Die Fastly Next-Gen WAF als wichtigstes Tool für den Schutz sensibler Daten bei GitGuardian

Wenn es um das praxiserprobte Scannen von Code und das Aufspüren sensibler Daten geht, stellt sich GitGuardian dieser Herausforderung mit dem Geschick von Julius Cäsar und dem analytischen Gespür von Sherlock Holmes. Die Funktionen zum Scannen, Erkennen und Beheben von Problemen in Echtzeit ermöglichen es Entwickler-, Sicherheits- und Ops-Teams, sensible Informationen wie API-Schlüssel, Passwörter, Zertifikate und Verschlüsselungscodes von ihrem Quellcode getrennt zu halten und damit Zeit, Geld und Verwaltungsaufwand zu sparen.

Seit 2017 hat GitGuardian mehr als 3 Milliarden Commits gescannt, die in öffentliche GitHub Repositories gepusht wurden. So gelang es GitGuardian, ein erhebliches Wachstum zu verzeichnen. Die wachsende Nutzerschaft brachte die umständliche WAF-Lösung des Unternehmens allerdings an ihre Grenzen. Die hohe Rate an Fehlalarmen der herkömmlichen WAF beeinträchtigte nicht nur die App, sondern stellte auch eine Gefahr für die Nutzerfreundlichkeit dar. Es war also höchste Zeit für das GitGuardian Team, schnellstmöglich eine andere Lösung zu finden.

Moderne, funktionale WAF

GitGuardian entschied sich erneut für eine cloudbasierte WAF, weil sie sich leicht in die SaaS-Plattform des Unternehmens integrieren ließ. Allerdings wurden dadurch ungewollt In-App-Nachrichten mit Programmiercode sowie automatische Webhooks von Kundensystemen blockiert. Dieses Problem zu lösen war eine echte Herausforderung, da Ausnahmen für rund 100 Regeln eingeführt werden mussten, die nur etwa 10 % aller Endpoints abdeckten. Als das Team im Jahr 2022 beschloss, seine Anwendungen zu Kubernetes zu verlagern, wäre die Migration der bestehenden WAF mit erheblichem technischen Aufwand verbunden gewesen – und das für eine offensichtlich sehr unzuverlässige Lösung. Da die Zeit für eine neue, funktionale WAF gekommen war, legte GitGuardian ein konkretes Anforderungsprofil für die gewünschte neue Lösung fest:

• Die WAF muss Angriffe zuverlässig erkennen und blockieren, auf eigenen Servern gehostet werden können und eine hohe Verfügbarkeit bieten.


• WAF-Regeln sollten in einer Infrastructure as Code (IAC)-Sprache geschrieben werden, um es Entwicklern zu erleichtern, Änderungsvorschläge zu unterbreiten, und es den Sicherheitsteams zu ermöglichen, diese zu prüfen.


• WAF Logs müssen sich zu Elastic exportieren lassen und mit anderen Logs anhand der von der WAF generierten Request ID korrelieren.


• Die WAF sollte in Kubernetes gehostet werden, System- und Regelaktualisierungen sollten automatisiert erfolgen und die Bereitstellung sollte möglichst einfach sein und nicht mehr als vier (4) Werktage für die Ersteinrichtung in Anspruch nehmen.

Nicht zuletzt sollte der WAF-Anbieter natürlich auch vertrauenswürdig sein – ein wichtiges Kriterium, wenn man sein Geld mit Sicherheit und Datenschutz verdient.

Die Fastly Next-Gen WAF stellte die Konkurrenz im Hinblick auf diese (und weitere) Kriterien in den Schatten. Die Frage war nur: Ist ihre Performance in der Praxis genauso beeindruckend wie auf dem Papier?

Vertrauenswürdig und zuverlässig

Mit der Fastly Next-Gen WAF gehören Regeln mit Ausnahmen der Vergangenheit an. Die wichtigste Erkenntnis für GitGuardian: SmartParse erkennt, dass die regulären Code-Snippets, die zur Überprüfung vorgelegt werden, keine Angriffs-Payloads sind. Andererseits bleibt das Team aber auch wirksam vor echten Angriffen geschützt. GitGuardian hat nutzerdefinierte Dashboards erstellt, die bei Traffic-Spitzen aufgrund von Angriffen sofort Warnmeldungen versenden. Die Gewissheit, dass Bedrohungen schnell erkannt und abgewehrt werden, gibt dem kleinen Team die nötige Sicherheit, um sich auf seine Aufgaben zu konzentrieren. Schließlich kann es sich in Sicherheitsfragen auf zuverlässige Transparenz und Überwachung verlassen.

Der größte Vorteil, den die Fastly Next-Gen WAF für GitGuardian bietet, ist aber ihre Zuverlässigkeit, da sie sich nahtlos in den vier verschiedenen Umgebungen von GitGuardian (Sandbox, Staging, Pre-Production und Production) bereitstellen lässt. Anstatt neue Regeln für alle vier Umgebungen manuell zu verwalten, kann das Team Änderungen per IAC-Automatisierung sequenziell bereitstellen. So wird sichergestellt, dass die Workflows zuverlässig getestet werden, bevor die Änderungen produktiv gehen.

Brandheiße Logging-Funktionen und Support

Als einer der ersten Kunden mit einer Istio-fähigen Kubernetes Umgebung entwickelte GitGuardian in enger Zusammenarbeit mit Alexander Orlov, Senior Solutions Architect bei Fastly, eine maßgeschneiderte Lösung. Die Herausforderung bestand im Wesentlichen darin, dass die standardisierte Dokumentation für einen ungewöhnlichen Einsatz nicht ausreichend war. Istio verfügt über eigene Netzwerk- und Entscheidungsprotokolle, die mitunter Anfragen an verschiedene Container weiterleiten. Dies hatte zwar keine Auswirkungen auf die Client-Funktionen und die Blockierung von Anfragen durch die WAF, aber es stellte eine Herausforderung beim Logging dar.

Nachdem GitGuardian gemeinsam mit Fastly eine einzigartige Bereitstellungslösung entwickelte, läuft Fastly jetzt erfolgreich auf Kubernetes, wobei die Logs an ElasticSearch und die Metriken an Prometheus gesendet und in Grafana visualisiert werden. „Das Sales-Engineering-Team von Fastly war einfach großartig“, freut sich Kayssar Daher von GitGuardian. „Ein großes Lob an Alexander, der uns die Stärken der Next-Gen WAF gezeigt und uns bei der Fehlersuche in unserem Setup geholfen hat.“

Besonders begeistert ist Daher neben der Entwicklung einer maßgeschneiderten Lösung zur Bewältigung der anfänglichen Herausforderungen aber von den Logging-Möglichkeiten:

„Ich bin äußerst zufrieden mit den Logging-Funktionen, die uns die Next-Gen WAF bietet“, erklärt er. „Mit unserer aktuellen Bereitstellung lässt sich kein Unterschied zu unseren anderen Anwendungen feststellen. Die Logging-Pipelines, um WAF-Logs von einem beliebigen Ort aus zum Data Lake zu bringen, sind also bereits vorhanden und ich habe keinerlei Einrichtungsaufwand. Die Fastly Logs sind umfassend und genau und ich beziehe mich sehr oft darauf.“

GitGuardian hat auch Zeit in die Optimierung der Pipeline für die Übertragung von WAF Logs investiert, um sicherzustellen, dass diese schnell, einfach und häufig abgefragt werden können. Das Unternehmen ist auf Sicherheit und Vertrauensbildung spezialisiert. Dass sich GitGuardian für Fastly entschieden hat, um sein Sicherheits-Setup zu optimieren, ist ein Beweis dafür, dass technische Flexibilität und kompetenter Support zu bemerkenswerten Ergebnissen führen können. Da GitGuardian weiterhin sensible Daten im Stealth-Modus schützt, freuen wir uns (heimlich) über unsere gemeinsame Undercover-Mission.