Zurück zum Blog

Folgen und abonnieren

Der schnellere Weg zu einer besseren WAF

David King

Product Marketing Manager, Security, Fastly

Wir von Fastly haben uns das ehrgeizige Ziel gesetzt, die Web Application Firewall zu revolutionieren. Unser Hauptaugenmerk liegt auf dem proaktiven Schutz von Anwendungen in der Produktivumgebung vor bekannten und unbekannten Bedrohungen, aber das ist längst nicht alles. Die Fastly Next-Gen WAF</u> macht sich nicht nur die Fortschritte herkömmlicher Anbieter zunutze, sondern überwindet gleichzeitig auch bekannte Hürden – insbesondere diejenigen, die ganz am Anfang der Nutzung auftreten.

Was den Ruf von WAFs betrifft, so lassen sich potenzielle Nutzer in der Regel in zwei Lager einordnen: Auf der einen Seite stehen diejenigen, die eine WAF strikt ablehnen, weil sie in der Vergangenheit viel Zeit mit der Einrichtung und mit der ständigen Pflege und Wartung von WAFs verbracht haben, was einen hohen Personalaufwand und eine Vielzahl von Regeln erforderte. Das andere Lager nutzt zwar eine WAF, stößt aber auf Hindernisse, wenn es um die Skalierung für andere Anwendungen und Architekturen wie Hybrid und Multi-Cloud geht, die allesamt eine komplizierte Einrichtung und Regelabstimmung erfordern.

Wir haben diese Erfahrung aus erster Hand gemacht, denn die Initiatoren unserer Next-Gen WAF sind ehemalige Führungskräfte aus den Sicherheits-, Entwicklungs- und Produktteams bei Etsy. Sie wollten sich der Herausforderung stellen, sowohl moderne als auch ältere Anwendungen zu schützen, indem sie eine Technologie entwickelten, bei der die Tücken bestehender WAF-Ansätze eliminiert wurden:

  • Monatelanger Installationsaufwand

  • Gescheiterte legitime Webtransaktionen aufgrund von Fehlalarmen

  • Mangelnder Zugriff auf Analysedaten und fehlende Einblicke für Operations- und Engineering-Teams

Um sich von dem mit herkömmlichen WAFs verbundenen enttäuschenden Erlebnis zu verabschieden, war das Hauptziel unserer Gründer, neuen Kunden vier wesentliche Vorteile zu bieten, die bei den bisherigen Lösungen auf sich warten ließen:

  1. Schneller Einstieg und leichte Skalierung

  2. Schnelle Wirksamkeit

  3. Funktionsübergreifende Zusammenarbeit

  4. Erhöhte Transparenz

Schneller Einstieg und leichte Skalierung

Die Installation anderer WAFs erfordert oft monatelange Bemühungen von funktionsübergreifenden Teams, was zu erheblichen Verzögerungen bei der Nutzung führt. Angesichts einer bei anderen WAFs komplexen Bereitstellung, notwendigen Erstellung von Regelsätzen mit regulären Ausdrücken und dem Tuning ist „schnell einsatzbereit“ dort oft nur eine Floskel, denn in Wirklichkeit ist genau das Gegenteil der Fall. Viele Anbieter herkömmlicher Lösungen sind bereits seit Jahrzehnten auf dem Markt und tun sich nicht selten schwer damit, mit dem Innovationstempo Schritt zu halten.

Die Installation ist der erste Schritt bei der Nutzung des Produkts durch den Kunden, und wir haben sie möglichst schnell und einfach gestaltet. Inzwischen ist es bei Fastly sogar zu einer Art Sport geworden, zu beobachten, wie schnell die ersten Agents neuer Interessenten online gehen. Der aktuelle Rekord liegt bei unter einer Minute, der Durchschnitt bei knapp über einer Stunde. Installationen und Aktualisierungen lassen sich mithilfe von Packages, öffentlichen Repositories und Konfigurationsmanagement-Tools wie Terraform, Chef, Puppet, Ansible und Salt problemlos automatisieren.

Schnelle Wirksamkeit

Nach der Installation Ihrer WAF besteht der nächste Schritt darin, sie in Betrieb zu nehmen und ihre Wirksamkeit zu testen. Da dies bei herkömmlichen WAFs aber nicht immer ganz einfach ist, hat man dort Sandbox-Tests eingeführt. Sandboxing kann eine schnelle und effiziente Methode sein, um eine neue Technologie auszuprobieren. Es bildet den Traffic in der Produktivumgebung aber nicht genau nach und ist daher ein schlechter Indikator dafür, wie effektiv Ihre WAF auf Live-Websites arbeiten wird. Bei herkömmlichen appliancebasierten WAF-Lösungen macht Sie die Sandbox nicht darauf aufmerksam, welche Komplexität SSL-Zertifikate, DNS-Änderungen und die Regelanpassung zur Vermeidung von Fehlalarmen mit sich bringen. 

Zur Validierung Ihrer WAF empfiehlt sich ein Proof of Concept (POC) mit dem Traffic aus der Produktivumgebung, der Ihnen wertvolle Einblicke in die Auswirkungen Ihrer Implementierung auf Ihren Traffic und den Schutz Ihrer Anwendungen bietet. Die Next-Gen WAF erleichtert Ihnen die Entscheidung, in den Blocking Mode zu wechseln, durch Analysen, die einen höheren Schutz bestätigen, ohne dass es zu Fehlalarmen kommt. Fast 90 % der Next-Gen WAF Kunden von Fastly betreiben das Produkt vollständig im Blocking Mode</u>. Dies ist ein Beleg dafür, dass sich mit Fastly die Wahrnehmung von WAFs ändert und Kunden mit unserem Produkt schneller einen Mehrwert erzielen können.

Funktionsübergreifende Zusammenarbeit

WAFs sind ein Tool, das für Sicherheitsexperten entwickelt wurde. Ihre operativen Auswirkungen sind aber im gesamten Unternehmen zu spüren. Teams wie DevOps und Site Reliability Engineers (SREs) werden bei herkömmlichen WAFs bei den Analysen oft nicht berücksichtigt, was zu Unsicherheiten hinsichtlich ihrer Auswirkungen auf den Traffic führt (und zwar aus gutem Grund): Laut Amazon</u> hat eine Verzögerung von nur 100 ms Auswirkungen auf den Umsatz von bis zu 1 %, und Google</u> zufolge werden im Extremfall bis zu 53 % der Sitzungen nach 3 Sekunden abgebrochen. Es steht viel auf dem Spiel, und jede Millisekunde zählt.

Dass sich der Einsatz einer WAF auf die Latenz auswirkt, steht außer Frage. Es fragt sich allerdings, wie stark und wie Sie diese Auswirkungen ermitteln können. WAFs wurden bisher in der Regel als Engpässe und Ursache für erhebliche Latenzen wahrgenommen, allerdings bietet die neueste Generation neben dem benötigten Schutz auch noch Einblicke und minimale Latenzzeiten. Bei der Fastly Next-Gen WAF beträgt die durchschnittliche Latenzzeit beispielsweise nur Millisekunden. Gleichzeitig erhalten Sie Einblicke in die betroffenen Systeme, einschließlich CPU, Speichernutzung, Antwortzeiten, Antwortgrößen und vieles mehr. Die zusätzliche Transparenz zerstreut auch Bedenken hinsichtlich der Auswirkungen und erleichtert Debatten über die Wirksamkeit.

Erhöhte Transparenz

Eine schnelle Bereitstellung ist nur dann hilfreich, wenn Sie sofort aussagekräftige Einblicke erhalten (schließlich lässt sich fast jedes Tool schnell installieren, was aber noch lange keine Garantie dafür ist, dass das Tool auch wirklich etwas bewirkt). Die meisten Fachleute mit WAF-Erfahrung klagen über zweierlei Dinge, wenn es um die Qualität von WAF-Daten geht: 

  1. Learning Mode – Der Lernmodus verhindert, dass Teams Daten direkt erhalten, da die WAF versucht, Traffic-Muster zu prognostizieren, und die Teams Fehlalarme herausfiltern müssen. (Dieser Prozess muss jedes Mal wiederholt werden, wenn eine Änderung an der Anwendung vorgenommen wird.) 

  2. Fehlende Transparenz bei Blockierungsentscheidungen – Der Mangel an Informationen und Transparenz in Bezug auf Blockierungsentscheidungen führt zu Misstrauen unter den Bedienern der Tools. So suchen Teams nach der Fehlerursache, ohne eine Erklärung von dem Tool zu erhalten, das den Fehler aufgedeckt hat.

Der Schlüssel zur Erleichterung dieser Probleme lautet Transparenz. WAFs der nächsten Generation stellen allen Teams Self-Service-Sicherheitsdaten zur Verfügung, indem sie die Payloads der Anfragen, die zu der Entscheidung, eine IP als schädlich zu kennzeichnen, geführt haben, über bestehende Tools wie Slack, Jira, Datadog, PagerDuty, Splunk usw. weiterleiten. Der bloße Zugriff auf diese Daten gibt Verantwortlichen das nötige Vertrauen, um vom Lernmodus vollständig in den Blocking-Modus zu wechseln, in dem der eigentliche Mehrwert einer WAF zum Tragen kommt. (Was unsere Kunden dazu sagen, erfahren Sie in unseren Kundenfallstudien</u>). 

Pünktlich, kostengünstig und schneller als geplant: die Fastly Next-Gen WAF in der Praxis

Für die ohnehin oft überlasteten Sicherheitsteams ist ein schneller POC mit einfacher Installation und kurzer Time to Value ein großer Gewinn, und WAFs der nächsten Generation machen dies möglich. Ihre Umgebung wird schon am ersten Tag sicherer, nicht erst nach mehreren Monaten. Außerdem versetzen Sie die aktive Blockierung, klaren Einblicke und umsetzbaren Informationen in die Lage, sich auf andere Dinge zu konzentrieren, die wirklich wichtig sind. Denn wenn wir eines mit Sicherheit wissen, dann ist es, dass es nie einen Mangel an Dingen gibt, die es zu schützen gilt! Sprechen Sie mit uns</u>, wenn Sie mehr erfahren möchten. Vielleicht sind Sie ja dann schon bald der nächste Kunde, der den Rekord für die Installationszeit bricht …