Einführung in Web Application Firewalls (WAF) für Unternehmen

Web Application Firewalls (WAFs) schützen Anwendungen, die aus dem Internet erreichbar sind. Wir stellen Ihnen die verschiedenen Typen vor.

Firewalls haben die allgemeine Security-Haltung der Unternehmen signifikant verbessert, seit sie die IT-Bühne Ende der 1980er Jahre betreten haben. Genau wie alles andere haben sich auch Firewalls weiterentwickelt. Es wurden neue Technologien implementiert und – was noch viel wichtiger ist – sie können mit neuen Bedrohungen umgehen.

Werfen Sie mit uns einen Blick auf Web Application Firewalls, kurz auch WAF genannt.

Anfang der 1990er Jahre waren WAFs eine neue Spezies im Firewall-Universum. Ursprünglich hat man diese entwickelt, um auf Bedrohungen reagieren zu können, die außerhalb des Bereichs einer herkömmlichen Firewall lagen. 

Diese Bedrohungen waren gefährlich, da sie autorisierte Protokolle wie HTTP verwendeten und die Anwendung oder darunterliegende Infrastruktur über dieses Protokoll angriffen. Dieser Umstand war besonders gefährlich, da böswillige Hacker über vertrauenswürdige Protokolle attackierten, um Systeme direkt kompromittieren und somit Informationen stehlen zu können. Sie umgingen so im Endeffekt herkömmliche Firewalls.

Moderne WAFs haben sich weiterentwickelt. Es gibt mehrere verschiedene Implementierungen und jede davon besitzt eine spezielle Kosten-Nutzen-Matrix.

Grundlagen zu Web Application Firewalls: Drei Einsatzmöglichkeiten

WAFs gibt es in drei Kategorien, die recht breit gefächert sind:

  • netzwerkbasiert
  • applikationsbasiert
  • in der Cloud gehostet

Netzwerkbasierte WAFs

Dieser Bereich ist die traditionelle Implementierung dieser Technologie. Es gibt verschiedene Vor-, aber auch Nachteile. Der größte Vorteil bei netzwerkbasierten WAFs ist, dass sie in der Regel hardwarebasiert und lokal installiert sind. 

Das reduziert die Latenz und die Performance wird nicht negativ beeinflusst. Der größte Nachteil bei dieser Art von WAF-Produkten ist, dass man normalerweise tiefer in die Tasche greifen muss. Das gilt sowohl für den Kauf als auch für die Implementierung.

Applikationsbasierte WAFs

Dieser Typ ist üblicherweise sehr nahe an den Anwendungen installiert. Wir sprechen hier zum Beispiel von der Hosting-Plattform. Oftmals sind sie auch vollständig im Applikations-Code selbst implementiert. Die Vorteile dieser Art von WAF-Implementierung sind erhöhte Performance und bessere Anpassungsoptionen. 

Zum Beispiel lässt sich die Open-Source-WAF ModSecurity als Modul in Apache installieren. Somit kann eine Anwendung alle Vorteile der Funktionen ausnutzen und der lokale Server verarbeitet dabei den Overhead. Die Kosten für die Implementierung einer applikationsbasierten WAF sind normalerweise gering. Allerdings wünschen sich vor allen Dingen große Unternehmen an dieser Stelle höhere Flexibilität und verbesserte Skalierbarkeit.

Cloud-gehostete WAFs

Dieser Typ lässt sich kostengünstig und mit geringem Aufwand implementieren. Das ist vor allen Dingen für Unternehmen interessant, die ein schlüsselfertiges Produkt haben wollen. Diese WAFs sind einfach einzusetzen und oftmals muss man lediglich am DNS etwas ändern, um den Applikations-Traffic umzuleiten. 

Man kann diese Produkte als Abonnement erwerben. Anpassbarkeit und Performance sind bei Cloud-basierten WAFs in der Regel als Nachteile anzusehen. Allerdings setzt man sie gerne als Lückenfüller ein, der sich schnell ausrollen lässt.

Mit WAFs Anwendungen und Netzwerke absichern

Die echte Herausforderung bei der Bereitstellung von Web-Services jeglicher Art ist, diese angemessen gegen Angriffe absichern zu können. Aus diesem Grund kann jede Firma von einer WAF profitieren, die aus dem Internet erreichbare Technologie betreibt. Die meisten Unternehmen sind in diesen Tagen natürlich damit konfrontiert.

Selbst bei so banalen Dingen wie einer im Internet gehostete Webseite sind Sie dem Risiko ausgeliefert, kompromittiert zu werden. Nehmen Sie nun noch Services auf, die Sie Kunden im Internet anbieten oder Intranet-Schnittstellen zwischen Business-Partnern, und schon wächst die Liste, warum man eine WAF einsetzen sollte.

Weil sich die Sicherheit in Sachen Web dauernd bewegt, ist eine Integration umfassender Sicherheit in die Applikation schwierig. Das gilt natürlich auch für den Umstand, diese auf dem aktuellen Stand zu halten. An dieser Stelle hilft eine WAF auf doppelte Weise:

  • Sie beschützt vor bekannten Bedrohungen. Das ist ähnlich wie bei Antiviren- oder Anti-Malware-Software.
  • Sie beschützt vor unbekannten Bedrohungen.

So genannte SQL Injections sind Beispiele bekannter Bedrohungen und diese lassen sich durch eine WAF einfach erkennen. Die Web Application Firewall verhindert diese in der Regel durch eine Kombination an Input-Validierung und Schutz auf Datenbank-Ebene.

Welche Bedrohungen morgen auf uns zukommen, lässt sich allerdings unmöglich sagen. Sollte eine Bedrohung ein Overflow-Problem bei einem Formular für einen Angriff ausnutzen wollen, kann eine WAF dies immer noch unterbinden. Das gilt auch dann, wenn die Anwendung selbst keinen schützenden Code dafür beinhaltet.

Wer profitiert am meisten von Web Application Firewalls?

Unternehmen aller Größen, auch mittelständische Firmen, können von einer WAF profitieren. Den größten Nutzen von der Technologie haben Organisationen, die Produkte via Internet anbieten. Beispiele dafür sind Web-Hoster, Online-Banken, Plattformen für soziale Medien und auch Entwickler mobiler Anwendungen. 

Letztere setzen allerdings wohl eher auf cloudbasierte WAFs. Diese nutzen die Vorteile einer zentralen Kontrolle und die Update-Möglichkeiten einer WAF. Somit erhöhen sie die Sicherheit der Anwendungen.

Management und unterstützende Struktur von Web Application Firewalls

Das WAF-Management und die unterstützende Struktur hängen in erster Linie davon ab, wie die Sache implementiert ist.

Bei netzwerkbasierten WAFs ist die IT-Security oder das Netzwerk-Team oftmals für die Konfiguration verantwortlich. Das Management dieser WAFs wird üblicherweise vom Anbieter auch als Managed Service offeriert. Somit ist die Administration vergleichsweise einfach und geradlinig. 

Weil WAFs einen zentralen Satz an Signaturen und Konfigurations-Optionen verwenden, lassen sich Dutzende an Applikationen mit relativ wenig Aufwand und Kosten schützen. Darüber hinaus erlauben die meisten großen Anbieter netzwerkbasierter WAF-Produkte die Replikation von Richtlinien und Einstellungen über mehrere Appliances hinweg. Somit ist ein Einsatz im großen Stile möglich, inklusive entsprechender Konfiguration.

Das Management applikationsbasierter WAFs kann eine Herausforderung sein. Sie sind zwar lokal positioniert, allerdings normalerweise in die Applikation integriert. Anders gesagt benötigen Applikations-basierte WAFs lokale Bibliotheken, kompatible Umgebungen wie zum Beispiel Java oder .NET und benutzen lokale Server-Ressourcen, um effizient ihre Arbeit verrichten zu können. 

Darüber hinaus sind sie komplett softwarebasiert. Aus diesem Grund muss bei der Installation und dem Management sehr wahrscheinlich eine Kombination aus den Teams Server-Management und Security Hand in Hand arbeiten.

Cloud-basierte WAFs werden in der Regel vom Service-Provider verwaltet. Es gibt eine Konfigurations-Schnittstelle, auf die der Kunde Zugriff hat. Damit kann das Security- oder Applikations-Team des Kunden die Einstellungen der Firewall entsprechend anpassen. 

Diese Konfiguration beinhaltet möglicherweise, wie die WAF auf bestimmte Bedrohungen wie SQL Injection, oder sogar einen DDoS-Angriff reagieren soll. Die Produkte bieten üblicherweise eine Option, womit sich der Kunde benachrichtigen lassen kann. Auch das Deaktivieren diverse Regelsätze ist oftmals möglich.

Es kommt nicht darauf an, wer eine WAF verwaltet. Fakt ist, dass das Applikations- oder Entwickler-Team bei der Administration auf jeden Fall involviert sein sollte. Warum? Eine nicht korrekt konfigurierte WAF kann die Verfügbarkeit und die Performance der Anwendung negativ beeinflussen, die sie beschützen soll. 

Etwas Management-Training der IT-Belegschaft wird so oder so notwendig sein, das ist unabhängig von der WAF. In den meisten Fällen ist es so, dass der Schulungsbedarf direkt damit zusammenhängt, wie tief das jeweilige Unternehmen in das Konfigurations-Management eingreifen möchte.

Alternativ dazu können Sie auf professionellen Support zurückgreifen, den Sie natürlich bezahlen müssen. Setzen Sie auf Consultants oder professionelle Services, kann sich Ihre Firma die entsprechenden Schulungen natürlich sparen. Auch die Implementierung und Installation einer neuen WAF lässt sich so beschleunigen. Es ist auch denkbar, dass Sie den Service für ein langfristiges Management der WAF anheuern.

Die harten und weichen Kosten beim Einsatz einer Web Application Firewall

Die harten Kosten beim Thema WAF variieren von kostenlos bis zu einigen Millionen Euro. Harte Kosten hängen mit den physischen Komponenten zusammen, die man für die Implementierung der Technologie benötigt. Es gibt Open-Source-WAF-Implementierungen. 

Diese lassen sich herunterladen und es entstehen eigentlich gar keine harten Kosten. Allerdings kann sich das auf die weichen Kosten niederschlagen, zu denen die Entwicklungszeit, das Training der Mitarbeiter und der Support zählen.

Weiterhin wirkt sich die Art der eingesetzten WAF auf die harten Kosten hinsichtlich Entwicklung und Support aus. Außerdem müssen Sie im Hinterkopf behalten, dass sich die weichen Kosten für Zeit und Aufwand erhöhen, wann immer Sie das Verhalten einer Applikation signifikant verändern.

Art der WAF Niveau der harten Kosten Niveau der weichen Kosten
Netzwerkbasiert Höher Höher
Applikationsbasiert Niedriger Höher
Cloudbasiert Niedriger Höher

Cloudbasierte WAFs sind enorm günstiger in Sachen Einsatz und Support als netzwerkbasierte (Hardware) WAF-Produkte. Applikationsbasierte WAFs siedeln sich irgendwo in der Mitte an. Sie eignen sich eher für kleinere Anwendungen.

Was eine Web Application Firewall nicht ist

Eine WAF ist kein Ersatz für angemessene Anwendungs-Sicherheit. Wir sprechen hier zum Beispiel von Eingabefiltern und Authentifizierung oder Autorisierung der Anwender. Das Produkt ist vielmehr eine Komponente bei einer Herangehensweise mit Schichten, um die jeweilige Web-Anwendung zu schützen.

Weiterhin ist es keine Einmal-Einrichten-dann-Vergessen-Technologie. Ändern sich die Applikationen und die Bedrohungen entwickeln sich weiter, muss man das entsprechend auf die Richtlinien und die Konfiguration umlegen.

Ebenso ist es wichtig, eine WAF von einer Next-Generation Firewall (NGFW) zu differenzieren. Eine WAF ist gedacht, den Applikations-Traffic in einem engen Protokollbereich zu inspizieren und fokussiert sich nur auf diesen Traffic. Eine NGFW ist ein umfassendes Produkt, um existierende Netzwerk-Firewalls zu ersetzen oder zu unterstützen.

NGFWs enthalten möglicherweise manchmal WAF-Komponenten. Allerdings sind sie für ein wesentlich breiteres Einsatzgebiet innerhalb des Unternehmens gedacht, was sich auch dementsprechend auf die Kosten niederschlägt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im März 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Application-Firewall-Security

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close