SASE Architekturen: Firewall-Funktionen in Cloud-Security verlagern

SASE Architekturen (Secure Access Service Edge) beschreiben den Ansatz, klassische Netzwerk- und Security-Funktionen – darunter auch Firewall-Funktionen – aus dem lokalen Rechenzentrum in eine cloudbasierte Security-Plattform zu verlagern. In der Praxis ist das mehr als ein „Cloud-Proxy“: SASE kombiniert Netzwerkzugang (z. B. SD-WAN), sicheren Internet- und SaaS-Zugriff, Zero-Trust-Zugriffsmodelle und konsistente Policy Enforcement Points (PoPs) nahe…

ZTNA statt VPN: Remote Access Security neu designen

ZTNA statt VPN ist für viele Unternehmen der logische nächste Schritt, um Remote Access Security neu zu designen: weg vom klassischen Netzwerkzugang, hin zu einem applikationszentrierten Zugriff mit Identitäts- und Gerätekontext. Ein VPN erweitert das interne Netz bis auf den Laptop des Nutzers – praktisch, aber sicherheitstechnisch riskant, weil Laterale Bewegung, Fehlkonfigurationen und zu breite…

Secure Web Gateway + NGFW: Rollen sauber trennen und integrieren

Secure Web Gateway + NGFW ist in vielen Unternehmen die realistischste Kombination, um Web- und SaaS-Traffic einerseits sowie segmentierungs- und datacenternahe Sicherheitsanforderungen andererseits sauber abzudecken. In der Praxis scheitert dieses Zusammenspiel jedoch häufig an unscharfen Rollen: Die NGFW wird als „Allzweckfilter“ für alles genutzt, während das Secure Web Gateway (SWG) parallel ähnliche Regeln abbildet –…

CASB/DLP am Netz: Datenabfluss verhindern ohne False Positives

CASB/DLP am Netz ist für viele Unternehmen der praktikabelste Weg, um Datenabfluss (Data Exfiltration) über Web, SaaS und Cloud-Uploads wirksam zu verhindern – ohne die Produktivität mit einer Flut von False Positives zu zerstören. Genau hier liegt die Herausforderung: Je strenger eine DLP-Policy formuliert ist, desto höher ist oft die Blockrate legitimer Vorgänge (z. B.…

TLS/SSL Inspection: Architektur, Risiken und Datenschutz-Trade-offs

TLS/SSL Inspection (auch „TLS-Entschlüsselung“ oder „HTTPS-Inspection“) ist eine der wirkungsvollsten, aber gleichzeitig kontroversesten Maßnahmen in der Netzwerksecurity. Der Grund ist offensichtlich: Ein Großteil des Datenverkehrs ist heute verschlüsselt – Web, SaaS, APIs, Update-Mechanismen, Collaboration-Tools. Ohne Entschlüsselung sieht eine Firewall oder ein Secure Web Gateway oft nur Ziel-IP, SNI und Metadaten. Malware-Downloads, Command-and-Control-Verbindungen oder Datenabfluss verstecken…

Decryption Best Practices: Zertifikate, Exclusions und Performance

Decryption Best Practices sind heute ein Muss, wenn Sie TLS/HTTPS-Verkehr zuverlässig absichern wollen, ohne Stabilität, Nutzererlebnis oder Datenschutz unnötig zu gefährden. In der Praxis entscheidet nicht der „Decryption-Schalter“ darüber, ob TLS-Inspection funktioniert, sondern die Umsetzung: sauberes Zertifikats- und Trust-Design, klare Exclusions (Ausnahmen) mit Governance sowie realistische Performance-Planung. Viele Organisationen scheitern nicht an fehlenden Features, sondern…

Performance-Engineering für NGFW: Throughput, CPS und Session Tables

Performance-Engineering für NGFW ist heute eine Kernkompetenz im Network Security Betrieb, weil moderne Next-Gen Firewalls nicht nur „Ports filtern“, sondern Applikationen erkennen, TLS entschlüsseln, Threat Prevention ausführen, Logs erzeugen und oft auch VPN- oder ZTNA-nahe Funktionen bereitstellen. In vielen Projekten wird Performance dabei zu spät betrachtet: Das neue Regelwerk ist sauber, die Security-Profile sind aktiv,…

Session Table Tuning: Timeouts, NAT und Scale-Probleme verhindern

Session Table Tuning ist eine der wirksamsten Maßnahmen, um Scale-Probleme auf NGFWs und anderen stateful Security-Gateways zu verhindern – und gleichzeitig eine der riskantesten, wenn man sie ohne belastbare Daten ändert. Die Session Table (State Table) ist das Herzstück stateful Inspection: Sie hält für jede aktive Verbindung Zustandsinformationen wie 5-Tuple, TCP-Status, NAT-Mappings, Timer, App-/User-Kontext und…

NAT Design Patterns: SNAT/DNAT sauber modellieren und dokumentieren

NAT Design Patterns helfen dabei, SNAT und DNAT in Firewall- und Router-Umgebungen so zu modellieren, dass Übersetzungen nachvollziehbar, wartbar und sicher bleiben. Network Address Translation ist zwar seit Jahrzehnten etabliert, wird aber in vielen Unternehmen immer noch als „Nebenfunktion“ behandelt: Eine Portweiterleitung hier, ein SNAT-Pool dort, ein Sonderfall für ein Partnernetz – und nach ein…

CGNAT Security: Logging, Abuse Prevention und Forensik

CGNAT Security ist für Provider, Carrier, Mobilfunknetze und große Enterprise-Umgebungen ein Pflichtprogramm, weil Carrier-Grade NAT (CGNAT) viele Teilnehmer hinter wenigen öffentlichen IPv4-Adressen bündelt. Das spart Adressen, verändert aber die Sicherheits- und Forensik-Landschaft grundlegend: Wenn hunderte oder tausende Kunden dieselbe öffentliche IP nutzen, sind klassische IP-basierte Attribution und Abuse-Handling ohne saubere Logs praktisch unmöglich. Gleichzeitig steigt…