Zum Inhalt springen
BlogSicherheitErhöhen Sie die Anwendungssicherheit mit einer Web Application Firewall

Erhöhen Sie die Anwendungssicherheit mit einer Web Application Firewall

Web Application Firewall Übersichtskopfzeile

Für Anwendungen jeder Größe, die in der Cloud laufen, ist die Sicherheit ein Modell mit geteilter Verantwortung. Ihr Cloud-Anbieter sorgt für ein gewisses Maß an Sicherheit auf der allgemeinen Netzwerk- und Host-Ebene, aber wenn es um den Schutz Ihrer Arbeitslasten geht, muss jeder Entwickler die verfügbaren Sicherheitsebenen kennen.

Was ist eine WAF?

Eine Web Application Firewall (WAF) verhindert, dass bösartiger Datenverkehr mit einer Anwendung interagiert, und schützt Daten vor unberechtigtem Zugriff. Nicht zu verwechseln mit unserer Cloud-Firewall, die eine Schutzebene auf TCP/IP-Ebene schafft, besteht der Zweck einer Web Application Firewall darin, fein abgestimmte Regeln und Verhaltenserkennung zu erstellen, um zu schützen, welche Art von Datenverkehr die Anwendungsebene tatsächlich erreichen kann. Webanwendungen sind anfällig für Angriffe wie Cross-Site-Scripting und SQL-Injektionen, mit denen breitere Sicherheitskonfigurationen auf Netzwerkebene umgangen werden können.

Cloud Firewall - WAF-Diagramm
Unsere Cloud Firewall bietet Schutz auf Layer 3 (Netzwerk), während eine WAF Schutz auf Layer 7 (Anwendung) bietet. Beachten Sie, dass Sie über netzwerk-, cloud- oder hostbasierte WAFs verfügen können. Das obige Beispiel ähnelt einer hostbasierten WAF, bei der sich die Firewall im Anwendungsstapel befindet.

Hier ist ein Vergleich aus der Praxis. Eine WAF ist vergleichbar mit der Rolle der Gebäudesicherheit, wenn man als Gast ein Gebäude betritt. Die Sicherheit geht vor...

  • Erkundigen Sie sich nach dem Zweck Ihrer Einreise
  • Zutritt zu bestimmten Gebäudebereichen mit einem Ausweis oder einer Gästekarte gewähren oder verweigern
  • Seien Sie auf der Hut vor verdächtigem Verhalten, während Sie sich im Gebäude aufhalten
  • Sammeln Sie Ihren Ausweis beim Verlassen des Hauses ein
  • Notieren Sie, wann Sie das Programm verlassen haben

Für eine Anwendung mit einer WAF stellt der Security Guard das grundlegende Verhalten und die Ziele der WAF dar, allerdings zur Überwachung des Webverkehrs.

Wann sollte eine WAF verwendet werden?

Wenn sich Ihre Anwendung weiterentwickelt, werden Sie möglicherweise ein größeres Datenvolumen und verschiedene Klassen sensibler Daten verarbeiten. Im Folgenden finden Sie einige wichtige Fragen, die Sie berücksichtigen sollten, wenn Sie die Sicherheit Ihrer Anwendung verbessern und entscheiden wollen, wie Sie Ihre Sicherheitslösungen implementieren müssen.

  • Wie verwendet Ihre Anwendung Daten?
  • Welche Art von Daten werden von Ihnen verarbeitet?
  • Welche anderen Netze haben Zugang zu den Daten, die Sie verarbeiten?
  • Was würde mit Ihren Nutzern geschehen, wenn es zu einer Datenverletzung käme?

Dies ist besonders wichtig für den Umgang mit personenbezogenen Daten (PII). Bei PII kann es sich um einzelne Daten handeln, wie z. B. die Ausweisnummer eines Reisepasses, oder um mehrere Daten, die Aufschluss über die Identität einer Person geben können, wie z. B. die Kombination aus dem vollständigen Namen und dem Geburtsdatum einer Person.

Eine WAF ist nicht immer notwendig. Wenn Sie eine einfache Anwendung haben, die keine Finanztransaktionen abwickelt, nur die E-Mail eines Benutzers erfasst und für den Zugriff auf Inhalte verschlüsselte Kennwörter erfordert, ist eine WAF wahrscheinlich nicht unbedingt erforderlich. Nehmen Sie eine einfache Kalender- oder Terminplanungsanwendung; eine WAF würde diese grundlegenden Informationen nicht weiter absichern.

Wenn Sie eine kleine Anwendung mit einer mäßigen Anzahl von PII-Transaktionen betreiben, kann die Implementierung einer WAF sinnvoll sein. Selbst bei einem mäßigen Transaktionsvolumen besteht die Möglichkeit, dass böswillige Akteure gezielt darauf zugreifen. Wenn Sie Ihre Anwendung skalieren möchten, können Sie mit einer WAF die Daten Ihrer Benutzer schützen und den Aufwand für eine künftige Erhöhung des Transaktionsvolumens verringern. 

Für hochvolumige E-Commerce- oder andere Anwendungen, die große Mengen an sensiblen Daten verarbeiten und speichern, ist mehr Sicherheit erforderlich. Dazu gehört die Implementierung einer robusten WAF. Diese Art von Anwendungen sind die Schwergewichte, an die Sie denken, wenn es um Daten geht, die stark geschützt werden müssen: Finanzinstitute, Gesundheitsdienstleister und staatliche Einrichtungen.

Auswählen einer WAF

Die Wahl einer WAF hängt von zwei Schlüsselfaktoren ab: dem Grad der Konformität, der für die von Ihrer Anwendung verarbeiteten Daten erforderlich ist, und der Frage, ob Ihre Arbeitslast am besten für eine selbstverwaltete Lösung geeignet ist, oder ob Sie die gesamte Kontrolle an ein vertrauenswürdiges Sicherheitsunternehmen abgeben möchten, das über die erforderlichen Fachkenntnisse und Konformitäten verfügt.

Wie bei anderen Technologiediensten gibt es auch bei WAF-Lösungen eine Mischung aus selbstverwalteten und herstellerverwalteten Lösungen. Es gibt kostenlose Open-Source-WAFs, die verwaltet und aktualisiert werden müssen, was für Entwickler, die ein fein abgestimmtes Maß an Kontrolle wünschen, eine gute Lösung ist. 

Größere Arbeitslasten und Anwendungen, die sensible Daten verarbeiten, profitieren von herstellerverwalteten Lösungen, die aktiv auf der Grundlage der neuesten Bedrohungsdaten und potenziellen Schwachstellen aktualisiert werden. Seriöse Cybersicherheitsunternehmen führen ihre Konformitätsniveaus auf und halten sie aufrecht, wodurch bestimmt wird, ob ihre Produkte bei der Interaktion mit Ihrer Anwendung konform sind. Diese Überlegung gilt auch für die Auswahl eines Cloud-Anbieters, der die Anwendung und die Daten selbst hostet.

Verschiedene WAF-Lösungen bieten zusätzliche Funktionen wie die Tiefe der Überwachung (einschließlich der Möglichkeit, Echtzeit-Updates zu erhalten), die Speicherung von Protokollen und die Integration mit dem Rest Ihres Tech- oder Business-Stacks.

Finden Sie die richtige WAF-Lösung

Wir bieten verschiedene Stufen von WAF-Lösungen an, damit Sie die richtige Lösung finden können, egal ob Sie gerade erst mit einer selbstverwalteten Open-Source-Lösung beginnen oder Ihre Anwendung einen leistungsstarken Schutz benötigt.

Für eine relativ einfache WAF, die Ihre Anwendung vor größeren Angriffen schützt und eine gewisse Überwachung bietet, ist die Haltdos Community WAF ein hervorragender Einstieg. Haltdos ist eine selbstverwaltete Lösung mit einer intuitiven grafischen Benutzeroberfläche, auf der Sie das Volumen der eingehenden Anfragen, IP-Adressen und die wichtigsten angreifenden IPs zur Risikoüberwachung sehen können.

Bereitstellung über Linode Marketplace | Installation auf einer bestehenden Ressource | Mehr erfahren

Für Unternehmens-Workloads und größere Anwendungen, die personenbezogene Daten verarbeiten, schützt App & API Protector von Akamai Anwendungen und API Netzwerke vor einer Vielzahl von Bedrohungen, einschließlich der Schwachstellen der OWASP API Security Top 10. App & API Protector nutzt maschinelle Lernanalysen und Daten von Akamai's Threat Intelligence- und Mitigation-Teams, um die Sicherheit kontinuierlich zu verbessern und mit Sicherheitsbedrohungen, Standards und Anforderungen Schritt zu halten.

WAAP-Gartner-Bericht herunterladen | Mehr erfahren


Kommentare

Kommentar abgeben

Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit *gekennzeichnet