Chick-fil-A schützt Web-Layer-Assets mit einer automatisierten Sicherheitslösung

Die Herausforderung

Chick-fil-A benötigte eine flexible und effektive Lösung, um seine wertvollsten digitalen Assets, darunter kundenseitige mobile und Web-Apps, zu schützen und fit für die Zukunft zu machen.

Bei der Steigerung von Kundenzufriedenheit und Geschäftswachstum muss sich Chick-fil-A auf seine mobilen und Web-Anwendungen verlassen können. Allerdings konnte die bisherige RegEx-basierte WAF in einem Entwicklungszyklus, in dem ein verteiltes Softwaredesign und dezentrale Bereitstellungen die Norm sind, nicht mithalten. Das Unternehmen brauchte also eine fortschrittliche Web Application Firewall, die sich in einer verteilten Architektur problemlos installieren lässt und Account Takeover (ATO)-Versuche sowie andere Cyberangriffe auf die öffentlich zugänglichen Anwendungen zuverlässig abwehrt.

„Traffic auf Grundlage eines Musterabgleichs – z. B. mit einem bestimmten SQL Injection String – zu blockieren, ist für uns nicht zukunftsfähig. Fastlys Next-Gen WAF bietet mehr Kontext und Transparenz auf dem Anwendungs-Layer und trifft präzisere Blockierungsentscheidungen bei der Abwehr von böswilligen Webanfragen.“ Robert Davis, Director of Cybersecurity

Unsere Lösung

Davis und sein Team entschieden sich aus zwei Gründen für Fastly: zum einen, weil man dort umfassenden Kontext zu Webanfragen erhält und so präzisere Blockierungsentscheidungen treffen kann, und zum anderen, weil das Produkt einfach zu implementieren ist. Die Fastly Next-Gen WAF verfügt über verteilte Agents, sodass Code dort geschützt wird, wo er ausgeführt wird. Damit ebnet das Produkt den Weg für jede zukünftige Infrastruktur oder Architektur. Hinzu kommt, dass die Anwendungen von Chick-fil-A zusammengelegt und künftig von Amazon Web Services (AWS) und verwalteten Rechenzentren gehostet werden. Auch in einer hybriden Umgebung liefert unsere Next-Gen WAF effektiven Schutz.

Davis konnte sich selbst davon überzeugen, dass die einfache Bereitstellung, der geringe Wartungsaufwand und die integrierten Erkennungs- und Blockierungsfunktionen der Next-Gen WAF einen wirksamen Schutz vor Angriffen auf Webanwendungen gewährleisten – und zwar ganz ohne dass dies Performance-Auswirkungen hätte oder ein für die Verwaltung zuständiger Vollzeitmitarbeiter engagiert werden müsste.

Zuverlässiger Schutz vor Account-Übernahme ohne Performance-Einbußen
Der Fastly Agent instrumentiert und beobachtet die Nutzerauthentifizierungsabläufe in den mobilen und Web-Apps von Chick-fil-A. Dies verschafft dem Entwickler- und Sicherheitsteam der Restaurantkette die nötige Transparenz, um Account-Übernahme-Angriffe bei gleichbleibender Anwendungs-Performance abzuwehren. Eine konventionelle Regelanpassung und -verwaltung ist dafür nicht erforderlich.

Architekturunabhängig einfache Implementierung und Handhabung, auch auf der Edge
Die Fastly Next-Gen WAF ist mit jeder Architektur kompatibel. Über Power Rules können Davis und sein Team zusätzlich zu den standardmäßigen Erkennungs- und Blockierungsfunktionen eigenständig erweiterte Schutzmaßnahmen konfigurieren und so ATO- und andere Weblayer-Angriffe blockieren.

Fastly läuft auf den Webservern, die Chick-fil-A betreibt: Apache, NGINX, Tomcat und IIS. Bei AWS wird das CloudFront CDN den APIs vorgeschaltet und die Next-Gen WAF auf der Edge bereitgestellt, um Webanfragen zu analysieren und zu bewerten, noch ehe sie den Origin-Server erreichen.

Zukunftsfähige Webanwendungssicherheit für jede Umgebung
Dank der Dezentralisierung der patentierten WAF-Lösung kann der Agent direkt am Live-Code ausgeführt werden. Das Team instrumentiert und überwacht Webanfragen quasi in Echtzeit und kann so fundierte Entscheidungen treffen. Noch werden die Anwendungen und APIs von Chick-fil-A in AWS und den Rechenzentren getrennt ausgeführt, doch schon bald startet das Unternehmen mit der Hybridnutzung. Auf den Schutz durch die Next-Gen WAF ist auch in einer Hybridumgebung Verlass.

„Die Next-Gen WAF ist schnell und unkompliziert einzurichten. Es dauerte wirklich nur fünf Minuten. Mit ein paar wenigen auf unsere speziellen Authentifizierungsabläufe zugeschnittenen Änderungen an den Fastly Regeln ließen sich Account-Übernahme-Versuche in unserer Produktivumgebung erfolgreich blockieren.“ Robert Davis, Director of Cybersecurity