Was ist eine Web Application Firewall (WAF)?

Eine Web Application Firewall (WAF) ist eine spezielle Art von Sicherheitslösung, die bei Webanwendungen als Schutzschild vor dem Internet dient. Sie schützt den Server, indem sie bösartigen HTTP- und HTTPS-Traffic zu und von Webanwendungen erkennt und blockiert. 

Wenn sie richtig konfiguriert und aktiviert ist, schützt sie vor Angriffen auf den Anwendungs-Layer (Layer 7) wie den OWASP Top 10, darunter SQL Injection, Cross-Site Scripting (XSS) und Verletzungen des HTTP-Protokolls.

Wie funktioniert eine WAF?

WAFs fungieren oft als Reverse Proxys zwischen dem Internet und geschützten Webanwendungen. Sie lassen sich aber auch in verschiedenen Konfigurationen einsetzen – einschließlich inline, cloudbasiert oder lokal – um spezifischen Sicherheitsanforderungen gerecht zu werden. Unabhängig von der Bereitstellungsmethode untersucht eine WAF den gesamten eingehenden Traffic, bevor dieser die Anwendungsserver erreicht, und bildet so einen Schutzschild gegen potenzielle Bedrohungen.

Je nach Ihren individuellen Anforderungen gibt es verschiedene Arten von WAFs:

• Software: WAF-Software wird direkt auf Ihrem Webserver installiert oder in Ihren Anwendungscode integriert. Dies sorgt für Flexibilität und geringere Kosten.

• Hardware: Hierbei handelt es sich um spezifische Hardwaregeräte, die sich leicht bereitstellen und verwalten lassen. Entsprechende Geräte bieten dedizierte Rechenleistung für die Bewältigung von Traffic-Spitzen.

• Service: WAF-as-a-Service-Angebote werden von Drittanbietern bereitgestellt und schützen Ihre Webanwendungen, ohne dass Sie dafür eigene Hardware benötigen. Sie übernehmen die gesamte Wartung für Sie und lassen sich bei einem Traffic-Anstieg entsprechend skalieren.

Die primäre Funktion von WAFs besteht darin, den Austausch zwischen Clients und Servern über HTTP zu analysieren. Dabei werden wichtige Komponenten wie Header, Textkörper und Abfrageparameter über alle Anfragetypen hinweg untersucht. Die WAF identifiziert HTTP-Traffic, der bekannten Angriffsparametern entspricht oder gegen etablierte Sicherheitsregeln verstößt. Anschließend werden gefährliche Anfragen proaktiv blockiert, bevor sie die Anwendung erreichen, was wiederum zum Schutz Ihrer Webanwendungen beiträgt.

WAF-Regeln

WAFs schützen nicht vor allen Arten von Bedrohungen und Angriffen. Sie sind vielmehr ein wichtiger Bestandteil einer breiteren Palette von Tools zum Schutz von Websites und Anwendungen. Welcher Traffic als sicher und welcher als bösartig gilt, also welche Art von Traffic eine WAF zulässt oder blockiert, wird durch Regeln festgelegt.

Jedes Unternehmen oder jede Einzelperson, die eine WAF nutzt, kann diese Regeln an seine bzw. ihre individuellen Anforderungen anpassen. Einer der Vorteile von WAF Security ist, dass sich Regeln schnell und sogar automatisch aktualisieren lassen. Da Regeln leicht geändert werden können, können Sie schneller auf verschiedene Arten von Angriffen reagieren.

WAFs verwenden in der Regel verschiedene Erkennungsansätze, um diese Richtlinien durchzusetzen:

• Reguläre Ausdrücke (RegEx): Hier werden spezifische Muster im Traffic ermittelt, um böswillige Zugriffe effektiv zu erkennen und zu blockieren.

• Scoring-Modelle: Diese Modelle weisen eingehendem Traffic anhand vordefinierter Kriterien Risikobewertungen zu. Die WAF analysiert diese Bewertungen, um zu entscheiden, ob der Traffic zugelassen, blockiert oder genauer untersucht werden soll, und ermöglicht so eine differenziertere Reaktion auf potenzielle Bedrohungen.

• SmartParse: Diese ausgeklügelte Methode analysiert komplexe Datenstrukturen in Anfragen und hilft bei der Erkennung komplexer Angriffsmuster, die sich einfacheren Erkennungsverfahren möglicherweise entziehen. Außerdem kann die WAF dank SmartParse komplexe Bedrohungen leichter erkennen und verhindern.

WAF vs. NGFW

Inzwischen wissen Sie, was WAF-Technologie ist und wie sie funktioniert. Gelegentlich stößt man auch andere Begriffe wie NGFW. Die Unterschiede zwischen diesen Tools zu verstehen, hilft Ihnen, die beste Lösung für Ihre Sicherheitsanforderungen zu finden. Sehen wir uns die einzelnen Begriffe also nochmal genauer an, um etwaige Missverständnisse auszuräumen:

• WAF (Web Application Firewall): WAFs analysieren einzelne Anfragen in Echtzeit und sind zwischen Ihren Webservern und dem eingehenden Traffic angesiedelt. Durch die Echtzeitprüfung werden gängige Exploits und verdächtige Aktivitäten blockiert, bevor sie Ihre Anwendungen erreichen. WAFs werden oft als Reverse Proxies eingesetzt, können aber auf verschiedene Weise konfiguriert werden, um unterschiedliche Sicherheitsanforderungen zu erfüllen.

• NGFW (Next-Generation Firewall): Eine NGWF kombiniert die Funktionen einer herkömmlichen Stateful-Firewall mit erweiterten Funktionen. Neben der Filterung von Ports und Adressen kann der Traffic auch anhand von Nutzungsmustern und nicht nur anhand von Ports identifiziert werden. Außerdem werden Bedrohungsdaten aus dem globalen Netzwerk des Anbieters verwendet und Sie können auch verschlüsselten Traffic überprüfen.

Zusammenfassend lässt sich sagen: Während WAFs sich auf den Schutz Ihrer Webanwendungen konzentrieren, bieten NGFW-Lösungen einen ganzheitlichen Ansatz für die Netzwerksicherheit mit erweiterten Funktionen. Da jedes der beiden Produkte einen anderen Ansatz verfolgt, lassen sie sich kombinieren, um Ihre gesamte Infrastruktur möglichst umfassend zu schützen und Bedrohungen aus verschiedenen Richtungen abzuwehren.

Welche Bereitstellungsarten gibt es für WAFs?

WAFs lassen sich auf Ihren eigenen Servern, als Cloud WAF und hybrid implementieren. Sehen wir uns die einzelnen Ansätze einmal genauer an.

• On-Premise WAFs

Am häufigsten werden On-Premise WAFs, auch Appliance WAFs genannt, eingesetzt. Ursprünglich waren alle WAFs auf lokalen Servern installiert und viele Unternehmen verwenden noch heute On-Premise WAFs, um Workloads zu schützen, besonders bei älteren oder Legacy-Anwendungen.

• Cloudbasierte WAFs

Von Anbietern gehostete cloudbasierte WAFs bieten bequemen und schnellen WAF-Schutz. Diese Lösungen erfreuen sich großer Beliebtheit, weil sie einfach zu implementieren sind und Bedrohungen blockieren können, ohne dass die Software vor Ort verwaltet werden muss. Unternehmen mit begrenzten internen IT-Ressourcen oder solche, die nicht die volle Kontrolle über ihre Infrastruktur haben, entscheiden sich oft für cloudbasierte WAFs. Durch den Einsatz einer Cloud WAF können Sie die Kosten für die Softwareverwaltung senken und gleichzeitig ein zuverlässiger Schutz für ihre Anwendungen und APIs gewährleisten.

• Edge-Bereitstellung

Bei der Edge-Bereitstellung wird die WAF auf der Edge eines Content Delivery Networks (CDN) oder näher am Ursprung des Traffics positioniert. Durch diese strategische Platzierung lassen sich Bedrohungen abwehren, bevor sie das Netzwerk erreichen, was für zusätzliche Sicherheit sorgt. Ein besonderer Vorteil der WAF-Bereitstellung auf der Edge sind die geringeren Latenzzeiten, da der Traffic näher an den Nutzern geprüft und gefiltert wird. Dies führt zu einer Verbesserung der Gesamt-Performance und schützt Webanwendungen vor potenziellen Bedrohungen.

• Hybride WAFs

Bei hybriden WAFs erfolgt die Bereitstellung sowohl über eigene Server als auch über die Cloud. So erhalten Sie in jeder Umgebung Transparenz über die an Ihre Apps und APIs gerichteten Webanfragen.

Hybride Bereitstellungen ermöglichen es Unternehmen, sowohl Legacy-Anwendungen, die nicht an die Cloud angepasst wurden, als auch moderne verteilte Anwendungen zu schützen. Dieses Bereitstellungsmodell nutzt die Vorteile von On-Premise- und Cloud-Lösungen, um die Sicherheitstelemetrie der Produktivumgebung an eine zentrale Verwaltungskonsole weiterzuleiten. Dort erhalten Sie in Form von einfach zu lesenden Dashboards und Berichten einen Überblick über alle WAF-Bereitstellungen in der Produktivumgebung.

Idealerweise stellen WAF-Anbieter unabhängig von der Bereitstellungsmethode auch eine API zur Verfügung, über die Kunden Sicherheitsdaten und -indikatoren an ein Sicherheitsinformations- und Ereignismanagement-Tool (Security Information and Event Management, SIEM) oder ein Sicherheitsorchestrierungs-, Automatisierungs- und Reaktionstool (Security Orchestration, Automation and Response, SOAR) von Drittanbietern weiterleiten können.

Was ist WAAP?

Als Web-App- und API-Schutz (Web Application and API Protection, WAAP) werden cloudbasierte Services zum Schutz anfälliger Webanwendungen und APIs vor einer Vielzahl von Angriffen bezeichnet. WAAP sollte Schutzfunktionen bieten, die eine wirksame Überprüfung von Webanfragen ermöglichen, und zwar noch bevor sie die App oder den API Endpoint erreichen.

WAAP-Lösungen konzentrieren sich ausschließlich auf den Anwendungs-Layer (Layer 7) des OSI Modells und sind am äußeren Rand eines Netzwerks angesiedelt. Cloud-WAAP-Services umfassen in der Regel Bot-, WAF-, API- und DDoS-Schutz.

Wann sollte eine WAF zum Einsatz kommen?

WAFs spielen bei einer umfassenden Sicherheitsstrategie eine wichtige Rolle. Sie sind zwar kein Allheilmittel, können aber in verschiedenen Situationen von Vorteil sein. Hier einige Situationen, in denen der Einsatz einer WAF sinnvoll ist:

1. Schutz vor den OWASP Top 10

Die OWASP Top 10 weisen auf die größten Sicherheitsrisiken für Webanwendungen hin, darunter Injection-Fehler, die zum Überschreiben von Daten oder zur Offenlegung sensibler Informationen führen können. Eine WAF überwacht den Traffic aktiv auf Anzeichen von Angriffen, die Schwachstellen wie XSS und SQL Injection ausnutzen. Anschließend wird der Traffic in Echtzeit anhand von umfangreichen Regelsätzen mit bekannten Exploits ausgewertet. 

2. Bereitstellung neuer Webanwendungen

Die Einführung einer neuen, öffentlich zugänglichen Anwendung birgt Risiken, da Ihr Team potenzielle Probleme erst bei der Fehlerbehebung erkennt. Eine WAF ermöglicht die genaue Überwachung des gesamten Web-Traffics, um Anomalien oder Angriffe schnell und in Echtzeit zu identifizieren. Ihre Filter blockieren böswillige Angreifer, bevor sie sich Zugriff auf Ihre neue Anwendung und ihre Daten verschaffen können.

3. Blockierung von Account-Takeover-Versuchen

Gestohlene Zugangsdaten stellen für Unternehmen ein großes Risiko dar. Sobald sie in die Hände von Angreifern gelangen, können sie immer wieder genutzt werden, um auf Konten auf verschiedenen Plattformen zuzugreifen. Eine WAF prüft jede Anfrage auf verdächtige Muster, die darauf hindeuten, dass jemand versucht, Zugangsdaten für ein Konto zu erraten. Maßgeschneiderte Rate-Limiting-Filter identifizieren und blockieren dabei IP-Adressen, die nach mehreren fehlgeschlagenen Anmeldeversuchen Brute-Force-Techniken einsetzen.

4. Richtlinienkonformität

Unternehmen, die mit sensiblen Kundendaten arbeiten, müssen Standards wie PCI DSS einhalten, um diese Daten zu schützen. PCI DSS 4.0 schreibt die Implementierung einer WAF zur Absicherung von webbasierten Anwendungen vor. Prüfer führen regelmäßig Sicherheitsbewertungen durch, um die Maßnahmen zur Erkennung und Verhinderung von Angriffen zu bewerten. Eine WAF erzeugt prüfbare Nachweise für die Traffic-Überwachung in Echtzeit und die Blockierung bekannter Exploits und hilft so bei der Einhaltung von Vorschriften. Außerdem schützt sie Ihr Unternehmen vor rechtlichen Folgen von Datenschutzverletzungen.

5. Schutz vor unbefugtem Zugriff 

Ein fein abgestimmtes Rate-Limiting verhindert Brute-Force-Anmeldeversuche und blockiert böswillige Datei-Uploads. Mit einer WAF können Sie granulare Traffic-Regeln festlegen, die unerlaubte Zugriffsversuche wie fehlgeschlagene Logins von derselben IP-Adresse nach mehreren Versuchen unterbinden. Die Filter sorgen dafür, dass Ihre Anwendungen auch bei hoher Auslastung reaktionsfähig bleiben, indem sie anormale Traffic-Spitzen aus bestimmten Quellen abschwächen oder blockieren. 

6. DDoS-Schutz

WAFs sind zwar keine Punktlösung zur Abwehr von DDoS-Angriffen, können aber dennoch frühe Anzeichen verteilter Angriffe erkennen. Sie analysieren Traffic-Muster und erkennen so anomales Verhalten wie ungewähnlich hohe Anfragevolumina, die auf spezifische URLs abzielen. Daraufhin blockieren die Filter den Traffic aus den identifizierten Quellen, um Angriffsvektoren unmittelbar zu neutralisieren. Da die WAF schädlichen Traffic umleitet, bleiben Ihre Webserver vor Überlastung geschützt und Sie gewinnen Zeit, bis Ihr Team einen spezifischen DDoS-Schutz aktiviert hat.

Fastly und WAFs

Bei der Auswahl eines WAF-Anbieters ist es wichtig, sich für eine globale Abdeckung, eine leistungsstarke Erkennung und Integrationsmöglichkeiten zu entscheiden, die auf moderne Infrastrukturen zugeschnitten sind. Bei der Fastly Next-Gen WAF sind diese Funktionen standardmäßig vorhanden. Als weltgrößte globale Edge-Cloud-Plattform ist Fastly immer nur wenige Millisekunden von Nutzern auf der ganzen Welt entfernt.

Seine strategisch verteilten POPs ermöglichen es Fastly, Websites und Anwendungen schneller zu schützen als herkömmliche WAFs. Durch die Überprüfung des Traffics in der Nähe der Nutzer können Bedrohungen schnell abgeblockt werden, bevor sie Ihre Origin-Server erreichen.

Die wichtigsten Vorteile der Fastly Next-Gen WAF auf einen Blick:

• Umfassender Schutz: Fastly erkennt und blockiert die OWASP Top 10 Schwachstellen von Webanwendungen sowie spezifische Bedrohungen, die Sie durch einfache Regeln selbst definieren.

• Kurze Antwortzeiten: Mit ihrem globalen POP-Netzwerk sorgt die Fastly Next-Gen WAF für extrem geringe Latenzzeiten und ein außergewöhnliches Nutzererlebnis – sogar bei laufenden Angriffen.

• Flexible Konfiguration: Über die nutzerfreundliche Oberfläche von Fastly können Sie Regeln, Antwortseiten und vieles mehr ohne langwierige Änderungsprozesse selbst anpassen.

• Echtzeitanalysen: Dank Fastlys Dashboard und API zur proaktiven Problemerkennung erhalten Sie wertvolle Einblicke in Traffic- und Sicherheitsereignisse.

• Nahtlose Integration: Die Fastly Next-Gen WAF arbeitet transparent mit den CDN- und Edge-Computing-Services von Fastly zusammen und bietet so Sicherheits-, Performance- und Auslieferungsfunktionen aus einer Hand.

Erfahren Sie mehr darüber, wie die Fastly Next-Gen WAF Ihre Anwendungen, APIs und Microservices mit flexiblen Bereitstellungsoptionen und hochmodernen Erkennungsfunktionen schützen kann.