Web Application Firewall (WAF) – Best Practices
Eine Web Application Firewall (WAF) ist eine Schlüsselkomponente für jedes moderne AppSec-Programm. Eine Reihe von Best Practices für die effektive Implementierung und Nutzung der Lösung in Ihrem Unternehmen kann dazu beitragen, Ihre Sicherheit zu gewährleisten.
Was ist eine WAF?
Eine WAF ist eine spezielle Art von Sicherheitslösung, die bei Webanwendungen als Schutzschild vor dem Internet dient. Sie schützt den Server, indem sie bösartigen HTTP- und HTTPS-Traffic zu und von Webanwendungen erkennt und blockiert.
WAFs fungieren oft als Reverse Proxys zwischen dem Internet und geschützten Webanwendungen. Sie lassen sich aber auch in verschiedenen Konfigurationen einsetzen – einschließlich inline, cloudbasiert oder lokal – um spezifischen Sicherheitsanforderungen gerecht zu werden. Unabhängig von der Bereitstellungsmethode untersucht eine WAF den gesamten eingehenden Traffic, bevor dieser die Anwendungsserver erreicht, und bildet so einen Schutzschild gegen potenzielle Bedrohungen.
Was sind die Best Practices für WAFs für Sicherheitsteams?
Auf höchster Ebene sollten sich Best Practices für Sicherheitsteams, die eine WAF-Bereitstellung implementieren und warten, darauf konzentrieren, die WAF vollumfänglich zu aktivieren und die WAF-Richtlinien fein abzustimmen, um die maximale Leistung zu erzielen.
Zu den spezifischeren Best Practices für WAFs, die implementiert werden sollten, gehören:
Verwenden Sie WAF-Policies.
WAFs arbeiten auf der Grundlage von Richtlinien, die bestimmen, welcher Traffic als sicher und welcher als bösartig gilt – mit anderen Worten, welche Arten von Traffic eine WAF zulässt oder blockiert. Jedes Unternehmen oder jede Einzelperson,die eine WAF nutzt, kann diese Regeln an seine bzw. ihre individuellen Anforderungen anpassen. Einer der Vorteile einer WAF ist, dass sich Regeln schnell und sogar automatisch aktualisieren lassen. Da Regeln leicht geändert werden können, können Sie schneller auf verschiedene Arten von Angriffen reagieren.
Führen Sie kontinuierliche Tests durch und aktualisieren Sie die WAF-Regeln häufig.
WAF-Regeln sind einzelne Sicherheitsrichtlinien innerhalb der umfassenderen WAF-Richtlinien. Eine WAF-Richtlinie umfasst mehrere WAF-Regeln. WAF-Regeln haben sowohl Bedingungen (worauf bei Traffic-Anfragen zu achten ist) als auch Aktionen (was zu tun ist, wenn die Bedingungen in der Regel erfüllt sind). Stellen Sie sich dies als eine Wenn/Dann-Anweisung vor. Eine Regel definiert für eine WAF-Lösung, „wenn“ dies geschieht, „dann“ dies zu tun.
Das häufige Aktualisieren von WAF-Regeln und das Hinzufügen notwendiger neuer Regeln sollte immer eine bewährte Praxis sein. Dadurch wird verhindert, dass legitimer Traffic blockiert wird (sogenannte „False Positives“) und dass schädlicher Traffic versehentlich durchgelassen wird (sogenannte „False Negatives“). Kontinuierliche Tests helfen, die WAF-Regeln präzise und genau zu halten.
Implementieren Sie Bot-Management.
Bot-Management-Regeln helfen dabei, bösartigen Bot-Traffic herauszufiltern und zu verhindern, dass er Schaden anrichtet.
Nutzen Sie Rate Limiting.
Rate Limiting hilft, die Anzahl der Anfragen zu begrenzen, die an Ihre Web-Apps gesendet werden. Es trägt dazu bei, die Kontrolle über das Gesamtvolumen des Traffics zu behalten, eine Überlastung zu verhindern und Ihre Ressourcen zu schützen.
Berücksichtigen Sie die OWASP Top 10.
Stellen Sie sicher, dass Sie Tests durchführen und über angemessene Regeln und Richtlinien für bekannte OWASP-Schwachstellen verfügen.
Implementieren Sie Management und Überwachung.
Integrieren Sie Ihre WAF-Logs in Ihre vorhandenen Tools (denken Sie an SIEM), um ungewöhnliche Traffic-Aktivitäten zu überwachen und eine erhöhte Transparenz bei allen identifizierten Problemen zu erhalten.
Verwenden Sie Profilerstellung und Allowlisting.
Nutzen Sie die Intelligenz der WAF über normales App-Verhalten. Erstellen Sie eine Liste mit zulässigem Traffic/IPs, um False Positives zu vermeiden. Einige WAF-Lösungen bieten in diesem Bereich eigene Funktionen an, wodurch es sehr einfach ist, legitimen Traffic nicht zu blockieren.
Was sind die Best Practices für WAFs für DevOps?
Die oben genannten Best Practices betrachten die WAF-Performance und Auswirkungen aus der Perspektive der Sicherheitsteams und deren Effektivität. Sie sollten jedoch auch die Auswirkungen auf die Entwicklerteams berücksichtigen, die direkt damit zusammenhängen, wie effektiv und aufdringlich ein WAF-Deployment in ihren bestehenden Entwicklungspipelines ist.
Setzen Sie eine WAF vor jede API.
WAFs helfen Unternehmen, einen Einblick in den Laufzeitstatus ihrer Anwendungen zu erhalten und zu erkennen, welche Art von Anfragen und Angriffen ihre Software beeinträchtigt. Organisationen sollten daher eine WAF vor allen Anwendungen platzieren, die dem Internet ausgesetzt sind. Sie sollten auch zwischen Containern in Microservice- oder API-Forward-Architekturen eingesetzt werden.
Ohne eine starke WAF-Lösung hat ein Unternehmen allenfalls eine unzureichende Abdeckung seines App-Portfolios. Ohne vollständige Einblicke und Transparenz hinsichtlich der Bedrohungen, denen ihre Anwendungen ausgesetzt sind, lassen sie eine große Sicherheitslücke offen. Unternehmen können WAF-Logs und -Analysen in Kombination mit anderen Sicherheitsdaten der gesamten Organisation verwenden, um einen tiefgehenden Einblick in die organisatorischen Risiken zu erhalten.
WAFs, die eine verbesserte Observability bieten, sind unverzichtbar, da sie es Teams ermöglichen, Überwachungsprotokolle und Angriffe zu automatisieren und in ihre Sicherheitsprozesse und -entscheidungen zu integrieren.
Verankern Sie die Sicherheit im Code.
Ein „Security-as-Code“-Ansatz innerhalb einer Entwicklungsumgebung ermöglicht es Entwicklern, Laufzeit-Sicherheitsannahmen bei der Bereitstellung an die Anwendungsinfrastruktur zu übermitteln. Durch die Beschränkung der Anfragetypen an eine App wird die Vorverarbeitung von Eingaben auf der Edge der Anwendungsinfrastruktur ermöglicht. Eine WAF kann auch dazu beitragen, komplexere Sicherheitslücken zu beheben: Teams können einen virtuellen Patch erstellen, der auf der WAF bereitgestellt werden kann, wodurch Korrekturen einfacher und weniger hinderlich für Entwicklungsteams werden.
Testen Sie fortlaufend WAF-Änderungen.
Wie oben erwähnt, ist dieser Schritt auch entscheidend, wenn man Dev-Teams in Betracht zieht. WAFs, die auf den Modus „protokollieren und blockieren“ eingestellt sind, laufen Gefahr, Anwendungsfehler zu verursachen, wenn Änderungen und Updates an der WAF nicht ordnungsgemäß getestet werden.
Gruppen, die testen, integrieren die WAF üblicherweise als Anwendungskomponente in den Testprozess. Genau wie bei Änderungen an einer Anwendung ist es sinnvoll, erst einmal zu sehen, welche potenziellen Auswirkungen Sicherheitstools haben könnten, bevor man die Produktivumgebung entsprechend verändert.
Erhalten Sie Zustimmung zu WAF-Entscheidungen.
Für ein Unternehmen, dessen Geschäft auf seiner Webanwendung beruht – zum Beispiel für Onlinehändler – kann die Abstimmung einer WAF zusätzlichen Aufwand erfordern, da das Blockieren potenziell legitimer Kunden zu Geschäftseinbußen führen würde.
Es ist daher wichtig, eng mit der Geschäftsleitung zusammenzuarbeiten, um die allgemeine Strategie, die mit der WAF verfolgt werden soll, und die spezifischen Kriterien, die die Entscheidungen leiten sollen, festzulegen.
Moderne WAFs bringen DevOps-Gruppen bei richtigem Einsatz einen erheblichen Nutzen, einschließlich besserer Erkenntnisse, schnellerer Sicherheitsimplementierung und -reaktion sowie der Shift-Left-Methode für einige Verantwortungsbereiche der Sicherheitskonfiguration. Sicherzustellen, dass eine WAF-Bereitstellung sowohl die Sicherheits- als auch die Entwicklungsanforderungen berücksichtigt, sollte immer eine bewährte Methode sein.
Ihre Vorteile mit Fastly
Bei der Auswahl eines WAF-Anbieters ist es wichtig, sich für eine globale Abdeckung, eine leistungsstarke Erkennung und Integrationsmöglichkeiten zu entscheiden, die auf moderne Infrastrukturen zugeschnitten sind.
Bei der Fastly Next-Gen WAF sind diese Funktionen standardmäßig vorhanden. Als weltgrößte globale Edge-Cloud-Plattform ist Fastly immer nur wenige Millisekunden von Nutzern auf der ganzen Welt entfernt.
Seine strategisch verteilten POPs ermöglichen es Fastly, Websites und Anwendungen schneller zu schützen als herkömmliche WAFs. Durch die Überprüfung des Traffics in der Nähe der Nutzer können Bedrohungen schnell abgeblockt werden, bevor sie Ihre Origin-Server erreichen.
Die wichtigsten Vorteile der Fastly Next-Gen WAF auf einen Blick:
Umfassender Schutz: Fastly erkennt und blockiert die OWASP Top 10 Webanwendungsschwachstellen und benutzerdefinierten Bedrohungen, die Sie durch einfache Regeln definieren.
Schnelle Antwortzeiten: Mit ihrem globalen POP-Netzwerk sorgt die Fastly Next-Gen WAF für extrem geringe Latenzzeiten und ein außergewöhnliches Nutzererlebnis – sogar bei laufenden Angriffen.
Flexible Konfiguration: Über die nutzerfreundliche Oberfläche von Fastly können Sie Regeln, Antwortseiten und vieles mehr ohne langwierige Änderungsprozesse selbst anpassen.
Echtzeit-Analysen: Dank dem Dashboard und der API von Fastly zur proaktiven Problemerkennung erhalten Sie wertvolle Einblicke in Traffic- und Sicherheitsereignisse.
Nahtlose Integration: Die Next-Gen WAF von Fastly arbeitet transparent mit den CDN- und Edge-Computing-Services von Fastly zusammen und bietet so Sicherheits-, Performance- und Bereitstellungsfunktionen aus einer Hand.
Erfahren Sie mehr darüber, wie die Fastly Next-Gen WAF fortschrittlichen Schutz für Ihre Anwendungen, APIs und Microservices mit flexiblen Bereitstellungsoptionen und hochmodernen Erkennungsfunktionen bieten kann.
Erfahren Sie mehr über Fastly Next-Gen WAF