Eine Web Application Firewall (WAF) ist eine spezielle Art von Firewall, die bei Webanwendungen zum Einsatz kommt und als Schutzschild zwischen einer Webanwendung und dem Internet dient. Sie schützt den Server, indem sie bösartigen Anfrage-Traffic erkennt und blockiert.
Zu diesem Zweck überwacht und blockiert eine WAF den HTTP- und HTTPS-Traffic zu und von einem Webservice. Wenn sie richtig konfiguriert und für einen bestimmten Service aktiviert ist, hilft sie, Angriffe auf den Anwendungs-Layer (Layer 7) wie SQL Injection, Cross-Site Scripting (XSS) und Verletzungen des HTTP-Protokolls zu verhindern, bei denen die Schwachstellen einer Webanwendung ausgenutzt werden.
Sie sind vielmehr ein wichtiger Bestandteil einer breiteren Palette von Tools zum Schutz von Websites und Anwendungen. Welcher Traffic als sicher und welcher als bösartig gilt, also welche Art von Traffic eine WAF zulässt oder blockiert, wird durch Regeln festgelegt.
Jedes Unternehmen oder jede Einzelperson, [die eine WAF nutzt](/blog/legacy-vs-next-gen-waf-the-differences-matter), kann diese Regeln an seine bzw. ihre individuellen Anforderungen anpassen. Einer der Vorteile von WAF Security ist, dass sich Regeln schnell und sogar automatisch aktualisieren lassen. Da Regeln leicht geändert werden können, können Sie schneller auf verschiedene Arten von Angriffen reagieren.
WAFs lassen sich auf Ihren eigenen Servern, als Cloud WAF und hybrid implementieren.
Am häufigsten werden On-Premise WAFs, auch Appliance WAFs genannt, eingesetzt. Ursprünglich waren alle WAFs auf lokalen Servern installiert und viele Unternehmen verwenden noch heute On-Premise WAFs, um Workloads zu schützen, besonders bei älteren oder Legacy-Anwendungen.
Cloudbasierte WAFs befinden sich entweder in einer vom Anbieter gehosteten Cloud oder auf der Edge eines Content Delivery Networks (CDN). Cloud WAFs werden immer beliebter, da die Bereitstellung in der Cloud es ermöglicht, Bedrohungen näher am Origin-Server und damit bevor sie in das Netzwerk gelangen zu blockieren.
Außerdem lassen sie sich am schnellsten einrichten und in Betrieb nehmen. Cloudbasierte WAFs sind in vielen Anwendungsfällen eine gute Option, beispielsweise wenn Teams nicht frei über ihre Infrastruktur entscheiden können und wenn Unternehmen nur über begrenzte interne IT-Ressourcen verfügen.
Möglicherweise entscheiden sich Unternehmen auch für eine Cloud WAF, weil sie damit keine Software installieren müssen, um Schutz zu erhalten. Dies bedeutet wiederum Kosteneinsparungen: Die Mitarbeiter müssen sich nicht um die Verwaltung der Software kümmern und können sich stattdessen darauf konzentrieren, ihre Apps und Anwendungsprogrammierschnittstellen (APIs) vor Bedrohungen zu schützen.
Bei hybriden WAFs erfolgt die Bereitstellung sowohl über eigene Server als auch über die Cloud. So erhalten Sie in jeder Umgebung Transparenz über die an Ihre Apps und APIs gerichteten Webanfragen.
Hybride Bereitstellungen ermöglichen es Unternehmen, sowohl Legacy-Anwendungen, die nicht an die Cloud angepasst wurden, als auch moderne verteilte Anwendungen zu schützen. Dieses Bereitstellungsmodell nutzt die Vorteile von On-Premise- und Cloud-Lösungen, um die Sicherheitstelemetrie der Produktivumgebung an eine zentrale Verwaltungskonsole weiterzuleiten. Dort erhalten Sie in Form von einfach zu lesenden Dashboards und Berichten einen Überblick über alle WAF-Bereitstellungen in der Produktivumgebung.
Idealerweise stellen WAF-Anbieter unabhängig von der Bereitstellungsmethode auch eine API zur Verfügung, über die Kunden Sicherheitsdaten und -indikatoren an ein Sicherheitsinformations- und Ereignismanagement-Tool (Security Information and Event Management, SIEM) oder ein Sicherheitsorchestrierungs-, Automatisierungs- und Reaktionstool (Security Orchestration, Automation and Response, SOAR) von Drittanbietern weiterleiten können.
Als Web-App- und API-Schutz (Web Application and API Protection, WAAP) werden cloudbasierte Services zum Schutz anfälliger Webanwendungen und APIs vor einer Vielzahl von Angriffen bezeichnet. Ein WAAP-Service sollte Schutzfunktionen bieten, die eine wirksame Überprüfung von Webanfragen ermöglichen, und zwar noch bevor sie die App oder den API Endpoint erreichen.
WAAP-Lösungen konzentrieren sich ausschließlich auf den Anwendungs-Layer (Layer 7) des OSI Modells und sind am äußeren Rand eines Netzwerks angesiedelt. Cloud-WAAP-Services umfassen in der Regel Bot-, WAF-, API- und DDoS-Schutz.