## Fastly sorgt für den Schutz von Bambora bei AWS

Bambora bietet flexible Softwarelösungen, mit denen Unternehmen Onlinezahlungen akzeptieren können. Die Zahlungsabwicklungs-API von Bambora übermittelt Kundendaten an AWS. Ursprünglich nutzte Bambora eine CDN WAF, die zu hohe Betriebskosten verursachte. Daraufhin wechselte das Unternehmen zu AWS Shield für volumetrischen DDoS-Schutz und Fastlys Next-Gen WAF für Transparenz und Schutz auf Anwendungsebene.

Bambora war auf der Suche nach einer flexiblen Lösung, die in der Lage ist, neben OWASP Injection-Angriffen auch weitere Angriffstypen zu erkennen. Die Fastly Next-Gen WAF erwies sich als passende Lösung: Sie bietet Schutz vor Angriffen wie Credential Stuffing und missbräuchlicher Anwendung von Geschäftslogik, die auf sensible oder hochriskante Transaktionen abzielen. Bambora stellte fest, dass AWS WAF – wie andere herkömmliche WAF-Lösungen – nur einen begrenzten Funktionsumfang bot und ihre Verwaltung mit hohen Kosten verbunden gewesen wäre. Die Next-Gen WAF ist skalierbar und ermöglicht Bambora Überwachung und Schutz vor anwendungsspezifischen Risiken und Missbrauch in Echtzeit.

Die Herausforderung

Die Amazon Web Services Web Application Firewall (AWS WAF) zur Überwachung und zum Schutz von Anwendungen auf AWS zu nutzen, scheint zunächst naheliegend. In der Praxis machen die Abhängigkeit von Regeln für reguläre Ausdrücke (RegEx) und proprietäre Anwendungen es für Unternehmen, die eine genaue Blockierung und Flexibilität bei der Skalierung benötigen, allerdings schwierig.

_Methoden zur Erkennung moderner Angriffe als Mangelware
Die verwalteten Regeln der AWS WAF basieren auf RegEx-Regeln für die Angriffserkennung. Diese einfache Abgleichstechnik reicht für aber für die ausgefeilten Angriffsmethoden von heute nicht mehr aus, da sie bei einfachen Datenabfragen und Traffic-Anfragen zu falsch positiven Ergebnissen führen kann. Hinzu kommt, dass diese Lösung auch keine fortschrittlichen Schwellenwertfunktionen enthält, die eine wichtige Abwehrtechnik für volumetrische Angriffe sind.

Hohe Unterhaltskosten
Die AWS WAF an sich enthält keine Regeln: Man kann diese nur definieren, indem man eine Zugangskontrollliste für das Web (Web-ACL) oder eine Gruppe verwalteter Regeln konfiguriert. Das Schreiben und Verwalten von Regeln erhöht die Gesamtbetriebskosten, da es unterschiedliche Tarife und Anforderungen für die Konfiguration von Regeln innerhalb von Web-ACLs oder Regelgruppen gibt. Die Abrechnung wird dadurch unübersichtlich und komplex, vor allem bei unerwartetem Traffic-Aufkommen. Je umfangreicher also die Anwendungen und Services, desto schwieriger die Verwaltung.

Ökosystem und Abhängigkeit von Dritten
Unternehmen, die auf flexible Tools und Umgebungen angewiesen sind, können durch das AWS Ökosystem, das neben branchenüblicher Software auch eigene Versionen beliebter DevOps-Tools bietet, Einschränkungen erfahren. Außerdem gibt es bei der AWS WAF vorgefertigte Basisregeln. Zusätzliche Regeln müssen bei AWS oder über Drittanbieter erworben werden (Managed Rules Groups).

Keine einheitliche Verwaltung für Multi-Cloud- und Hybrid-Cloud-Umgebungen
Wenn nicht alle Ihre Objekte auf AWS laufen, haben Sie keinen einheitlichen Überblick über die Sicherheit Ihrer Nicht-AWS-Anwendungen und -Services. AWS eignet sich zwar für Anwendungsteams, die nach nativen Kontrollmöglichkeiten (bei Single-Cloud-Umgebungen) suchen, aber es mangelt an Transparenz für Netzwerksicherheitsteams und Unternehmen mit hybriden und Multi-Cloud-Umgebungen.

Unsere Lösung

Die Bereitstellung von Anwendungen in Cloud-Umgebungen bietet Unternehmen mehr unternehmerische Flexibilität, eine höhere Datenverfügbarkeit und zusätzliche Kosteneinsparungen. Doch die Sicherheit ist und bleibt ein zentrales Problem: 73 % der Unternehmen mit cloudnativen Anwendungen geben an, dass es ihnen an umsetzbaren und detaillierten Echtzeiteinblicken in Bedrohungen und laufende Angriffe fehlt.

Mit der Fastly Next-Gen WAF können Cloud- und DevOps-Teams ihre Anwendungen, APIs und Microservices bei AWS mühelos schützen. Unsere leicht zu installierende Software unterstützt jede Anwendung, ohne spürbare Auswirkungen auf die Performance. So bleiben Sie nicht nur vor Angriffen aller Art geschützt, sondern erhalten dank Integrationsmöglichkeiten mit allen Produkten der DevOps-Toolchain auch teamübergreifende Transparenz.