Eine Web Application Firewall ist ein Firewall-Modell zum Schutz von Web-Applikationen. Sie prüft den HTTP-Datenverkehr kontinuierlich, um bösartigen Datenverkehr und Angriffe auf Web-Applikationen zu erkennen und zu blockieren. This can include access violations, API manipulations, advanced HTTP DDoS attacks, cookie poisoning, and many more.
Der Markt für Web Application Firewalls (WAF) ist facettenreich und bietet verschiedene Bereitstellungsoptionen, die sich nach den Applikationen und Sicherheitsanforderungen der Unternehmen richten. Es gibt drei Grundtypen für WAF: cloudbasierte WAF, softwarebasierte WAF und hardwarebasierte WAF. Jede WAF hat Vor- und Nachteile.
Schließlich sind WAF zunehmend Teil einer umfassenderen Strategie für die Sicherheit von Applikationen: Schutz von Web-Applikationen und API (WAAP). Der Begriff WAAP wurde ursprünglich von Gartner geprägt und bezeichnet die Weiterentwicklung des WAF-Marktes zu einem umfassenderen, einheitlichen Ansatz für die Sicherheit von Web-Applikationen verglichen mit der veralteten, isolierten Strategie der Nutzung unterschiedlichster Sicherheitslösungen. WAAP umfasst vier Kernfunktionen:
Dieser Artikel gibt einen Überblick über die drei Grundtypen von WAF, die Vor- und Nachteile der einzelnen Arten und darüber, für welche Anwender jeder Typ sinnvoll ist.
INHALTSVERZEICHNIS
Es gibt zwei Arten von cloudbasierten WAF-Bereitstellungen: Inline und Out-of-Path
Inline-Bereitstellung einer cloudbasierten WAF
Out-of-Path-Bereitstellung einer API-basierten/cloudbasierten WAF
Drei verschiedene WAF-Bereitstellungsarten
| Cloudbasierte WAF |
Softwarebasierte WAF |
Hardwarebasierte WAF |
| Eine cloudbasierte WAF wird von einem Service Provider verwaltet, der die WAF als Security-as-a-Service anbietet. |
Eine softwarebasierte WAF ist ein virtuelles Gerät, das entweder regional oder in der Cloud-Umgebung der Applikation gehostet wird. |
Eine hardwarebasierte WAF wird über ein Hardware-Gerät bereitgestellt, das lokal im Netzwerk nahe der Web-Applikationsserver installiert wird. |
Eine cloudbasierte WAF ist eine kostengünstige und einfach zu implementierende Option, die rasch bereitgestellt werden kann. Cloudbasierte WAF haben minimale Vorlaufkosten und sind in der Regel im Abonnement verfügbar. Cloudbasierte WAF haben Zugriff auf ständig aktualisierte Informationen zu Gefahren und bieten häufig auch verwaltete Dienste an, die Sie bei der Definition von Sicherheitsregeln und bei Gegenmaßnahmen zu Angriffen unterstützen, sobald diese auftreten.
Im Idealfall sollte eine cloudbasierte WAF entweder inline oder als API-basierter, Out-of-Path-Service (OOP) bereitgestellt werden. Eine API-basierte OOP-Bereitstellung bietet mehrere spezifische Vorteile, mit denen sie für Multi-Cloud-Umgebungen, On-Premise-Umgebungen, hybride und weitere Umgebungen optimiert werden kann.
In den letzten Jahren wurden cloudbasierte WAF aus den nachfolgend aufgeführten Gründen für die meisten Unternehmen weltweit zur bevorzugten Bereitstellungsart.
Wer sollte eine cloudbasierte WAF nutzen?
Cloudbasierte WAF haben sich bei Großunternehmen und Kleinunternehmen jeder Größe gleichermaßen durchgesetzt. Der Grund dafür ist, dass sie auch ohne umfangreiche interne Sicherheitskompetenz ein hohes Maß an Sicherheit bei minimalen Anfangsinvestitionen bieten.
Vor- und Nachteile einer cloudbasierten WAF
Cloudbasierte WAF bieten zahlreiche Vorteile, aber auch ein paar Nachteile, die Interessenten berücksichtigen sollten.
Vorteile
-
Kostengünstig
-
Einfache Implementierung/Bereitstellung
-
Minimale Anfangsinvestition
-
Konstante Schutzniveaus/zentralisierte Verwaltung und Berichterstattung in jeder beliebigen Umgebung.
-
Abonnementbasiert oder Security-as-a-Service-Abonnement
-
Automatische Aktualisierung durch einen Drittanbieter
-
Beste Bereitstellungsoption für Multi-Cloud-Umgebungen
Nachteile
-
Bestimmte Branchen (wie Behörden oder der Verteidigungssektor) müssen die gesamte Infrastruktur und alle Daten lokal verwalten. Dadurch scheiden cloudbasierte WAF als Bereitstellungsoption aus.
-
Die meisten cloudbasierten WAF erfordern eine Umlenkung des Datenverkehrs von Applikationen. Dadurch steigt die Wahrscheinlichkeit von Latenzen.
Eine softwarebasierte WAF stellt eine Alternative zur hardwarebasierten WAF dar. Bei einer softwarebasierten WAF wird die WAF als virtuelles Gerät oder als Agent regional (On-Premise), in einer privaten Cloud oder in einer Public Cloud ausgeführt.
Außerdem gibt es andere WAF, die speziell für die Einbettung in Container-basierte Microservices-Umgebungen wie Kubernetes entwickelt wurden, um den Ost-West-Datenverkehr zu schützen.
Wer sollte eine softwarebasierte WAF nutzen?
Softwarebasierte WAF werden in der Regel von Unternehmen eingesetzt, deren Anwendungen in Rechenzentren mit privater und/oder öffentlicher Cloud gehostet werden. Auch Unternehmen, die nicht über das Budget und/oder die Kapazitäten für den Einsatz einer hardwarebasierten WAF verfügen, oder die keine cloudbasierte aber dennoch eine eigene WAF einsetzen möchten, entscheiden sich häufig für diese Lösung.
Vor- und Nachteile einer softwarebasierten WAF
Softwarebasierte WAF haben zahlreiche Vorteile, aber auch ein paar Nachteile, die Interessenten berücksichtigen sollten.
Vorteile
-
Zusätzliche Anpassungsmöglichkeiten (sofern Sie über die internen Kompetenzen und/oder Ressourcen im Bereich Sicherheit verfügen)
-
Geringere Kosten im Vorfeld, bei der Bereitstellung und der laufenden Wartung als bei einer hardwarebasierten WAF (siehe unten)
Nachteile
-
Komplizierte Bereitstellung
-
Erfordert eine Programmierung auf dem Applikationsserver
-
Der reibungslose Betrieb hängt von den Ressourcen des Applikationsservers ab
-
Updates müssen vom Endnutzer verwaltet werden
Eine hardwarebasierte WAF (oder allgemein als netzwerkbasierte WAF bezeichnet) wird regional in einem Netzwerk installiert. Dies ist in der Regel die teuerste WAF-Variante, denn sie erfordert Wartungsaufwand und Speicherplatz. Sie dienen in erster Linie dazu, die Latenzzeit zu minimieren.
In den letzten Jahren werden hardwarebasierte WAF zunehmend seltener eingesetzt, cloudbasierte WAF sind mittlerweile die überwiegende Bereitstellungsform.
Wer sollte eine hardwarebasierte WAF nutzen?
Hardwarebasierte WAF werden üblicherweise von Großunternehmen eingesetzt, die über das Budget und den Personalbestand verfügen, um Geräte und IT-Infrastruktur vor Ort zu betreiben. Ferner setzen Unternehmen hardwarebasierte WAF ein, wenn die Geschwindigkeit und Leistung von Applikationen entscheidend ist oder wenn sensible Applikationen in On-Premise-Umgebungen ausgeführt werden, wie z. B. in staatlichen Einrichtungen, nationalen Sicherheitsbehörden, der Verteidigungsindustrie usw.
Vor- und Nachteile einer hardwarebasierten WAF
Hardwarebasierte WAF haben zahlreiche Vorteile, aber auch ein paar Nachteile, die Interessenten berücksichtigen sollten.
Vorteile
-
Reduzierte Latenz
-
Hochgradig anpassbar
-
Vollständig air-gapped
| |
Cloudbasierte WAF |
Softwarebasierte WAF |
Hardwarebasierte WAF |
| Geeignet für |
Unternehmen jeder Größe |
Mittlere bis große Unternehmen |
Großunternehmen |
| Vorteile |
- Kostengünstig
- Einfache Implementierung/Bereitstellung
- Minimale Anfangsinvestition
- Konstante Schutzniveaus/zentralisierte Verwaltung und Berichterstattung in jeder beliebigen Umgebung.
- Abonnementbasiert oder Security-as-a-Service-Abonnement
- Automatische Aktualisierung durch einen Drittanbieter
- Beste Bereitstellungsoption für Multi-Cloud-Umgebungen
|
- Zusätzliche Anpassungsmöglichkeiten (sofern Sie über die internen Kompetenzen und/oder Ressourcen im Bereich Sicherheit verfügen)
- Geringere Kosten im Vorfeld, bei der Bereitstellung und der laufenden Wartung als bei einer hardwarebasierten WAF (siehe unten)
|
- Reduzierte Latenz
- Hochgradig anpassbar
- Vollständig air-gapped
|
| Nachteile |
- Bestimmte Branchen (wie Behörden oder der Verteidigungssektor) müssen die gesamte Infrastruktur und alle Daten lokal verwalten. Dadurch scheiden cloudbasierte WAF als Bereitstellungsoption aus.
- Die meisten cloudbasierten WAF erfordern eine Umlenkung des Datenverkehrs von Applikationen. Dadurch steigt die Wahrscheinlichkeit von Latenzen.
|
- Komplizierte Bereitstellung
- Erfordert eine Programmierung auf dem Applikationsserver
- Der reibungslose Betrieb hängt von den Ressourcen des Applikationsservers ab
- Updates müssen vom Endnutzer verwaltet werden
|
- Hohe Anfangsinvestition
- Laufende Wartungskosten
- Hohe IT-Betriebskosten/hoher Personalaufwand
- Updates und Wartung müssen vom Endnutzer verwaltet werden
|
| Empfohlene Lösung |
Cloud WAF-Dienst |
Kubernetes WAF |
AppWall |