Cos'è il Firewall-as-a-Service (FWaaS)?

Salta a una sezione

Come funziona il firewall-as-a-service? Perché FWaaS è importante? Quali sono le principali caratteristiche di FWaaS?

Ispezione profonda dei pacchetti e prevenzione di intrusioni DNS e filtraggio URL Console di gestione centralizzata Visibilità e disboscamento Scalabilità ed elasticità Integrazione con le reti moderne Infrastruttura gestita dal provider

Quali sono i vantaggi di FWaaS? Quali sono le potenziali sfide di FWaaS? FWaaS vs NGFW FWaaS vs SWG Qual è il ruolo di FWaaS in SASE? Qual è l'approccio di Netskope per la distribuzione delle soluzioni FWaaS? Frequently asked questions

Cos'è un firewall? Cos'è un firewall cloud? Dove si colloca FWaaS nella rete? FWaaS può sostituire VPN o SD-WAN? Cosa considerare quando si sceglie FWaaS?

Come funziona il firewall-as-a-service?

FWaaS funziona instradando il traffico di rete in uscita attraverso un servizio cloud firewall, dove vengono applicate le policy di sicurezza e l'ispezione avviene prima che il traffico raggiunga siti web, app o servizi cloud. Invece di distribuire e gestire appliance firewall in ogni località, le organizzazioni inviano il traffico a un punto di applicazione cloud vicino all'utente o all'ufficio filiale e gestiscono centralmente le Policy.

Il traffico viene instradato al servizio cloud firewall
Gli utenti e i rami inviano traffico al firewall nel cloud (spesso tramite client o tunnel).
Applica prima la politica
Il servizio applica set di regole firewall, come indirizzi IP/porte/protocolli consentiti, controlli a livello applicativo, regole utente/gruppo e regole di destinazione FQDN.
L'ispezione viene eseguita sul traffico di rete
Il servizio cloud firewall ispeziona il traffico di uscita di rete utilizzando funzionalità come regole firewall a 5 tuple, prevenzione di intrusione (IPS), controlli di sicurezza DNS e filtraggio DNS basato su dominio.
Si prende la decisione di consentire, bloccare, avvisare o registrare un evento
In base ai risultati delle ispezioni delle Policy e del firewall, il traffico in uscita di rete è consentito o bloccato. Gli utenti possono anche ricevere avvisi e gli eventi possono essere registrati per revisione e audit.
Una console centrale gestisce la politica FWaaS a livello globale
Gli amministratori creano e aggiornano una sola volta la Politica del firewall, poi la applicano in modo coerente su utenti, località e ambienti cloud.
I flussi di lavoro di monitoraggio e indagine dei log alimentano
I log del traffico tipicamente vengono inseriti negli strumenti di monitoraggio e, dove utilizzati, nelle piattaforme SIEM/SOAR per supportare le esigenze di rilevamento, indagine e conformità.

FWaaS è un checkpoint di uscita di rete per l'applicazione delle politiche nel cloud che si trova tra gli utenti o le filiali e la destinazione desiderata di internet o risorse cloud.

Perché FWaaS è importante?

FWaaS è importante perché molte organizzazioni non operano più all'interno di un unico perimetro di rete. Gli utenti lavorano da posizioni diverse, le app vivono in più cloud e le filiali si collegano direttamente a internet. Un servizio di sicurezza firewall aiuta i responsabili della sicurezza a mantenere i controlli coerenti senza dover implementare e mantenere appliance ovunque o backhauling del traffico e compromettere negativamente l'esperienza utente.

Gli utenti distribuiti e le filiali modificano il perimetro
Il traffico non passa più attraverso un data center, quindi i firewall di rete tradizionali richiedono backhauling del traffico o l'aggiunta di appliance firewall o VM dove si trovano utenti e filiali, a un grande costo e con una complessità operativa crescente.
Policy la coerenza tra le sedi è più difficile di quanto sembri
Quando ogni sito distribuito ha una propria configurazione, le regole del firewall possono variare nel tempo. FWaaS aiuta ad applicare le stesse regole della policy firewall agli utenti e alle filiali, indipendentemente da dove si trovino.
La gestione centralizzata riduce le lacune e i costi operativi
Un singolo piano di controllo rende più facile aggiornare le Policy, ridurre le configurazioni errate e rispondere più rapidamente quando le minacce o le esigenze aziendali cambiano.

Quali sono le principali caratteristiche di FWaaS?

FWaaS tipicamente integra funzionalità di policy firewall di nuova generazione in servizi cloud firewall che vengono forniti e gestiti centralmente su un ampio set di data center situati più vicini agli utenti remoti e alle filiali per un'esperienza utente ad alte prestazioni. La maggior parte delle soluzioni di servizi cloud firewall si concentra su un'applicazione coerente, ispezioni su larga scala e operazioni più semplici.

Ispezione profonda dei pacchetti e prevenzione di intrusioni

A Firewall basato su cloud ispeziona il traffico oltre le porte e gli IP dei primi pacchetti. Può esaminare le sessioni tra i pacchetti, identificare schemi rischiosi e bloccare exploit noti o comportamenti sospetti con controlli in stile IPS. In pratica, questa capacità si manifesta in tre controlli principali:

Ispezionare il traffico a livello applicativo (Layer 7) tra i pacchetti
Rilevare e bloccare gli exploit e le tecniche di attacco comuni
Decisioni di policy di supporto basate su regole firewall a 5 tuple, livello applicativo, utente e gruppo, FQDN e contesto

DNS e filtraggio URL

FWaaS funziona ai livelli 3 e 4 per l'ispezione del traffico, che include richieste di domain name service (DNS) sulla porta 53. Queste richieste sono query DNS per tradurre un dominio leggibile dall'uomo (ad esempio, www.icecube.com) a un indirizzo IP instradabile. Questo è un momento molto efficiente per verificare il dominio alla ricerca di rischi di sicurezza noti o per convalidarne la categorizzazione. Per questo motivo, FWaaS spesso include controlli di sicurezza DNS e filtraggio basato su dominio per categorie di sicurezza e business per impedire agli utenti di raggiungere destinazioni web dannose o che violano le politiche. Questi controlli DNS e i controlli di categoria di filtraggio del dominio riducono l'esposizione prima che una connessione sia completamente stabilita. In una console, di solito vedrai diversi controlli di policy DNS, come:

Una capacità di definire profili DNS
Filtri di categoria configurabili basati su dominio (ad esempio, gioco d'azzardo, giochi, ecc.)
Controlli DNS per domini noti e difettosi o rischi di sicurezza basati su DNS

Console di gestione centralizzata

La maggior parte dei fornitori di servizi firewall cloud fornisce una sola console per creare, testare e distribuire la policy firewall in diverse sedi. Questo aiuta i team di sicurezza a ridurre il rule drift e ad applicare modifiche più rapidamente. La maggior parte delle piattaforme supporta questo attraverso:

Un unico posto per gestire le regole e le eccezioni del firewall
Oggetti condivisi, template e gruppi di policy
Accesso basato sui ruoli per i team di rete e sicurezza

Visibilità e disboscamento

FWaaS produce log coerenti tra utenti e sedi di filiale, il che aiuta indagini e audit. I log tipicamente si integrano con SIEM e strumenti di monitoraggio per correlazione e allerta. Di solito ottieni tre principali tipi di logaritari e output:

Log di sessione per il traffico consentito e bloccato
Registri delle minacce per rilevamenti e corrispondenze di regole
Esportazioni o integrazioni per flussi di lavoro SIEM

Scalabilità ed elasticità

Un valore chiave dei servizi firewall basati su cloud è la scalabilità senza dover fornire hardware. La capacità può espandersi con l'aumento degli utenti, della larghezza di banda o della domanda. Questo di solito si manifesta in tre modi pratici:

Scalare la capacità di ispezione con l'aumento della domanda
Evitare la dimensione degli elettrodomestici e i cicli di aggiornamento per sede
Supporto a un'espansione rapida per New filiali o utenti

Integrazione con le reti moderne

FWaaS è progettato per funzionare con architetture cloud e ibride, inclusi SD-WAN e strutture di rete cloud. Questo riduce l'attrito durante il passaggio del traffico attraverso i punti di ispezione. Questo è solitamente abilitato dai:

Integrazioni con SD-WAN e modelli di routing cloud
Supporto per ambienti cloud e implementazioni multi-regione
Lavorare con i controlli di identità e accesso per il contesto delle Policy

Infrastruttura gestita dal provider

Molti fornitori di servizi cloud firewall gestiscono l'infrastruttura sottostante, inclusi aggiornamenti e disponibilità. Questo riduce lo sforzo di manutenzione, ma aumenta la dipendenza dall'affidabilità del fornitore. Questo significa:

I provider gestiscono le patch e l'uptime della piattaforma
Accesso più rapido alle capacità e protezioni New
SLA chiari e pianificazione della resilienza

Quali sono i vantaggi di FWaaS?

FWaaS può migliorare la coerenza operativa e ridurre il sovraccarico del mantenimento dei firewall distribuiti. Come servizio cloud gestito dal firewall, o FWaaS, trasferisce una maggiore parte del lavoro della piattaforma al provider mantenendo il controllo delle Policy centralizzato. I benefici includono:

Distribuzione e manutenzione semplificate: I team possono implementare Policy senza spedire, mettere in rack e aggiornare l'hardware in ogni sito. Molti aggiornamenti e modifiche alla piattaforma sono gestiti come parte dei servizi gestiti del firewall.
Scalabilità: La capacità può espandersi man mano che utenti, rami e traffico di rete crescono, senza riprogettare l'impronta firewall di ogni sede.
Visibilità della sicurezza: La registrazione centralizzata e l'ispezione costante migliorano il monitoraggio e le indagini sia tra le località che gli utenti remoti.
Gestione centrale delle politiche: Un singolo servizio di gestione firewall gestisce tipicamente regole, oggetti ed eccezioni a livello globale, aiutando a ridurre la deriva delle policy.
Considerazioni sul modello di costo: FWaaS di solito sposta la spesa dall'hardware iniziale ai prezzi in abbonamento. Questo può migliorare la prevedibilità del budget, tuttavia i costi a lungo termine dovrebbero essere valutati rispetto alla proprietà degli appliance e ai modelli di larghezza di banda.

FWaaS tende a essere una buona scelta quando le organizzazioni necessitano di un'applicazione coerente tra utenti distribuiti e branch site, e vogliono servizi centralizzati di gestione firewall senza mantenere stack di appliance completi in ogni località.

I principali componenti e capacità di SASE includono Software-Defined WAN (SD-WAN), Cloud Access Security Broker (CASB), Security Web Gateway (SWG), Firewall-as-a-service (FWaaS) e Zero Trust Network Access (ZTNA).

Quali sono le potenziali sfide di FWaaS?

FWaaS può semplificare le operazioni di sicurezza, ma introduce anche compromessi che i responsabili della sicurezza dovrebbero considerare quando confrontano i fornitori di FWaaS.

Costo dell'abbonamento continuo vs. Costo iniziale: Le quote annuali di abbonamento possono superare nel tempo i costi degli elettrodomestici.
- Mitigazione: Il costo totale del modello su 3–5 anni, inclusi i costi generali della gestione e i cicli di aggiornamento.
Migrazione e cambiamenti di instradamento: Spostare il traffico verso un servizio cloud firewall può richiedere di riprogettare l'uscita di uscita, i tunnel e il routing dei rami.
- Mitigazione: Adotta un approccio a fasi per sito o app, valida la latenza e mantieni i percorsi di rollback.
Limitazioni di personalizzazione (dipendenti dal produttore): Alcuni FWaaSprovider offrono meno opzioni di tuning a basso livello rispetto agli elettrodomestici.
- Mitigazione: Confermare la granularità della politica, il registro dei dettagli e degli oggetti regole in anticipo.
Pianificazione della dipendenza e della resilienza da Internet: Se la connettività diminuisce, l'ispezione può deteriorarsi.
- Mitigazione: Usa due ISP, failover e sopravvivenza locale dove necessario.
Privacy e conformità dei dati: Il traffico può attraversare infrastrutture e regioni di terze parti.
- Mitigazione: Valida la residenza dei dati, le certificazioni, la crittografia e i log di audit.
Integrazione con sistemi legacy: Reti più vecchie, proxy o stack di identità possono complicare il deployment.
- Mitigazione: Testare l'interoperabilità e il supporto per i protocolli richiesti.
Affidabilità / SLA del fornitore: Interruzioni, ritardi di supporto o SLA deboli possono creare esposizione.
- Mitigazione: Rivedi la cronologia del tempo operativo, la risposta agli incidenti e gli SLA contrattuali.
Visibilità per il traffico est/ovest solo on-premise: L'ispezione pura delle nuvole può perdere i flussi interni del traffico.
- Mitigazione: Usa un approccio ibrido dove è necessaria la segmentazione interna.

FWaaS vs NGFW

FWaaS e un firewall di nuova generazione (NGFW) applicano entrambi la Politica di sicurezza di rete, ma differiscono nel modo in cui vengono erogati e gestiti. FWaaS è un modello cloud-delivered ottimizzato per utenti distribuiti e traffico di uscita di branch. Un NGFW è tipicamente un appliance o un firewall virtuale che si implementa ed esegue da solo (o tramite un servizio NGFW gestito) che supporta le regole di policy del firewall di traffico di ingresso ed uscita.

Confronti chiave	FWaaS	NGFW
Deployment	servizio cloud; rotte di traffico verso i punti di presenza dei fornitori	Appliance o istanza virtuale in data center, filiale o cloud
Gestione	Console centrale per Policy tra siti e utenti	Spesso operazioni distribuite su molti firewall (possono essere centralizzate con gli strumenti)
Scala	Capacità elastica; Scale con la domanda	Pianificazione della capacità legata ai limiti hardware/istanze
Ambienti più adatti	Lavoro da remoto, molte filiali, multinazionali e organizzazioni disperse	Sedi fisse, esigenze on-premise rigorose, design di rete specializzato
Considerazioni sulla latenza	Dipende dalla vicinanza e dal percorso di routing del PoP	Spesso basso per il traffico locale; Potrebbe aggiungere latenza se si fa backhaling a un hub
Controllo/personalizzazione	Dipende da venditore a fornitore; può essere vincolata dal modello di servizio	Tipicamente una maggiore flessibilità di accordatura e distribuzione

Per quanto riguarda la tua organizzazione, scegli FWaaS quando la coerenza di Policy e la scala tra le sedi sono più importanti e scegli NGFW quando il controllo locale e il deployment personalizzato sono la priorità.

FWaaS vs SWG

FWaaS vs Gateway web sicuro (SWG) è un punto comune di confusione perché entrambi si trovano nel cloud e ispezionano il traffico, ma risolvono problemi diversi.

FWaaS applica la policy del firewall di rete per tipi di traffico più ampi. Può applicare controlli su indirizzi IP e intervalli, porte, protocolli, utenti e luoghi, e spesso include controlli di livello 7 (applicazione), prevenzione di intrusioni e logging per connessioni di rete—non solo navigazione web.
SWG si concentra specificamente sul traffico web (HTTP/HTTPS). È progettato per filtraggio URL/categorie, protezione contro malware e phishing, controlli di navigazione sicura e applicazione di policy specifiche per il web sugli oggetti web (500+).

Spesso si completano a vicenda. Molte organizzazioni gestiscono entrambe come parte di servizio di sicurezza edge (SSE) o SASE per poter applicare una policy coerente per l'accesso generale alla rete (FWaaS) e la protezione del deep web per l'uso del browser e della SaaS (SWG e CASB inline).

SSE modernizza con successo la tua architettura tecnologica convergendo Web Proxy (SWG), ZTNA, CASB e DLP in un'unica soluzione potente e ad alte prestazioni.

Qual è il ruolo di FWaaS in SASE?

Accesso sicuro al servizio edge (SASE) Combina rete e sicurezza in un modello cloud-delivered, aiutando le organizzazioni ad applicare accessi coerenti, protezione dati e protezione contro le minacce mentre gli utenti si connettono da filiali, casa o dispositivi mobili.

In un'architettura di edge service di accesso sicuro (SASE), il firewall-as-a-service (FWaaS) fornisce la funzione firewall come servizio basato sul cloud, permettendo alle organizzazioni di applicare la Politica di sicurezza di rete in modo coerente a tutti gli utenti e alle località senza dover dipendere da appliance fisiche nelle filiali o negli ambienti domestici. Poiché SASE integra rete e sicurezza in un framework unificato e fornito dal cloud, FWaaS lavora insieme a componenti come SD-WAN e altri servizi di sicurezza cloud, tra cui secure web gateway (SWG), cloud access security broker (CASB) e zero trust network access (ZTNA), per fornire una protezione completa per applicazioni web, cloud e private. Il suo ruolo principale è garantire una gestione centralizzata delle policy, controlli uniformi e piena visibilità su tutto lo stack di sicurezza cloud, affinché gli utenti sperimentino lo stesso livello di sicurezza ovunque provengano da dove si connettano.

Qual è l'approccio di Netskope per la distribuzione delle soluzioni FWaaS?

FWaaS è una soluzione chiave per abilitare difese aggiuntive di sicurezza del traffico non web. Gli utenti remoti e le filiali beneficiano dei controlli del traffico di uscita di rete FWaaS insieme a un proxy web per ispezionare il traffico web, le applicazioni SaaS e l'IA generativa. Con la base di FWaaS, può essere aggiunto un sistema di prevenzione delle intrusioni (IPS), oltre a controlli di sicurezza DNS, filtraggio delle categorie di dominio DNS, un proxy SOCKS per il traffico su porte standard e non standard (ad esempio, FTP, SFTP, FTPS, Telent, ecc.) e la configurazione delle difese in linea per la prevenzione della perdita di dati (DLP) e la protezione delle minacce. Scopri di più su FWaaS.

Frequently asked questions

Cos'è un firewall?

Un firewall è un controllo di sicurezza che monitora il traffico di rete e applica le regole su cosa può connettersi. Decide se il traffico è consentito, bloccato o registrato in base a segnali come IP, porte, protocolli, utenti e applicazioni. I firewall moderni spesso includono ispezioni più approfondite dei pacchetti per rilevare minacce e identificare le applicazioni, non solo regole base di permesso/negazione.

Cos'è un firewall cloud?

Un firewall cloud è una protezione firewall fornita tramite infrastrutture cloud invece che tramite un appliance fisico in un data center. Può applicare Policy per utenti, filiali e carichi di lavoro cloud, anche quando il traffico non passa attraverso un ufficio centrale. Molti servizi cloud firewall includono controlli firewall di nuova generazione (NGFW) come la consapevolezza delle applicazioni, la prevenzione delle minacce e la registrazione. Firewall-as-a-Service (FWaaS) è una versione più specifica di un cloud firewall ed è focalizzata sul traffico di uscita di utenti remoti e filiali, e spesso fa parte di una piattaforma di sicurezza di edge (SSE) combinata con soluzioni SWG, CASB e ZTNA per l'ispezione del traffico a passaggio singolo.

Dove si colloca FWaaS nella rete?

FWaaS si trova nel percorso cloud dove il traffico in uscita può essere deviato per l'ispezione. Le organizzazioni tipicamente instradano il traffico da utenti, rami o reti cloud al servizio firewall cloud utilizzando tunneling, integrazione SD-WAN, cloud routing o inoltro basato su agenti. Da lì, FWaaS applica la Policy, ispeziona il traffico in uscita e invia le sessioni consentite alla loro destinazione durante il registro degli risultati.

FWaaS può sostituire VPN o SD-WAN?

L'accesso alla rete zero trust (ZTNA) è la soluzione più preferita per sostituire le VPN. ZTNA utilizza un approccio inside-out per proteggere identità e accesso, rimuovendo al contempo i servizi VPN pubblici esposti e riducendo i movimenti laterali. I browser aziendali stanno inoltre guadagnando interesse per dispositivi non gestiti utilizzati da appaltatori o terze parti per accedere alle risorse aziendali, oltre all'uso di browser aziendali per l'accesso ZTNA a applicazioni private.

Quindi, FWaaS non è un sostituto diretto delle VPN. FWaaS può aiutare a instradare il traffico in modo più efficiente per le SD-WAN e a far rispettare costantemente le regole del firewall del traffico di rete.

Cosa considerare quando si sceglie FWaaS?

I team valutano tipicamente FWaaS in base all'esperienza utente, alle prestazioni, all'adattamento, alla copertura e alle realtà operative. L'obiettivo è una protezione costante, un'ottima esperienza utente e senza creare complessità di routing o lacune di visibilità.

Le considerazioni chiave includono:

Esperienza utente remota: Un'esperienza utente ad alte prestazioni come parte di una piattaforma SASE
Copertura del traffico: Utenti, filiali e località remote
Profondità di ispezione: Regole firewall a 5 tuple, ispezione dei pacchetti, IPS, controlli di sicurezza DNS e controlli DNS dei nomi di dominio, e Policy di controllo applicativo di livello 7
Policy modello: Facilità nella creazione di regole, eccezioni e segmentazione per utente/app/contesto
Registrazione e visibilità: Livello di dettaglio, retention, esportazione e integrazione SIEM
Prestazioni e resilienza: Opzioni di instradamento, failover, copertura POP e SLA
Integrazione: Provider di identità, SD-WAN, cloud routing e stack di sicurezza esistente
Costi operativi: Chi gestisce aggiornamenti, ottimizzazioni e controllo delle modifiche

Per le organizzazioni che utilizzano architetture SSE/SASE , Netskope è tipicamente posizionato per applicare controlli coerenti su web, cloud e accesso alle app private utilizzando Policy centralizzate e visibilità con ispezione a passaggio singolo.