Nu exista organizatie care sa nu aiba in stiva de securitate on-premises cel putin o pereche de firewall-uri. Instalarea si administrarea acestor tipuri de echipamente reprezinta adevarate surse de dureri de cap pentru echipele de NetOps si DevOps. Timpul necesar deployment-ului in productie pentru un firewall nou on-premises este semnificativ din cauza etapelor indelungate de design si de testare necesare integrarii unui firewall nou intr-o retea deja “up and running”. Costurile asociate cu un firewall on-premises sunt si ele semnificative si sunt asociate cu licentele necesare activarii unor functionalitati, upgrade-urile de infrastructura, operatiunile de mentenanta si, evident, cu “fierul” in sine.
Pentru a se pastra competitive, organizatiile se orienteaza catre solutii de securitate de tip software as a service (SaaS) gazduite direct in cloud-ul producatorului. Potrivit Gartner, pana in 2025, 30% din instalarile noi in locatii de tipul branch vor include firewall as a service in infrastructura de comunicatii, fata de mai putin de 10% in 2021.
Pentru a raspunde cerintelor clientilor lor, Cisco si AWS lucreaza impreuna pentru a simplifica modul in care organizatiile isi securizeaza cloud-ul lor public. Folosind serviciul de FwaaS – Firewall as a Service compus din Cisco Secure Firewall si AWS Gateway Load Balancer (GWLB), clientii pot beneficia de o scalare elastica, de o disponibilitate inalta si o de o “insertie” usoara a unui firewall nou intr-o retea deja functionala.
Practic, toata munca grea pica in sarcina lui Cisco. Cele mai importante beneficii castigate de clienti sunt:
- bucuria de a vedea ca firewall lucreaza pentru tine si nu invers 🙂
- provizionarea firewall-ului este facuta de catre Cisco, accelerand deployment-ul
- securitate flexibila si scalabila – infrastructura elastica de securitate se adapteaza la cerintele dinamice de throughput
- arhitectura simpla intrucat rutarea traficului este facuta de Cisco, la fel si monitorizarea serviciului de FWaaS
- bye bye mentenanta: toate upgrade-urile sunt facute la zi; patch-urile sunt aplicate instant, semnaturile de IPS sunt actualizate automat, adio facut loc in rack si in UPS pentru cutii noi. Spoiler Alert: in versiunea 7 de FTD, motorul de IPS foloseste varianta 3 de SNORT care aduce imbunatatiri semnificative pe partea de performanta.
- serviciul de FWaaS este prietenos cu toata lumea, inclusiv cu bugetul alocat departamentului IT. ROI-ul (return on investment) este atins mult mai repede, costurile sunt toate de tip OPEX, modelul de plata fiind de pay as you go.
Cisco Firewall as a Service in cloud-ul AWS este format din urmatoarele elemente:
- MGE – Managed Gateway Load Balancer Endpoint – MGE se afla in VPC-ul (virtual private cloud) clientului si este responsabil cu rutarea traficului din VPC-ul clientului catre VPC-ul Cisco, unde traficul va fi supus regulilor de inspectie
- GWLB – Gateway Load Balancer – GWLB se afla localizat in VPC-ul Cisco si este responsabil cu gazduirea firewall-urilor Cisco – Cisco Secure Firewall
Cisco FWaaS poate sa suporte:
- inspectia traficului nord – sud, catre si dinspre Internet;
- Inspectia traficului est – vest, in interiorul unui VPC de-ale clientului, precum si intre VPC-uri;
- Inspectia traficului transmis intre o locatie on-premises de-ale clientului si un VPC din cloud folosind un Transit Gateway (traficul transmis peste un tunel IPsec intre o locatie si cloud).
Cisco FWaaS este un serviciu gestionat in intregime de catre Cisco, insa unii clienti doresc sa isi configureze propria politica de acces. Pentru a satisface aceasta nevoie, Cisco ofera o optiune de FWaaS gestionat partial prin care clientul beneficiaza de toate avantajele unei solutii “fully managed” de catre vendor, dar si de customizarea politicilor si a regulilor de acces.
Pentru acei clienti care vor sa se ocupe in intregime de tot lifecycle-ul firewall-ului in cloud-ul AWS, Cisco ofera suport pentru tehnologia GENEVE incepand cu versiunea 7.1 de Cisco Firewall Threat Defense cu ajutorul careia Cisco Secure Firewall se integreaza cu AWS GWLB. In acest fel, clientul are control deplin asupra infrastructurii, insa timpul de deployment scade, managementul este mai usor iar scalabilitatea este de neegalat. Aceasta integrare inseamna ca nu mai sunt necesare reguli de rerutare a traficului, inspectia acestuia facandu-se direct la nivel de instanta.
Cisco Secure Firewall as s Service in AWS va fi disponibil in prima jumatate a anului viitor. Organizatiile interesate se pot inscrie intr-un program beta de testare live a functionalitatilor acestui serviciu accesand acest link.
Mihai Dumitrascu, Sr Systems Engineer