Ratgeber

Web Application Firewalls: Sicherer Schutz für Web-Apps

Seite 2 / 2

WAF für Amazon-Web-Services

Eine solche Pricing-Strategie verfolgen die meisten traditionellen ­Security-Anbieter. Je flexibler und anpassbarer die Regeln und damit die Schutz- und Kontrollmöglichkeiten sind, die die WAF bietet, desto teuer wird sie. Hier kommt Amazon mit einer aggressiven Preisstrategie ins Spiel. Mit AWS WAF bietet der Cloudriese einen WAF-Dienst, der die unbegrenzte Erstellung benutzer­definierter Regeln ermöglicht. Statt eines monatlichen Festpreises wie bei Cloudflare, ­Incapsula und Co. zahlen Kunden dabei dynamisch nach tatsächlichem Verbrauch. Die Gebühren basieren darauf, wie viele Regeln erstellt und wie viele Web-­Anforderungen überprüft werden.

Amazon versetzt Entwickler in die Lage, ihre Cloud-Anwendungen mit eigenen benutzerdefinierten WAF-Regeln zu schützen. Diese kann man bequem auf der Web-Konsole oder automatisiert über eine API erstellen. (Screenshot: Amazon)

Damit adressiert Amazon Webentwickler, die mit eigenen Regeln arbeiten möchten, die nur für ihre Anwendungen ­gelten. In der webbasierten AWS-Konsole kann man Regeln erstellen, die Webanfragen zum Beispiel basierend auf Ländercodes, ­HTTP-Header, Body oder Querystrings filtern. Das funktioniert übrigens auch über eine vollausgestattete API, die Devops-Teams nutzen können, um WAF-Richtlinien automatisiert zu erstellen. Neben diesen Regeln bietet ­Amazon auch ratenbasierte Regeln, die hilfreich sind, um den Zugriff auf Web-Ressourcen im Detail zu kontrollieren. So kann man zum Beispiel Clients automatisch blockieren lassen, die zu viele Requests an einen bestimmten API-Endpoint senden.

Google Cloud Armor

Amazon bietet seine WAF nicht als eigenständigen Cloudservice, sondern nur in Verbindung mit dem CDN-Service Cloudfront oder seinem Application Load Balancer (ALB) an. Diese Vertriebsstrategie verfolgen auch Google und Microsoft, die inzwischen auch eigene WAF-­Lösungen in ihre IaaS-Plattformen integriert haben. Im Vergleich zu Amazons WAF, die schon im Jahr 2015 eingeführt wurde, sind diese Angebote allerdings noch nicht so stark ausgeprägt. Doch wenn man seine Anwendungen auf einer dieser Plattformen betreibt, lohnt es sich auf jeden Fall, sich die Lösungen näher anzuschauen. Denn diese sind nahtlos in den weiteren Infrastrukturdiensten der Public Cloud integriert und in der Regel günstiger als eine externe Lösung. Mit Cloud Armor stellt Google eine WAF bereit, die Schutz vor ­DDoS-Attacken, Black und Whitelisting, sowohl vordefinierte als auch benutzerdefinierte Regeln bietet. Das Tool befindet sich allerdings noch in der Betaphase. Microsoft stellt seine WAF als Teil des ­Application-Gateway-Dienstes zur Verfügung, der Performance- und Sicherheitstools für Anwendungen in der Azure-Cloud unter einen Hut bringt. Im Gegensatz zu Amazon und Google bietet die Azure WAF noch keine benutzerdefinierten Rules. Das System unterstützt ausschließlich die Standard-OWASP-Regeln, deren Einstellungen man als Administrator konfigurieren kann.

Mit Cloud Armor bietet Google eine neue WAF-Lösung, die umfassenden Schutz vor DDoS-Attacken und weiteren Internetbedrohungen verspricht, aber noch in der ­Betaphase ist. (Screenshot: Google)

Alternativen für ­große Unternehmen

Unternehmen, die ihre Geschäftsanwendungen, seien es interne Systeme wie Mitarbeiterportale oder kommerzielle Anwendungen wie ein Onlineshop, auf einer der großen Cloud-Plattformen hosten, müssen nicht zwangsweise die WAF ihres Cloud-Providers nutzen. Ganz im Gegenteil: Führende WAF-Anbieter wie etwa Barracuda, Citrix, F5 Networks, Fortinet, Qualys oder Sonicwall bieten virtuelle ­Appliances, die speziell für das Deployment auf Amazon-Web-Services, Google Cloud oder Azure konzipiert sind. Barracuda zum Beispiel bietet mit Cloudgen WAF eine Lösung auf Enterprise-Niveau, die direkt über die Cloud-Marktplätze von Amazon, Google und Microsoft vertrieben wird. Neben einem umfangreichen Featureset bietet die ­Barracuda-Lösung eine umfassende REST-API sowie automatisierte Tools zur Schwachstellenerkennung und -behebung, von denen Profis profitieren können. Unternehmen, die sowohl lokale als auch Cloud-Anwendungen in hybriden IT-Infrastrukturen schützen müssen, finden in den umfangreichen Produktportfolios dieser etablierten Anbieter die passenden Deploymentoptionen.

Fazit

Web-Application-Firewalls gehören inzwischen zu den wich­tigsten Securitytools für Unternehmen, die die Sicherheit ihrer Webauftritte, Onlineshops oder Business-Anwendungen optimieren möchten. Dabei spielen cloudbasierte Produkte eine zunehmend wichtige Rolle, da traditionelle On-Premise-Lösungen den heutigen Anforderungen rund um Integrationsfähigkeit, Skalierbarkeit und Kosteneffizienz nicht mehr genügen. Mit einem schnellen Setup, günstigen Preisen und einem umfassenden, automatisierten Schutz vor gängigen Internetbedrohungen bieten sie Entwicklern einen einfachen Einstieg und lassen auch Profis, die sich die volle Kontrolle über ihre WAF wünschen, profitieren. Doch darf bei allen Features nicht vergessen werden: Selbst die beste WAF ist kein Ersatz für eine sichere Anwendung und reicht alleine nicht aus, um sie und ihre Nutzer effektiv zu schützen.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!