpfung der sich ständig weiterentwickelnden Bedrohungslandschaft erforderlich ist, an die Leistungssteigerung herangehen?
• Welche IT- und Sicherheitsinfrastruktur benötige ich für die Integration mit den Firewalls und ihren unterstützenden Komponenten?
• Am wichtigsten ist: Habe ich das gesamte Betriebsmodell durchdacht, mit dem ich diese Geräte bereitstellen, überwachen und aktualisieren will, und zwar in Übereinstimmung mit der Größe und den Fähigkeiten meiner Mitarbeiter?
Wie jede Technologie sind Firewalls der nächsten Generation nur ein Teil der Lösung: Menschen, Richtlinien und Verfahren sind für den Aufbau und Betrieb einer effektiven Sicherheitsarchitektur unerlässlich. Durch die Kombination all dieser Faktoren machen Unternehmen einen großen Schritt in Richtung des Schutzes ihrer sensiblen Vermögenswerte, der Erfüllung von Compliance-Anforderungen und der Förderung der digitalen Transformation.
Weltweiter Hauptsitz 5 Shlomo Kaplan Street, Tel Aviv 6789159, Israel | Tel.: 972-3-753-4599
USA Hauptsitz 959 Skyway Road, Suite 300, San Carlos, CA 94070 | Tel.: 800-429-4391
www.checkpoint.com
© 2022 Check Point Software Technologies Ltd. Alle Rechte vorbehalten.
Robuste Firewalls
Firewalls für kleine Büros und Filialen
Firewalls für
Unternehmen
Rechenzentrum- Firewalls
Hyperscale Network Security
Cloud Firewalls
Firewall as a Service
Next Generation Firewalls
CHECK POINT NEXT GENERATION FIREWALL BUYER'S GUIDE | 21
Summary and Next Steps As a society, the Internet is our lifeline, it is the schools we send our kids to, the banks we entrust our finances to, the health insurance we rely on, and the business we conduct. It is imperative that we secure it. As internet traffic and corporate networks grow each year, cyber-attacks are becoming more sophisticated and harder to detect. It should be clear from this Buyer’s Guide that “next-generation firewalls” are much more than enforcement points for network traffic policies. These enterprise-class devices are really security gateways, which include Layer 7 application intelligence and multi-dimensional threat prevention. When selecting an enterprise firewall vendor, ask the follow questions while reviewing the mandatory capabilities:
• How should I weigh the importance of each capability, based on what is most important to me?
• Can I eliminate other tools and devices if I deploy enterprise firewalls broadly, lowering both capital investment and staff costs?
• What is going to be my approach to scaling performance, given the inevitable increase in traffic and sophistication required to combat the ever-evolving threat landscape?
• What IT and Security infrastructure will I need to integrate with the firewalls and their supporting components?
• Most importantly: Have I thought through the complete operational model I will use to provision, monitor, and upgrade these devices, consistent with my staff size and capabilities?
Like any technology, next-gen firewalls are only part of the solution: people, policies and procedures are essential to building and operating an effective security architecture. By combining all of these, organizations take a big step towards protecting their sensitive assets, meeting compliance requirements, and driving digital transformation.
Next Generation Firewalls
Worldwide Headquarters 5 Ha’Solelim Street, Tel Aviv 67897, Israel | Tel: 972-3-753-4555 | Fax: 972-3-624-1100 | Email: info@checkpoint.com
U.S. Headquarters 959 Skyway Road, Suite 300, San Carlos, CA 94070 | Tel: 800-429-4391; 650-628-2000 | Fax: 650-654-4233
www.checkpoint.com
Rugged Firewalls
Cloud Firewalls
Hyperscale Network Security
Firewall as a Service
Enterprise Firewalls
Small and Branch Office
Firewalls
Data Center Firewalls