Sicherheit ohne Hindernisse: Warum ein WAF-Simulator DevSecOps-Workflows transformiert

Daniel Corbett

Principal Product Manager

Liam Mayron

Principal Product Manager

Simran Khalsa

Staff Security Researcher

In einem kürzlich von der CyberRisk Alliance veranstalteten Webinar kamen drei Fastly-Sicherheitsexperten zusammen, um eine der größten Spannungen in der modernen Softwareentwicklung zu erörtern: das Gleichgewicht zwischen der Geschwindigkeit von DevOps und der Strenge der Sicherheit. Moderiert von Adrian Sanabria von der Defenders Initiative, bot die Diskussion Einblicke von Liam Mayron, Principal Product Manager, Daniel Corbett, Principal Product Technology Manager, und Simran Khalsa, Staff Security Researcher – alle bei Fastly. Im Folgenden finden Sie eine Zusammenfassung der Diskussion. Sehen Sie sich das Webinar in seiner Gesamtheit an.

Von den vielen Herausforderungen, mit denen DevOps-Teams konfrontiert sind, ist eine der größten die Integration umfassender und effektiver Sicherheitstests, ohne dabei alles zu verlangsamen. Sicherheitstests, die erst spät im Release-Zyklus hinzugefügt werden, führen oft zu Engpässen, schaffen Reibung zwischen den Teams und können daher dazu führen, dass Sicherheitsfehler unbemerkt bleiben – bis es zu spät ist.

Fastly’s WAF Simulator wurde entwickelt, um das zu ändern. Dieses Tool verändert die Art und Weise, wie DevOps- und Sicherheitsteams WAF-Regeln (Web Application Firewall) validieren, indem es integrierte, kontinuierliche und automatisierte Sicherheitstests ermöglicht, ohne den Entwicklungsfluss zu unterbrechen.

Nach all diesen Jahren ist die Sicherheit immer noch ein Engpass

Für viele bleibt das Sicherheitstesten fast eine Nebensache. Dies stört die Entwicklungszyklen, verlangsamt die Produkt-Releases und wird zwangsläufig die Beziehung zwischen den Entwicklungs- und Sicherheitsteams belasten. Es ist eine klassische Geschichte: Sicherheitsvorgaben kommen zu spät, verursachen Probleme oder stimmen einfach nicht mit den Produktzielen überein. Und schlimmer noch: Wenn Sicherheitskontrollen hinzugefügt werden, werden sie nicht immer validiert, was zu Regeln führt, die nichts tatsächlich schützen.

Erschwerend kommt hinzu, dass DevOps-Teams häufig Sicherheitsaufgaben übertragen werden, ohne über die entsprechenden Tools zu verfügen. „Ich habe beide Modelle gesehen“, erklärte Liam „Manchmal treiben Entwickler die Sicherheit proaktiv voran; manchmal wird ihnen die Sicherheit einfach aufgezwungen, ohne dass sie Unterstützung erhalten.“

Der Origin des WAF-Simulators

Wie Liam haben auch Daniel und Simran diesen Schmerz am eigenen Leib erfahren. Entwickler waren unsicher, ob ihre WAF-Regeln tatsächlich funktionierten, und Sicherheitsteams hatten lange Zeit keine einfache Möglichkeit, die WAF-Regeln zu validieren, außer auf den nächsten Penetrationstest zu warten – oder, schlimmer noch, auf einen realen Angriff.

Aus internen Anforderungen und Kundenfeedback ergab sich eine klare Lücke: Die Teams benötigten eine Möglichkeit, Sicherheitsregeln so zu testen, wie sie ihren Code testen. Bei der Untersuchung dieses Themas zeigte sich bei den von Fastly befragten DevOps-Teams ein Muster, das die Notwendigkeit einer Validierung vor der Produktion, Transparenz auf Regelebene, integrierter Komponententests und Unterstützung sowohl für Standard- als auch für benutzerdefinierte WAF-Regeln aufzeigt.

So wurde der Fastly WAF Simulator geboren!

Der Fastly WAF-Simulator ermöglicht es Nutzern, Beispielanforderungen und -antworten einzugeben und in Echtzeit zu sehen, wie die Webanwendung-Firewall reagieren wird. Es ist API-first, unterstützt UI-basierte Tests für explorative Workflows und lässt sich nahtlos in CI/CD-Pipelines integrieren.

Zu den wichtigsten Fähigkeiten gehören:

  • Anforderung/Antwort-Simulation zur Überprüfung des erwarteten Regelverhaltens

  • Transparenz in regelbasierte Signale, einschließlich Bot-Analyse, Durchsetzung der Geschäftslogik und Blockstatuscodes.

  • Benutzerdefinierte Regelvalidierung mit CVE-Tagging oder komplexer Logik

  • Versionskontrollierte Testfälle, die bei Teamwechseln bestehen bleiben

Und vielleicht am wichtigsten: Der Simulator ermöglicht Sicherheitstests, ohne dass Sie ein Curl-Experte werden müssen!

Einsatz in der Praxis: Testen, bevor Probleme auftreten.

Simran beschrieb, wie Sicherheitsuntersuchungsteams den Simulator verwenden können, um die Abdeckung für neu auftretende Schwachstellen zu überprüfen. „Wenn ich eine CVE bekomme, möchte ich das sofort wissen – kann unsere WAF das erkennen? Wenn nicht, muss ich eskalieren, eine Regel erstellen und sie schnell testen.

Einer der größten Vorteile besteht darin, dass Fehlkonfigurationen vermieden werden. Während der Demo führte eine scheinbar harmlose Ausschlussregel dazu, dass die Cross-Site-Scripting-Erkennung (XSS) vollständig versagte, wodurch sowohl die Erkennung als auch die zugehörige CVE-Kennzeichnung eliminiert wurden. Mit automatisierten Tests, die in GitHub Actions laufen, und aktivierten Slack-Benachrichtigungen wäre das Problem sofort erkannt worden.

Wie Daniel erklärte: „Wir verhindern nicht nur Brüche – wir verkürzen auch die Zeit von der Änderung bis zur Lösung.“ „Das ist enorm, wenn Sie über 1 000 Websites verwalten.“

Ermöglichung einer „Erkennung-as-Code“-Mentalität

Der Fastly WAF-Simulator verfolgt voll und ganz die „Erkennung-as-Code“-Mentalität und wendet Software-Engineering-Prinzipien – wie Versionskontrolle, Code-Review und automatisierte Tests – auf die Erstellung und Verwaltung von Sicherheitsdetektionsregeln an.

Anstatt sich auf Ad-hoc- oder manuell aktualisierte Konfigurationen zu verlassen, behandelt Detection-as-Code die Erkennungslogik als ein strukturiertes, versioniertes und gemeinschaftlich genutztes Asset. Dieser Ansatz erhöht die Zuverlässigkeit, ermöglicht schnelle Iterationen und hilft Teams, die Bedrohungserkennung zu skalieren, während die Konsistenz in allen Umgebungen gewahrt bleibt. Indem die Erkennung in den Entwicklungslebenszyklus eingebettet wird, können sich Sicherheitsteams effektiver an DevOps-Praktiken anpassen und schneller auf sich wandelnde Bedrohungen reagieren. Regeln werden genau wie App-Logik dokumentiert, versioniert und getestet.

Der WAF-Simulator unterstützt:

  • Terraform-basiertes Konfigurationsmanagement

  • YAML-definierte Unit-Tests

  • Aktionswarnungen von Slack und GitHub bei CI/CD-Testfehlern

  • Webhook-Unterstützung, um eine automatisierte Validierung bei Regeländerungen auszulösen

Sicherheitsteams finden sich ständig in Situationen wieder, in denen ein solcher Ansatz sie aus der Klemme befreit. Es kann etwas so Einfaches sein wie das Verlassen eines Teammitglieds für eine andere Rolle. Erkennung als Code lässt Sicherheit wie eine natürliche Erweiterung des Workflows erscheinen – nicht wie ein Hindernis, das vermieden werden muss!

Egal, ob die Sicherheit im DevOps-Team integriert ist oder von einer speziellen Sicherheitsorganisation verwaltet wird, der WAF-Simulator ermöglicht beide Ansätze. Es unterstützt ein Modell der gemeinsamen Verantwortung, bei dem Entwickler die app-spezifische Sicherheitslogik verwalten, während zentrale Teams die globalen Richtlinien überwachen.

Simran fasste es gut zusammen: „Sicherheit wird Teil Ihrer Rolle als Entwickler.“ Sie kennen Ihre App am besten. "Dadurch erhalten Sie die Werkzeuge, um es sicher zu verwalten, ohne im Dunkeln zu tappen.“

Sicherheit, die sich mit der Geschwindigkeit der Entwicklung bewegt

Sicherheitskontrollen sind nur dann wirksam, wenn sie funktionieren, und viele Organisationen wissen nicht, ob sie es tun, bis eine Sicherheitsverletzung, ein Penetrationstest oder ein frustrierter Nutzer das Gegenteil feststellt.

WAF Simulator verändert die Spielregeln, indem er Geschwindigkeit, Transparenz und Vertrauen in DevSecOps-Workflows bringt. Es wird sichergestellt, dass die Regeln wie vorgesehen funktionieren, die Teams synchron bleiben und die Sicherheit sich mit der Entwicklung weiterentwickelt und nicht hinterherhinkt.

Möchten Sie es ausprobieren? Entdecken Sie Fastlys WAF Simulator Automation-Projekt auf GitHub und beginnen Sie mit der Erstellung intelligenterer, sicherer Workflows – ohne die Geschwindigkeitseinbußen.