Welche Cloud-native Firewall bietet den höchsten Durchsatz?

GCP Cloud NGFW Enterprise ist für einen aggregierten Durchsatz von bis zu 400 Gbit/s pro Firewall-Policy ausgelegt, verteilt auf mehrere Enforcement Points. Azure Firewall Premium erreicht bis zu 100 Gbit/s. AWS Network Firewall skaliert automatisch, veröffentlicht jedoch kein hartes Maximum, obwohl einzelne Endpunkte typischerweise eine geringere Leistung als das GCP-Angebot erbringen.

Welche Firewall eignet sich am besten für die Zentralisierung des Policy Managements über mehrere Konten/VPCs hinweg?

Azure Firewall Manager bietet ein robustes zentralisiertes Policy Management über Azure-Abonnements und VNets hinweg. AWS Firewall Manager verwaltet Policies für Network Firewall, WAF und Shield Advanced. GCP Cloud NGFW Enterprise nutzt hierarchische Firewall-Policies auf Organisations-/Ordnerebene, die für Multi-VPC- und Multi-Projekt-Umgebungen, die mit der GCP-Ressourcenhierarchie übereinstimmen, sehr effektiv sind.

Wann sollte ich ein Drittanbieter-NVA anstelle einer Cloud-nativen Firewall in Betracht ziehen?

Erwägen Sie Drittanbieter-NVAs (z. B. Palo Alto VM-Series, FortiGate-VM) für Hybrid Cloud Consistency, höchst spezialisierte Sicherheitsfunktionen, die nativ nicht verfügbar sind (z. B. fortschrittliches Sandboxing, maßgeschneiderte WAF), oder wenn Sie erhebliche bestehende Investitionen in ein spezifisches Anbieter-Sicherheits-Ökosystem haben, das Sie in die Cloud erweitern möchten. Die TCO kann auch ein Faktor für extrem hohe, stabile Durchsätze sein.

Wie verhalten sich die Preise bei Szenarien mit hohem Durchsatz?

Für L7-Inspektion mit hohem Durchsatz (z. B. durchschnittlich 40 Gbit/s) bietet Azure Firewall Premium aufgrund seiner wettbewerbsfähigeren Datenverarbeitungsraten im Allgemeinen geringere Gesamtbetriebskosten pro verarbeitetem GB. AWS Network Firewall wird bei diesen Volumina aufgrund der höheren Kosten pro GB oft deutlich teurer. GCP Cloud NGFW Enterprise liegt im mittleren Bereich. Die tatsächlichen Kosten hängen stark von den Traffic-Mustern und den Egress-/Ingress-Verhältnissen ab.

Unterstützen diese Firewalls benutzerdefinierte IDPS-Signaturen?

Azure Firewall Premium unterstützt benutzerdefinierte IDPS-Signaturregeln. AWS Network Firewall unterstützt Suricata-kompatible Regelsätze, was den Import benutzerdefinierter Suricata-Regeln ermöglicht. GCP Cloud NGFW Enterprise, das auf Palo Alto-Technologie aufbaut, bietet erweiterte Bedrohungspräventionssignaturen und ermöglicht oft die Erstellung benutzerdefinierter Signaturen oder die Integration mit externen Feeds über seine zugrunde liegende Plattform.

Azure Firewall vs. AWS Network Firewall vs. GCP Cloud NGFW: Vergleich 2026

Q: Können diese Firewalls TLS-Entschlüsselung sowohl für Ingress- als auch für Egress-Verkehr durchführen?

Azure Firewall Premium und GCP Cloud NGFW Enterprise unterstützen sowohl Ingress- als auch Egress-TLS-Entschlüsselung. AWS Network Firewall verfügt derzeit nicht über native TLS-Inspektionsfunktionen, was alternative Lösungen oder Drittanbieter-NVAs für diese Funktionalität erfordert.

Cloud-native Firewalls haben sich über die grundlegende zustandsbehaftete Paketinspektion hinaus entwickelt. Da Unternehmen immer mehr geschäftskritische Workloads in Azure, AWS und GCP verschieben, ist die Nachfrage nach integrierten, skalierbaren und hochleistungsfähigen L7-Sicherheitsdiensten von größter Bedeutung. Diese Analyse untersucht Azure Firewall Premium, AWS Network Firewall und GCP Cloud NGFW Enterprise und konzentriert sich dabei auf deren Fähigkeiten, Leistungsmerkmale und Gesamtbetriebskosten (TCO) für Unternehmensbereitstellungen im Jahr 2026. Wir werden die Basistiers, bei denen die L7-Inspektion kein primäres Merkmal ist, ignorieren und uns auf die Premium-/Enterprise-Angebote konzentrieren, die mit traditionellen Next-Generation Firewalls (NGFWs) konkurrieren.

Cloud-Native Firewall-Architektur und Skalierbarkeit

Jeder Cloud-Anbieter verfolgt unterschiedliche Ansätze für die Bereitstellung und Skalierung von Firewalls. Azure Firewall, insbesondere die Premium SKU, ist ein verwalteter Dienst, der in einem virtuellen Netzwerk (VNet) bereitgestellt wird. Sie skaliert automatisch basierend auf Durchsatz- und Verbindungsanforderungen, mit einer maximalen Kapazität von 100 Gbit/s für das Premium-Tier. Diese Autoskalierung ist ein entscheidender Vorteil, da sie den operativen Aufwand für die Dimensionierung und Skalierung von virtuellen Appliances eliminiert. Kunden definieren eine minimale und maximale Skalierungseinheit, und Azure verwaltet die zugrundeliegende Infrastruktur. Das Management erfolgt primär über das Azure Portal, CLI oder ARM-Templates, mit konsolidiertem Policy Management über den Azure Firewall Manager.

AWS Network Firewall integriert sich mit AWS Transit Gateway (TGW) oder einzelnen VPCs und ermöglicht so eine zentralisierte Inspektion. Sie ist ebenfalls ein verwalteter Dienst, der automatisch skaliert, um Traffic-Schwankungen zu bewältigen. AWS veröffentlicht keinen expliziten maximalen Durchsatz für einen einzelnen Network Firewall Endpoint, aber die Leistung skaliert proportional zum Traffic. Regelgruppen werden für jedes Paket verarbeitet, und benutzerdefinierte Regeln können Suricata-kompatible Syntax verwenden, was Flexibilität für die Integration von Threat Intelligence bietet. Ihre tiefe Integration mit TGW vereinfacht Hub-and-Spoke-Architekturen innerhalb von AWS und bietet einen sauberen Abfangpunkt für Ost-West- und Nord-Süd-Traffic. Die Protokollierung über CloudWatch Logs oder Kinesis Firehose ist Standard.

GCP Cloud NGFW Enterprise zeichnet sich durch seine direkte Abstammung von Palo Alto Networks aus. Dieses Angebot bietet erweiterte L7-Inspektion, IDPS und Funktionen zur Anwendungssteuerung. Es funktioniert als verwalteter Dienst, der transparent mit der Nachfrage skaliert, ohne dass Kunden VM-Instanzen bereitstellen oder verwalten müssen. Google nutzt die Threat Intelligence von Palo Alto und Signatursätze, um einen ausgereiften Security Stack in die native GCP-Umgebung zu bringen. Es unterstützt bis zu 400 Gbit/s Durchsatz pro Firewall-Policy, verteilt auf mehrere Enforcement Points, was es zu einem Leistungsführer für extreme Skalierungen macht. Das zentrale Policy Management wird über Cloud NGFW Policy Objects abgewickelt, die hierarchisch über VPCs oder Organisationen angewendet werden können.

TLS-Inspektion und Zertifikatsmanagement

TLS-Entschlüsselung ist ein ressourcenintensiver Vorgang, und ihre Implementierung variiert erheblich. Azure Firewall Premium unterstützt die TLS-Inspektion für den ausgehenden Traffic. Sie erfordert die Integration mit Azure Key Vault zur Speicherung des Entschlüsselungs-Certificate Authority (CA)-Zertifikats. Das CA-Zertifikat muss auf den Client-Maschinen (oder bei verwalteten Endpunkten über Intune verwaltet) für das Vertrauen bereitgestellt werden. Leistungseinbußen sind im Allgemeinen unter 40 Gbit/s beherrschbar, aber deutlich höhere Traffic-Volumina mit vollständiger TLS-Inspektion werden dedizierte Skalierungseinheiten belegen, was die Kosten pro Gbit/s erhöht. Der operative Overhead liegt in der Zertifikatsverteilung und -rotation, insbesondere in dynamischen Umgebungen. Der Dienst übernimmt die Entschlüsselung und Neuverschlüsselung transparent.

AWS Network Firewall verfügt derzeit nicht über native TLS-Inspektionsfunktionen. Dies ist eine erhebliche Einschränkung für Umgebungen, die vollständige L7-Transparenz in verschlüsselten Traffic für IDPS oder URL-Filterung erfordern. Unternehmen, die TLS-Entschlüsselung mit AWS Network Firewall benötigen, schalten ihr in der Regel eine Drittanbieter-NVA (wie Palo Alto VM-Series oder FortiGate-VM) vor, die die Entschlüsselung durchführt, oder sie verlassen sich auf Endpoint-Agenten oder andere Sicherheitsdienste für die TLS-Transparenz. Diese Einschränkung schränkt ihre Nützlichkeit in Zero Trust-Architekturen ein, die eine tiefe Inspektion aller verschlüsselten Flows erfordern. Die Philosophie von AWS tendiert hier dazu, hochspezialisierte Funktionen an Partner oder andere Dienste auszulagern.

GCP Cloud NGFW Enterprise, das auf der Technologie von Palo Alto Networks aufbaut, bietet eine robuste TLS-Entschlüsselung. Es unterstützt sowohl Inbound- als auch Outbound-Entschlüsselung, was für einen umfassenden Bedrohungsschutz unerlässlich ist. Das Zertifikatsmanagement integriert sich mit Google Cloud Key Management Service (KMS) oder Certificate Authority Service (CAS). Die Leistungsbeeinträchtigung wird vom Dienst explizit verwaltet, wobei die Entschlüsselungsfunktionen in die Skalierungslogik integriert sind. Diese direkte Integration einer ausgereiften TLS-Inspektions-Engine mit nativen GCP-Diensten vereinfacht die Bereitstellung im Vergleich zur Verwaltung von VM-basierten Appliances. Die Möglichkeit, die CA-Infrastruktur des Unternehmens zu nutzen, ist für Unternehmen entscheidend.

IDPS, URL-Filterung und Advanced Threats

Azure Firewall Premium enthält ein signaturbasiertes Intrusion Detection and Prevention System (IDPS), das Microsofts Threat-Intelligence-Feed nutzt. Es bietet auch URL-Filterung basierend auf Kategorien (z. B. Erwachsenen-, Glücksspiel-, Phishing-Inhalte) und unterstützt FQDN-Filterung. Die IDPS-Engine bietet sowohl Alert- als auch Deny-Modi, mit Unterstützung für benutzerdefinierte Signaturen für erweiterte Anwendungsfälle. Obwohl effektiv, ist die Tiefe der IDPS-Regeln möglicherweise nicht mit dedizierten NGFWs wie Palo Alto oder Fortinet für jedes Nischen-Bedrohungsszenario vergleichbar. Microsoft aktualisiert diese Funktionen kontinuierlich, aber Unternehmen mit strengen Compliance-Anforderungen oder einzigartigen Bedrohungsprofilen ergänzen sie oft mit anderen Schichten wie Defender for Cloud.

Die IDPS-Fähigkeiten von AWS Network Firewall werden durch Suricata-kompatible Regelgruppen gesteuert. Diese Open-Source-Kompatibilität ist eine Stärke, da Kunden benutzerdefinierte Suricata-Regelsätze importieren, Managed Threat Intelligence-Feeds abonnieren, die Suricata-Regeln bereitstellen, oder AWS-Managed Rule Groups verwenden können. Obwohl flexibel, bedeutet dies, dass die Qualität und Abdeckung der IDPS-Signaturen stark von den gewählten Regelsätzen abhängt. URL-Filterung ist über FQDN-Listen innerhalb von Regeln möglich, aber es gibt keinen nativen kategorienbasierten URL-Filterdienst. Dies erfordert mehr manuellen Aufwand für eine breite URL-Kontrolle im Vergleich zu Azure oder GCP und erfordert oft die Integration mit anderen Diensten oder die Verwendung von Drittanbieter-Regelsätzen.

GCP Cloud NGFW Enterprise bietet umfassende IDPS, URL-Filterung und Anwendungssteuerung. Basierend auf den WildFire- und Threat Prevention-Technologien von Palo Alto Networks verfügt es über branchenführende Threat Intelligence und Signaturabdeckung. Dies umfasst Schutz vor Exploits, Malware, Spyware und Command-and-Control (C2)-Traffic. Die Anwendungssteuerungsfunktion ermöglicht eine granulare Richtliniendurchsetzung basierend auf über 1.500 Anwendungen, unabhängig von Port oder Protokoll. Die URL-Filterung ist kategorienbasiert, mit Echtzeit-Updates aus der URL-Datenbank von Palo Alto. Dies macht es zu einer überzeugenden Wahl für Unternehmen, die Best-of-Breed-Sicherheitsfunktionen direkt in ihrer GCP-Umgebung priorisieren.

Management und Integration mit Cloud-Ökosystemen

Azure Firewall Manager bietet zentralisiertes Sicherheits-Policy Management für mehrere Azure Firewall-Instanzen über Abonnements und VNets hinweg. Es integriert sich mit Azure Virtual WAN für Hub-and-Spoke- und globale Transit-Architekturen. Die Protokollierung ist in Azure Monitor und Log Analytics integriert, was eine zentralisierte Transparenz und SIEM-Integration ermöglicht. Policies können mit einer Policy-Hierarchie verknüpft werden, was geerbte Regeln und benutzerdefinierte Überschreibungen ermöglicht. Diese Konsolidierung reduziert den operativen Aufwand für große Bereitstellungen und optimiert das Regelmanagement und die Prüfbarkeit. Die Automatisierung über PowerShell und Azure CLI ist robust und entscheidend für CI/CD-Pipelines.

AWS Network Firewall integriert sich nahtlos mit AWS Transit Gateway zur Traffic-Inspektion, leitet allen relevanten Traffic durch die Firewall-Endpunkte. Das Management erfolgt über AWS Firewall Manager (der Network Firewall-, WAF- und Shield Advanced-Richtlinien verwaltet) oder direkt über die Network Firewall Service Console, CLI und APIs. Protokolle werden an CloudWatch Logs oder Kinesis Firehose gesendet, was die Integration mit S3, Athena, Splunk oder anderen SIEMs ermöglicht. Obwohl das Management granular ist, kann die verteilte Natur der AWS-Dienste manchmal zu einer fragmentierteren Policy-Definition über verschiedene Dienste hinweg führen, verglichen mit einem Single-Pane-of-Glass-Ansatz. Die Bereitstellung und Aktualisierung benutzerdefinierter Regeln kann automatisiert werden.

GCP Cloud NGFW Enterprise nutzt hierarchische Firewall-Policies, die auf Organisations- oder Ordnerebene angewendet werden können, wobei die Policies an einzelne VPCs weitergegeben werden. Dies passt gut zur GCP-Ressourcenhierarchie und vereinfacht große Bereitstellungen und die Compliance. Das Management erfolgt über die Google Cloud Console, gcloud CLI oder APIs. Die Protokollierung integriert sich mit Cloud Logging und kann nach BigQuery oder Splunk exportiert werden. Die Konsistenz bei der Anwendung von Policies im gesamten GCP-Estate, kombiniert mit der Vertrautheit der Policy-Struktur von Palo Alto, ist ein starker Punkt für Unternehmen, die bereits Palo Alto-Produkte On-Premises verwenden. Das Network Connectivity Center (NCC) bietet eine solide Grundlage für Hub-and-Spoke-Designs mit NGFW-Integration.

Kostenanalyse und TCO (Durchsatzbasiert)

Die Preismodelle unterscheiden sich. Betrachten wir die Kosten für durchschnittliche Durchsatzszenarien von 10 Gbit/s und 40 Gbit/s, ausgehend von einem typischen Traffic-Mix, der eine L7-Inspektion erfordert, basierend auf Q1 2026 Preisschätzungen (z. B. Region US East). Dies sind Listenpreise und berücksichtigen keine Unternehmensverträge oder Rabatte.

Merkmal	Azure Firewall Premium	AWS Network Firewall	GCP Cloud NGFW Enterprise
Basis Service Stunde (pro Firewall)	$1.71/Stunde	$0.40/Stunde	$0.70/Stunde (pro Policy Enforcement Point Äquivalent)
Verarbeitete Daten (pro GB)	$0.019/GB (bis 10TB)	$0.065/GB	$0.05/GB
10 Gbit/s Durchschnittlicher Durchsatz (Monatliche Schätzung)	$1.71720 + 0.0191030246060/1024/1024 = $1231 + $4925 = $6156	$0.40720 + 0.0651030246060/1024/1024 = $288 + $16875 = $17163	$0.70720 + 0.051030246060/1024/1024 = $504 + $13000 = $13504
40 Gbit/s Durchschnittlicher Durchsatz (Monatliche Schätzung)	Annahme von 4 Skalierungseinheiten: $6.84720 + 0.01940*... = $4925 + $19700 = $24625	Skaliert automatisch, keine explizite Ratenänderung: $0.40720 + 0.06540*... = $288 + $67500 = $67788	Skaliert automatisch, keine explizite Ratenänderung: $0.70720 + 0.0540*... = $504 + $52000 = $52504
IDPS/TLS-Inspektionskosten	Im Premium-Tier GB-Preis enthalten	Zusätzlich für Managed Threat Signatures	Im Enterprise-Tier GB-Preis enthalten

Hinweis zur Berechnung: 10 Gbit/s durchschnittlicher Durchsatz entspricht etwa 32,4 PB/Monat. Die Kosten für verarbeitete Daten sind ein dominanter Faktor. Azures niedrigerer Preis pro GB wirkt sich bei höheren Durchsätzen erheblich auf die TCO aus. Der höhere GB-Preis von AWS macht es in Szenarien mit hohem Inspektionsvolumen erheblich teurer. GCP bietet einen Mittelweg. Diese Zahlen sind illustrativ und erfordern eine detaillierte Berechnung basierend auf Egress/Ingress-Raten und den tatsächlichen Inspektionsanforderungen.


{
  "description": "Azure Firewall Premium policy snippet for FQDN filtering and IDPS.",
  "properties": {
    "sku": {
      "name": "Premium",
      "tier": "Premium"
    },
    "threatIntelMode": "AlertAndDeny",
    "firewallPolicies": [
      {
        "name": "AppPolicy",
        "properties": {
          "ruleCollectionGroups": [
            {
              "name": "DefaultRuleCollectionGroup",
              "priority": 100,
              "ruleCollections": [
                {
                  "name": "EgressAppRules",
                  "priority": 100,
                  "action": {
                    "type": "Deny"
                  },
                  "rules": [
                    {
                      "ruleType": "ApplicationRule",
                      "name": "DenySocialMedia",
                      "protocols": [
                        {
                          "protocolType": "Http",
                          "port": 80
                        },
                        {
                          "protocolType": "Https",
                          "port": 443
                        }
                      ],
                      "targetFqdns": [
                        "*.facebook.com",
                        "*.twitter.com"
                      ],
                      "sourceAddresses": [
                        "10.0.0.0/8"
                      ]
                    }
                  ]
                }
              ]
            }
          ]
        }
      }
    ]
  }
}

Betrachtungen zu Drittanbieter-NVAs

Obwohl Cloud-native Firewalls erhebliche betriebliche Vorteile bieten, haben Drittanbieter-Network Virtual Appliances (NVAs) wie Palo Alto VM-Series (z. B. VM-300, VM-500, VM-700) oder FortiGate-VM (z. B. FG-VM16, FG-VM32) immer noch ihren Platz, insbesondere für spezifische Anwendungsfälle:

Erweiterte Funktionen: Für Organisationen, die stark in bestimmte Anbieter-Ökosysteme (z. B. Check Point, Cisco) investiert sind oder erweiterte Funktionen wie spezifische Verhaltensanalysen, Sandboxing oder hochgradig angepasste WAF-Funktionen benötigen, die noch nicht von nativen Diensten angeboten werden.
Hybrid Cloud Consistency: Aufrechterhaltung einer konsistenten Sicherheitslage, Policy und Management-Ebene über On-Premises- und mehrere Cloud-Umgebungen hinweg.
Leistungsvorhersagbarkeit: Wo garantierter Durchsatz und Verbindungen von größter Bedeutung sind und die Überprovisionierung dedizierter NVA-Instanzen für kritische Anwendungen akzeptabel ist. Zum Beispiel könnte eine Palo Alto VM-700 in AWS c5n.18xlarge 25-30 Gbit/s bei voller L7-Inspektion erreichen. FortiGate FG-VM16s können 20 Gbit/s Bedrohungsschutz auf ähnlichen Instanzen erzielen.
Kostenoptimierung (Spezifische Szenarien): Für sehr hohen Durchsatz mit stabilen Traffic-Mustern oder Szenarien, die mehrere Cloud-Umgebungen mit komplexem Routing überbrücken. Die TCO für die Lizenzierung einer Palo Alto VM-Series im Vergleich zu den Kosten pro GB nativer Firewalls rechtfertigt oft einen detaillierten Vergleich. Eine VM-700-Lizenz kostet typischerweise 30.000 bis 50.000 US-Dollar jährlich, zuzüglich VM-Compute-Kosten.

Die Wahl zwischen nativen und NVA läuft oft auf ein Gleichgewicht zwischen operativer Einfachheit (native), Funktionstiefe/-konsistenz (NVA) und Kosteneffizienz im großen Maßstab hinaus. Native Firewalls schließen die Funktionslücke schnell, aber NVAs behalten in Nischenbereichen mit hoher Spezialisierung einen Vorteil.

Fazit

Für tiefgehende L7-Sicherheit und erweiterten Bedrohungsschutz in GCP: Google Cloud NGFW Enterprise ist der klare Gewinner, da es den ausgereiften Security Stack von Palo Alto nutzt. Sein roher Durchsatz und die umfassende IDPS/URL-Filterung machen es ideal für Unternehmen, die Best-of-Breed-Sicherheit innerhalb von GCP priorisieren.
Für kostengünstige, skalierbare L7-Sicherheit in Azure: Azure Firewall Premium bietet die beste Balance aus Funktionen, Leistung (bis zu 100 Gbit/s) und TCO, insbesondere bei höheren Durchsätzen aufgrund seiner wettbewerbsfähigen Datenverarbeitungsraten. Seine Autoskalierung und der Firewall Manager vereinfachen den Betrieb.
Für native Integration mit AWS Transit Gateway und Suricata-Regelflexibilität: AWS Network Firewall zeichnet sich durch die Vereinfachung der Netzwerktraffic-Inspektion in großen AWS-Umgebungen aus. Ihr Fehlen nativer TLS-Inspektion und höhere Kosten pro GB für L7-Inspektion machen sie jedoch für reine L7-Anwendungsfälle weniger attraktiv, ohne sie mit anderen Diensten zu ergänzen oder sich ausschließlich auf Suricata für IDPS zu verlassen. Sie wird oft mit anderen Sicherheitsdiensten oder Drittanbieter-NVAs für eine umfassende L7-Sicherheit kombiniert.
Wann Drittanbieter-NVAs gewinnen: Für Hybrid-Cloud-Konsistenz, extrem spezialisierte Funktionsanforderungen (z. B. maßgeschneiderte WAF, erweiterte Verhaltensanalysen) oder wenn bestehende Anbieterinvestitionen die Nutzung von Palo Alto VM-Series oder FortiGate-VM zur Aufrechterhaltung einer einheitlichen Sicherheitsposition über mehrere Clouds und On-Premises hinweg vorschreiben.

Die Entscheidung im Jahr 2026 geht weniger darum, ob Cloud-native Firewalls praktikabel sind, sondern vielmehr darum, welche am besten zu Ihrer bestehenden Cloud-Umgebung, Ihren Sicherheitsanforderungen und Budgetbeschränkungen passt. Alle drei bieten starke Konkurrenten, aber ihre Stärken sind deutlich auf ihre jeweiligen Cloud-Ökosysteme abgestimmt.