Sergey Nivens - Fotolia

Web Application Firewalls: Wichtige Auswahlkriterien im Überblick

Soll die Web Application Firewall in die Cloud ausgelagert werden oder eine Hybrid-Lösung zum Einsatz kommen, gilt es einige Punkte zu beachten.

Cloud-Applikationen sind in: Immer mehr Unternehmen nutzen sie über SaaS (Software as a Service)-Angebote oder IaaS (Infrastructure as a Service)-Umgebungen. Doch diese Anwendungen müssen sie außerhalb ihres Rechenzentrums schützen – ohne Abstriche bei Performance oder Skalierbarkeit. So lagern sie auch Web Application Firewalls (WAFs) zunehmend in die Cloud aus oder setzen sie als Hybrid-Lösung ein. Doch was ist dabei zu beachten?

Trotz anfänglicher Skepsis nutzen mittelständische Unternehmen und öffentliche Behörden inzwischen Cloud-basierte Sicherheitslösungen. Laut der Studie Security Bilanz Deutschland 2016 von techconsult verwendet bereits über die Hälfte der befragten Organisationen aus Industrie, Dienstleistung, Finanzwesen sowie öffentliche Hand E-Mail- und Web-Protection als Cloud-Lösung.

Gleichzeitig werden die Angriffe immer ausgefeilter und häufiger. Für Sicherheitsverantwortliche wird es daher zunehmend schwierig und aufwendig, in Bezug auf aktuelle Bedrohungen und Schutzmaßnahmen auf dem Laufenden zu bleiben. Zudem müssen sie für die Compliance mit aktuellen Vorschriften sorgen. Die Wahl der richtigen Web Application Firewall ist also alles andere als einfach. Daher sollten sie sich bei der Entscheidung für eine WAF an einige wichtige Kriterien und Faktoren orientieren.

WAF - die Implementierung

Bislang wurden WAFs in Form von Hardware-Appliances im eigenen Rechenzentrum installiert. Beim Umstieg auf ein hybrides Modell bei der Cloud-Nutzung müssen Unternehmen genügend Kontrolle über die neuen Infrastrukturen behalten, die nur eingeschränkte Sicherheitsoptionen für kritische Webanwendungen außerhalb der kontrollierten Umgebung bieten. Hier können sie entweder auf die Sicherheitsvorkehrungen des Cloud-Providers vertrauen oder ihre Webanwendungen mit einem Cloud-basierten Dienst schützen.

Eine kostengünstige Option für kleine und mittelgroße Unternehmen ist zum Beispiel die Implementierung einer WAF als virtueller Edition (VE) auf Softwarebasis. Virtuelle WAFs können auch für große Unternehmen sinnvoll sein, die Software-Defined Data Center oder IaaS-Lösungen nutzen. Viele Unternehmen setzen auch Cloud-basierte WAFs ein, um Webdaten abzufangen, bevor sie ins Netzwerk gelangen oder den Server in der Cloud erreichen.

Technische Eigenschaften

Moderne WAFs kombinieren verschiedene Techniken, um eine zuverlässige Erkennung von Angriffen zu gewährleisten und legitimen Traffic nicht zu behindern. Neben klassischen Signatur- und Regel-basierten Methoden zur Abwehr bekannter Bedrohungen werden zunehmend Technologien verwendet, die jeglichen Verkehr abblocken. Nur festgelegte und als sicher eingestufte Transaktionen werden dann zugelassen. Dieser Ansatz bietet hohen Schutz vor Zero-Day-Bedrohungen.

WAFs müssen eine hohe Performance und Ausfallsicherheit gewährleisten, selbst während eines Angriffs auf die von ihnen geschützten Anwendungen. Für die Skalierung nutzen sie Technologien zur Anwendungsoptimierung und Prozessbeschleunigung wie Caching, Komprimierung, SSL-Offloading oder TCP-Optimierung. Zusätzlich können sie bei Bedarf weitere Cloud-basierte WAFs ergänzen.

Compliance und Reporting

Zur Einhaltung von Compliance-Regeln ist die Integration einer Scannerlösung mit einer WAF oft die wirkungsvollste Lösung. Die WAF sollte dabei selbst ausgefeilte Angriffe identifizieren, isolieren und blockieren, ohne die legitimen Transaktionen zu beeinträchtigen. Darüber hinaus bieten einige WAFs PCI-Reporting, etwa ein wichtiges Kriterium für die PCI-DSS-Zertifizierung. Falls Anwendungen noch nicht den PCI-DSS-Anforderungen entsprechen, zeigt das Reporting, wie man diese Compliance erreicht.

„Moderne WAFs kombinieren verschiedene Techniken, um eine zuverlässige Erkennung von Angriffen zu gewährleisten und legitimen Traffic nicht zu behindern. Neben klassischen Signatur- und Regel-basierten Methoden zur Abwehr bekannter Bedrohungen werden zunehmend Technologien verwendet, die jeglichen Verkehr abblocken.“

Ralf Sydekum, F5 Networks GmbH

Die WAF sollte auch Daten sammeln und analysieren, um besseren Einblick in die aktuelle Bedrohungslage und den Sicherheitsstatus der Anwendungen zu gewähren. Reports verdeutlichen die Angriffs- und Traffic-Trends. Zudem erlauben sie das Sammeln von Daten für forensische Zwecke, beschleunigen die Reaktion auf Vorfälle und helfen, unerwartete Bedrohungen zu identifizieren, bevor ein Angriff erfolgt. Viele WAFs lassen sich auch mit Produkten zum Schutz von Datenbanken integrieren, um in Echtzeit Einblick in den Betrieb der Websites zu erhalten.

Einrichtung und Schutz

Das Implementieren einer WAF kann komplex und aufwendig sein. Daher sollte sie das Einrichten vereinfachen, indem sie fertige Sicherheits-Policies mitbringt, die sofort vor typischen Angriffen auf Webanwendungen schützen. Administratoren können auch Lösungen mit automatisierbaren Tools wählen, mit denen sie den Update- und Konfigurationsprozess auf einfache Weise durchführen können.

Nach entsprechender Konfiguration gewährleistet eine aktuelle WAF die Sicherheit und Verfügbarkeit der Webanwendung, indem sie umfassenden Schutz vor Geolocation- und DDoS-Angriffen, SQL Injection, Cross-Site-Scripting oder Zero-Day-Angriffen bietet. Außerdem kann sie betrügerische Transaktionen verhindern, Session Hijacking im Browser unterbinden und AJAX-Anwendungen absichern. Zudem sollte die WAF Daten entschlüsseln und klassifizieren, um schädlichen SSL-Traffic zu stoppen.

 Über den Autor:

 Ralf Sydekum ist Technical Manager DACH bei der F5 Networks GmbH.

 

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Fortsetzung des Inhalts unten

Erfahren Sie mehr über Netzwerksicherheit

ComputerWeekly.de

Close