Schutz von CommonBond in AWS durch Fastly

Als Anbieter für die Refinanzierung von Studentenkrediten, für die man sich online bewirbt, hat Sicherheit für CommonBond oberste Priorität. Da CommonBond Kunde bei AWS ist, wurde die AWS WAF zum Schutz der Web-Anwendungen in Erwägung gezogen, allerdings bevorzugte das Unternehmen Fastlys modernen Ansatz.

CommonBond stellte also die Fastly Next-Gen WAF in seiner Kubernetes Umgebung bereit. Diese einsatzbereite Lösung erwies sich als wirksam und äußerst einfach zu verwalten. Für ein kleines Team wie das von CommonBond war das von großem Vorteil. CommonBond, das sich auf künftiges Wachstum vorbereitet, schätzt die flexiblen Bereitstellungsmethoden und DevOps-Toolchain-Integrationen, über die seine Anwendungen jederzeit, überall und unkompliziert geschützt werden können – heute sowie in der Zukunft.

Die Herausforderung

Die Amazon Web Services Web Application Firewall (AWS WAF) zur Überwachung und zum Schutz von Anwendungen auf AWS zu nutzen, scheint zunächst naheliegend. Die Amazon Web Services Web Application Firewall (AWS WAF) zur Überwachung und zum Schutz von Anwendungen auf AWS zu nutzen, scheint zunächst naheliegend. In der Praxis machen die Abhängigkeit von Regeln für reguläre Ausdrücke (RegEx) und proprietäre Anwendungen es für Unternehmen, die eine genaue Blockierung und Flexibilität bei der Skalierung benötigen, allerdings schwierig. In einer von CommonBond durchgeführten Bewertung wird angemerkt, dass die AWS WAF im Vergleich zur Fastly Next-Gen WAF mehrere Schwachstellen aufwies.

_Fehlende Methoden zur Erkennung moderner Angriffe
Die verwalteten Regeln der AWS WAF basieren auf RegEx-Regeln für die Angriffserkennung. Diese simple Abgleichstechnik reicht aber für die ausgefeilten Angriffsmethoden von heute nicht mehr aus, da sie bei einfachen Datenabfragen und Traffic-Anfragen zu falsch positiven Ergebnissen führen kann. Hinzu kommt, dass diese Lösung auch keine fortschrittlichen Schwellenwertfunktionen enthält, die eine wichtige Abwehrtechnik für volumetrische Angriffe sind.

Hohe Instandhaltungskosten
Die AWS WAF an sich enthält keine Regeln. Man kann diese nur definieren, indem man eine Zugangskontrollliste für das Web (Web-ACL) oder eine Gruppe verwalteter Regeln konfiguriert. Das Schreiben und Verwalten von Regeln erhöht die Gesamtbetriebskosten, da es unterschiedliche Tarife und Anforderungen für die Konfiguration von Regeln innerhalb von Web-ACLs oder Regelgruppen gibt. Die Abrechnung wird dadurch unübersichtlich und komplex, vor allem bei unerwartetem Traffic-Aufkommen. Je umfangreicher also die Anwendungen und Services, desto schwieriger die Verwaltung.

Ökosystem und Abhängigkeit von Dritten
Unternehmen, die auf flexible Tools und Umgebungen angewiesen sind, fühlen sich durch das AWS Ökosystem, das neben branchenüblicher Software vor allem eigene Versionen beliebter DevOps-Tools hervorhebt, möglicherweise eingeschränkt. Ein weiteres Problem ist, dass es bei der AWS WAF zwar vorgefertigte Basisregeln gibt, zusätzliche Regeln allerdings bei AWS oder über Drittanbieter erworben werden müssen (Managed Rules Groups).

Keine einheitliche Verwaltung für Multi-Cloud- und Hybrid-Cloud-Umgebungen
Wenn nicht alle Ihre Objekte auf AWS laufen, haben Sie keinen einheitlichen Überblick über die Sicherheit Ihrer Nicht-AWS-Anwendungen und -Services. AWS eignet sich zwar für Anwendungsteams, die nach nativen Kontrollmöglichkeiten (bei Single-Cloud-Umgebungen) suchen, aber es mangelt an Transparenz für Netzwerksicherheitsteams und Unternehmen mit hybriden und Multi-Cloud-Umgebungen.

Unsere Lösung

Die Bereitstellung von Anwendungen in Cloud-Umgebungen bietet Unternehmen mehr unternehmerische Flexibilität, eine höhere Datenverfügbarkeit und zusätzliche Kosteneinsparungen. Doch die Sicherheit ist und bleibt ein zentrales Problem: 73 % der Unternehmen mit cloudnativen Anwendungen geben an, dass es ihnen an umsetzbaren und detaillierten Echtzeiteinblicken in Bedrohungen und laufende Angriffe fehlt.

Mit der Fastly Next-Gen WAF können Cloud- und DevOps-Teams ihre Anwendungen, APIs und Microservices bei AWS mühelos schützen. Unsere leicht zu implementierende Lösung unterstützt jede Anwendung, ohne spürbare Auswirkungen auf die Performance. So bleiben Sie nicht nur vor Angriffen aller Art geschützt, sondern erhalten dank Integrationsmöglichkeiten mit allen Produkten der DevOps-Toolchain auch teamübergreifende Transparenz.