Zurück zum Blog

Folgen und abonnieren

Herkömmliche WAF vs. Next-Gen WAF: Auf die Unterschiede kommt es an

Brendon Macaraeg

Senior Director of Product Marketing, Fastly

Die App-Landschaften vieler Unternehmen werden aufgrund schnellerer Entwicklungszyklen, einer zunehmenden Anzahl an APIs und der Verlagerung in Hybrid- oder Public Clouds immer komplexer und fragmentierter. Mehr als die Hälfte der Befragten in unserer gemeinsam mit Enterprise Strategy Group (ESG) Research veröffentlichten Studie „Der Wendepunkt bei Webanwendungen und API-Sicherheit“ gaben an, für die meisten oder alle ihre Anwendungen in den nächsten zwei Jahren APIs nutzen zu wollen. Zwar ermöglichen diese neue und ansprechende Endnutzererlebnisse, bedeuten aber gleichzeitig auch einen Mehraufwand in puncto digitaler Schutz. 

Gerade bei stark fragmentierten Setups ist es wichtig, die Sicherheitslösungen so einheitlich wie möglich zu gestalten, um am Markt erfolgreich zu sein. Viele Unternehmen verlassen sich jedoch immer noch auf herkömmliche, regelbasierte Web Application Firewalls (WAFs), die die Skalierung erschweren und in manchen Fällen durch Begebenheiten wie False Positives mehr Probleme verursachen als lösen.

Eines steht inzwischen fest: Ein Next-Gen-Ansatz muss her. Vergleichen wir also herkömmliche mit Next-Gen WAFs, um herauszufinden, was sie im Wesentlichen voneinander unterscheidet.

Wo Sie Ihre Sicherheitslösungen implementieren, zählt

Herkömmliche WAFs werden traditionell zur Richtliniendurchsetzung im Rahmen einer perimeterbasierten Sicherheitsstrategie implementiert. Allerdings lässt sich dabei nicht nachvollziehen, wie sich die Anwendung verhält oder welcher Traffic zum Origin-Server durchdringt. Die mit WAFs verknüpften CDN-Technologien können ebenfalls zu Einschränkungen führen, da unterschiedliche CDN-Lösungen unterschiedliche WAF-Produkte erfordern. 

CDN-basierte WAFs helfen nicht bei der Erkennung von Angriffen auf interne Anwendungen, da sie auf der Edge bereitgestellt werden. Außerdem stellt diese Art von WAFs einen Single Point of Failure für Ihre Anwendung dar und kann zu höheren Latenzzeiten führen, was wiederum negative Auswirkungen auf das Nutzererlebnis hat.

Die besten Next-Gen WAFs enthalten schlanke Softwaremodule, die direkt auf Ihren Webservern oder in Ihrem Anwendungscode laufen. Darüber hinaus bieten sie die nötige Flexibilität, um sie an einer beliebigen Stelle in Ihrem Technologie-Stack zu implementieren – sei das in Containern, auf Ihren eigenen Servern oder in der Cloud. Unsere Next-Gen WAF (ehemals Signal Sciences) nutzt eine patentierte, ausfallsichere Architektur zur Kommunikation mit einem lokalen Agent, damit Ihre Website stabil und schnell bleibt. 

Nutzerdefinierte Regeln können zum Hindernis werden

Herkömmliche WAFs verwenden häufig nutzerdefinierte Regeln, deren Erstellung und Wartung kostspielig ist. In unserer Studie „Der Wendepunkt bei Webanwendungen und API-Sicherheit“ nannten 30 % der Befragten die Anpassung und das Testen von Regeln als Grund, warum sie mit neuen Bedrohungen nicht Schritt halten können. Außerdem gaben 68 % der Befragten an, dass ihr Unternehmen mindestens einmal im Monat neue Regeln für die eingesetzten Kontrollmechanismen entwickelt, wobei Wirksamkeitstests in der Regel mindestens eine Woche dauern. Dies zeigt uns also, wie zeitkritisch dieser Prozess sein kann. 

Hinzu kommt, dass herkömmliche WAFs, sobald sie ausgelöst wurden, oft keine Informationen zu den jeweiligen Anfragen liefern, sodass nur wenige von ihnen jemals im Blocking Mode genutzt werden. Tatsächlich zeigte unsere Studie, dass viele herkömmliche WAFs harmlosen Traffic blockieren, ineffizient sind und wertvolle Ressourcen vergeuden. So gaben 91 % der Befragten zu, ihre Tools im Logging oder Monitoring Mode auszuführen oder sie vollständig abzuschalten.

Ein guter Next-Gen-Ansatz braucht Sicherheitstools, die nicht nur Angriffe selbst, sondern auch die Angriffsabsicht erkennen. Bei unserer WAF sammeln Agents Erkennungsdaten und senden sie asynchron an unsere eigene Cloud Decision Engine, die die Daten aller Ihrer Anwendungen prüft, Blockierungsentscheidungen trifft und detaillierte Erklärungen für ihre Entscheidungen liefert. Dieser tokenbasierte Ansatz zur Erkennung von Angriffen ist präziser als Regeln oder Spezifikationen und erfordert weder Anpassung noch Wartung. Genau aus diesem Grund implementieren mehr als 90 % unserer Kunden unsere Next-Gen WAF im Blocking Mode. 

Die Integration mit DevOps-Tools ist entscheidend

Herkömmliche WAFs sind mühselig zu verwalten, da sich Instanzen bei der Skalierung von Anwendungen und Services nur schwer errichten lassen. Viele von ihnen bieten keine Möglichkeit zur Integration mit DevOps-Tools, was zu eingeschränkter Transparenz beim Zugriff auf Sicherheitsdaten führt. Falls APIs überhaupt vorhanden sind, lassen sie sich nur schwer parsen und nutzen. 

Im Vergleich dazu lassen sich Next-Gen WAFs teamübergreifend durch einfach zu installierende Software integrieren, die sämtliche Anwendungen vor Angriffen schützt, ohne die Performance zu beeinträchtigen. Dank einer nutzerfreundlichen Managementkonsole behalten Sie die Sicherheit Ihrer gesamten App-Landschaft im Blick und profitieren so von beispiellosen Reporting-Funktionen an alle Unternehmensinstanzen. Zur Gewährleistung von teamübergreifender Transparenz können Next-Gen WAFs außerdem mit Ihren DevOps-Tools integriert werden. 

Unsere Next-Gen WAF lässt sich einfach im laufenden Betrieb implementieren und skalieren – mit Metriken zur Messung der Performance sowie einer Latenz von üblicherweise weniger als 3 Millisekunden. Die Weitergabe dieser Sicherheitsdaten an Tools, die von Entwicklern, Operations und Sicherheitsteams verwendet werden, fördert die Zusammenarbeit und Eigeninitiative, damit Probleme gemeinsam schneller behoben werden können. Mithilfe von zuverlässigen APIs können SOC-Teams Daten außerdem in SIEM-Tools ziehen, um Langzeittrends zu ermitteln und Ressourcen besser zu priorisieren.

Wie sieht's bei Ihnen aus?

Wenn Sie aufgrund der oben genannten Informationen Ihre Web-App- und API-Sicherheitstools infrage stellen, sind Sie damit nicht allein. Ganze 93 % der Befragten in unserer Umfrage gaben an, Interesse an einer konsolidierten Web-App- und API-Sicherheitslösung zu haben oder deren Einsatz zu planen, um die Effizienz ihrer Sicherheitsbemühungen zu verbessern, einheitlichen Schutz über unterschiedliche Anwendungsarchitekturen und -umgebungen hinweg zu bieten und Kosten zu senken.

Die Suche und der Umstieg auf neue Lösungen können zwar eine große Herausforderung darstellen, aber die freudige Nachricht ist, Sie können schon jetzt damit beginnen, Ihre Prozesse und Security Stacks auf den neuesten Stand zu bringen und zu konsolidieren. Und wenn Sie mehr über dieses brisante Thema erfahren möchten, laden Sie einfach unsere Studie „Der Wendepunkt bei Webanwendungen und API-Sicherheit“ herunter.