Was ist eine Web Application Firewall (WAF)?
Eine WAF oder Web Application Firewall hilft beim Schutz von Webanwendungen, indem sie den HTTP-Traffic zwischen einer Webanwendung und dem Internet filtert und überwacht. Gewöhnlich schützt sie Webanwendungen vor Angriffen wie u. a. Cross-Site Forgery, Cross-Site Scripting (XSS), File Inclusion und SQL-Injection. Eine WAF ist eine Verteidigungsmaßnahme auf Protokollebene (Layer 7 im OSI-Modell) und nicht zur Abwehr aller Angriffsarten ausgelegt. Diese Methode der Angriffsabwehr ist in der Regel Teil einer Reihe von Tools, die zusammen eine ganzheitliche Abwehr gegen eine Reihe von Angriffsvektoren bilden.
Durch den Einsatz einer WAF vor einer Webanwendung wird ein Schutzschild zwischen der Webanwendung und dem Internet gebildet. Während ein Proxyserver die Identität eines Clientrechners mithilfe eines Vermittlers schützt, ist eine WAF eine Art Reverse-Proxy, der den Server vor Exposition schützt, weil die Clients die WAF passieren müssen, bevor sie den Server erreichen.
Eine WAF funktioniert nach einer Reihe von Regeln, die oft als Richtlinien bezeichnet werden. Diese Richtlinien zielen darauf ab, vor Schwachstellen in der Anwendung zu schützen, indem sie böswilligen Traffic herausfiltern. Der Wert einer WAF ergibt sich zum Teil aus der Geschwindigkeit und Leichtigkeit, mit der Richtlinienänderungen implementiert werden können, was eine schnellere Reaktion auf unterschiedliche Angriffsvektoren ermöglicht; während eines DDoS-Angriffs kann Rate Limiting durch Änderung der WAF-Richtlinien schnell umgesetzt werden.
Worin unterscheiden sich Blacklist- und Whitelist-WAFs?
Eine WAF, die auf einer Blacklist (negatives Sicherheitsmodell) basiert, schützt vor bekannten Angriffen. Man kann sich eine Blacklist-WAF wie einen Türsteher vorstellen, der Gäste abweist, die nicht dem Dresscode entsprechen. Im Gegensatz dazu lässt eine WAF auf Basis einer Whitelist (positives Sicherheitsmodell) nur vorab genehmigten Datenverkehr zu. Das ist vergleichbar mit einem Türsteher bei einer exklusiven Veranstaltung, der nur Personen einlässt, die auf der Liste stehen. Sowohl Blacklists als auch Whitelists haben Vor- und Nachteile, weshalb viele WAFs ein hybrides Sicherheitsmodell anbieten, das beide Ansätze kombiniert.
Was sind Netzwerk-basierte, Host-basierte und Cloud-basierte WAFs?
Eine WAF kann auf drei verschiedene Arten implementiert werden, jede mit ihren eigenen Vorteilen und Schwächen:
- Eine Netzwerk-basierte WAF ist in der Regel hardwarebasiert. Da sie lokal installiert wird, minimiert sie die Latenzzeiten. Netzwerk-basierte WAFs sind jedoch die teuerste Option und erfordern auch die Aufstellung und Wartung physischer Geräte.
- Eine hostbasierte WAF kann komplett in die Software einer Anwendung integriert sein. Diese Lösung ist kostengünstiger und leichter anzupassen als eine netzwerkbasierte WAF. Eine hostbasierte WAF verbraucht allerdings lokale Serverressourcen, ist kompliziert zu implementieren und aufwendig in der Wartung. Hierfür müssen normalerweise Entwicklungszeit und Geld investiert werden.
- Cloud-basierte WAFs sind eine kostengünstige Alternative und sehr einfach zu implementieren. Die Installation ist meist mit wenigen Handgriffen erledigt, zum Beispiel mit einer DNS-Änderung, durch die der Traffic umgeleitet wird. Auch die Vorlaufkosten cloudbasierter WAFs sind minimal, denn der Anwender zahlt normalerweise monatlich oder jährlich für Security as a Service. Cloudbasierte WAFs können außerdem zur Abwehr der neuesten Bedrohungen ständig aktualisiert werden, ohne zusätzlichen Aufwand oder Kosten für den Anwender. Cloudbasierte WAFs haben nur den Nachteil, dass der Anwender die Verantwortung aus der Hand geben muss. Einige Funktionen der WAF können eine Black Box für ihn sein. Informieren Sie sich über die cloudbasierte WAF-Lösung von Cloudflare.