Übersicht: Architektur und Bereitstellung

Unified Web-App- und API-Sicherheit, in jeder Umgebung

Fastly bietet die WAF mit den flexibelsten Bereitstellungsoptionen auf dem Markt und kann Ihre Anwendungen und APIs mit einer einzigen integrierten Lösung schützen, wo auch immer sie sich befinden – in Containern, auf Ihren eigenen Servern, in der Cloud oder auf der Edge. Profitieren Sie von einem umfassenden Schutz, ohne Abstriche bei der Performance machen zu müssen oder spezielles Personal zu benötigen: Die Fastly Next-Gen WAF (powered by Signal Sciences) ist sofort einsatzbereit und so effektiv, dass fast 90 % unserer Kunden sie komplett im Blocking Mode betreiben.

Die Fastly Next-Gen WAF bietet den proaktiven Schutz, den moderne Anwendungen brauchen, und lässt sich gleichzeitig in Ihre DevOps- und Security-Toolchains integrieren, wo sie Ihnen beispiellose Transparenz bietet. Unsere flexible Architektur kann Ihre Anwendungssicherheitsstrategie voranbringen, indem sie Dev-, Sec- und Ops-Teams Einblicke liefert, wo und wie Ihre Webanwendungen und APIs angegriffen werden.

Architekturübersicht

Die Fastly Next-Gen WAF ist eine hybride Software-as-a-Service (SaaS)-Lösung, die im Wesentlichen aus drei Komponenten besteht. Dieser von Signal Sciences entwickelte, patentierte Ansatz ermöglicht es uns, unsere Lösung einfach zu skalieren und selbst umfangreichste Anwendungen und APIs zu schützen, ohne dabei die Performance zu beeinträchtigen.

Agents

Leichtgewichtige Agents, die Sie über Ihre bestehende Infrastruktur bereitstellen, um Anfragen schnell und präzise zu analysieren und gegebenenfalls abzulehnen.

Agents bestehen aus einem kleinen Daemon-Prozess und sind darauf ausgelegt, extrem hohe Lasten zu bewältigen und gleichzeitig auf lokaler Ebene leistungsstarke, exakte Erkennungen durchzuführen und Entscheidungen zu treffen. Der Agent sammelt auch Metadaten zu den von ihm verarbeiteten böswilligen Anfragen und gibt sie an die Cloud Engine weiter. Wir schützen einige der am stärksten frequentierten Websites im Internet, wo Zehntausende von Agents gemeinsam Billionen von Produktionsanfragen verarbeiten, ohne die Performance von Apps oder APIs zu beeinträchtigen. Agents blockieren Angriffe, bevor sie auf Anwendungen oder APIs treffen, und bieten nicht nur Einblick in eingehende Anfragen, sondern auch in Serverantworten und Anomalien, die zeigen, wie sich die Anwendung verhält.

Modules

Optionale, aber leistungsstarke Komponente, die zusammen mit unseren Agents für hohe Performance und Zuverlässigkeit sorgt.

Modules laufen auf fast allen Webservern (NGINX, Apache, IIS und weiteren) und in fast allen Anwendungssprachen (.NET, Java, Python, PHP, .nodeJS und weiteren). Um Zuverlässigkeit und außerordentliche Performance zu gewährleisten, besteht das Module nur aus einigen Hundert Codezeilen. Seine einzige Aufgabe ist es, Anfragen an den Agent weiterzuleiten und Entscheidungen vom Agent zu empfangen und durchzusetzen, die Anfrage an die Anwendung weiterzuleiten oder sie zu loggen/blockieren (je nachdem, welcher Modus in der Konsole festgelegt ist).

Cloud Engine

In der Cloud gehostetes Analyse-Backend, das den Agent asynchron mit Informationen aus externen und eigenen Quellen anreichert, um dynamische, anwendungsspezifische Detections durchzuführen.

Die Cloud Engine sammelt und analysiert anonymisierte Angriffs- und Telemetriedaten von den vielen Tausend Software-Agents unserer Kunden. Der Output der Cloud Engine wird von den lokalen Agents genutzt, um die Erkennung zu verbessern und aggressivere Blockierungsentscheidungen zu treffen. Die Entscheidungsfähigkeit der Agents wird durch unsere Network Learning Exchange (NLX) verbessert, die bestätigte bösartige IP-Quellen innerhalb der Managementkonsole weitergibt. So werden Sie vor verdächtigen Akteuren gewarnt, bevor diese eine Bedrohung für Ihre Anwendungen und APIs darstellen können. Zu den weiteren Feeds gehören zum Beispiel externe Listen bösartiger IPs und kundenspezifische IP-Listen, die allesamt zusätzlichen Anfragekontext liefern, der zur Entscheidungsfindung der Agents beiträgt. Diese Transparenz und dieser Kontext werden über unsere API und native Integrationen mit DevOps-Tools geteilt, die Ihr Team bereits verwendet, darunter Slack, PagerDuty, Jira und weitere, sowie Sicherheitstools wie Elastic und Palo Alto Networks Cortex XSOAR. Metriken und Ereignisberichte für Ihren gesamten Anwendungs-Footprint sind auch über die Dashboards in unserer einheitlichen Managementkonsole leicht einsehbar.

Bereitstellungsoptionen

Native Bereitstellungsoptionen für Datacenter, Cloud, Container und Serverless-Umgebungen.

Bereitstellungsoption 1: Cloud- und containernativ

Das Agent-Module-Paar lässt sich innerhalb weniger Minuten auf Ihrem Webserver, API-Gateway oder auf Anwendungsebene installieren. Unser Agent ist infrastrukturunabhängig, sodass Sie ihn überall dort einsetzen können, wo Sie ihn brauchen, ohne sich Gedanken über Abhängigkeiten von zugrundeliegenden Sprachen oder Frameworks machen zu müssen.

Implementierung in Kubernetes und Service Mesh

Neue Anwendungstools und Frameworks wie Kubernetes helfen Unternehmen beim schnellen Umstieg auf DevOps. Unternehmen veröffentlichen Code heute schneller als je zuvor. Fastly bietet flexible Bereitstellungsoptionen, die zu Ihrer Container-Strategie mit drei „Layer“ passen. Sie können unsere WAF also in Kubernetes installieren und haben dabei vier Bereitstellungsmethoden zur Auswahl. Außerdem sorgen unsere nativen Integrationen mit den Service Meshes von Envoy Proxy und Istio für Transparenz – sowohl bei Nord-Süd- (Client an Server) als auch bei Ost-West-Anfragen (Service an Service).

Fastly bietet umfassende Bereitstellungsoptionen für:

Bereitstellungsoption 2: Datacenter und herkömmliche Anwendungen

Kunden, die Schutz für herkömmliche oder in einem Datacenter bereitgestellte Anwendungen benötigen, entscheiden sich in der Regel für eine von zwei Bereitstellungsoptionen: Sie installieren die Fastly Next-Gen WAF, um den Traffic zu prüfen, bevor Webanfragen den App- oder API-Endpoint erreichen, oder sie installieren unsere Agents im Reverse-Proxy-Modus. Unser Module lässt sich zum Beispiel am Loadbalancer (HAProxy, NGINX) oder am API-Gateway (Ambassador, Kong, Cloudentity) installieren. Für Kunden, deren Anforderungen eine Installation am Loadbalancer oder API-Gateway nicht zulassen, kann unser Agent im Reverse-Proxy-Modus bereitgestellt werden. Beide Möglichkeiten bieten dasselbe Maß an Transparenz, verwertbaren Erkenntnissen und Warnungen.

Bereitstellungsoption 3: Auf der Edge

Die Fastly Next-Gen WAF ist im Fastly Edge-Cloud-Netzwerk verfügbar und ermöglicht es Ihnen, Sicherheitskontrollen durchzuführen, während Sie Inhalte über Fastly ausliefern. Die Edge-Cloud-Bereitstellungsoption ist nahtlos in „Varnish“, den Caching Layer von Fastly, integriert.

Dies sorgt für Schutz und Beschleunigung in unmittelbarer Nähe der Nutzer durch Abschirmung der Origin-Systeme vor missbräuchlichen Angriffen bei gleichzeitiger erstklassiger Performance. Unsere Edge-Bereitstellung ist ideal für Kunden, die keine Software auf der bestehenden Infrastruktur installieren können und die Performancevorteile des globalen Content Delivery Networks (CDN) von Fastly nutzen möchten. Außerdem bietet diese Bereitstellungsoption zusätzliche Funktionen, einschließlich „always-on“ DDoS-Schutz für Layer 3 und 4 sowie TLS-Management.

Bereitstellungsoption 4: Cloud WAF

Mit Cloud WAF können Sie Webanwendungen, APIs, Microservices und serverlose Anwendungen schnell und einfach schützen – ohne in Ihrer Infrastruktur Software installieren zu müssen. Nach der Bereitstellung genügt eine einfache DNS-Änderung, um den Anwendungstraffic auf die Cloud WAF zu lenken und die Transparenz und den Schutz von Fastlys Next-Gen WAF für Ihre Anwendungen zu aktivieren. Sämtliche Webanfragen werden an unseren Cloud Enforcement Layer umgeleitet, wenn schädliche Anfragen erkannt und blockiert werden. Legitimer Traffic wird hingegen uneingeschränkt an Ihren Origin-Server weitergeleitet. Cloud WAF ist ideal für Kunden, die eine einfach zu verwaltende WAF hinzufügen möchten, ohne Änderungen an ihrem CDN-Layer vornehmen zu müssen.

“It works straight out of the box, scales automatically, and does a great job at providing visibility while securing the application.”

Anson Gomes

Lead Security Engineer

Integrationen in DevOps- und Security-Toolchains

Der beste Weg zum Erfolg für einen effektiven Anwendungs- und API-Schutz besteht darin, Entwickler-, Operations- und Sicherheitsteams dieselben grundlegenden Sicherheitsdaten in den von ihnen bereits verwendeten Tools zur Verfügung zu stellen. Fastly arbeitet mit den besten Tools und Plattformen der Branche zusammen, um Ihre DevOps- und Sec-Toolchains mit Echtzeitwarnungen zu versorgen und sicherzustellen, dass Ihre Teams unsere Sicherheitstelemetrie für die Produktivumgebung innerhalb der aktuellen Tools und Prozesse Ihres Unternehmens für weitere Untersuchungen und Analysen nutzen können.

Ergänzende Out-of-the-Box-Technologien helfen Teams bei der Umstellung oder der Fortsetzung des Umstiegs auf moderne Entwicklungsmodelle und -architekturen. Unsere Ein-Klick-Integrationen umfassen die gängigsten Entwicklungs- und Alarmsysteme für Operations-, Chat-Ops, Projektmanagement- und Trackingsysteme für die Nachverfolgung von Störungen.

Technologie- und Plattformintegrationen

Einsatz der Fastly Next-Gen WAF in beliebigen Umgebungen

Webserver

IAAS

PAAS

Container

Konfigurationsmanagement

Feed-Integrationen und -Partner

Senden und Empfangen von Daten von der Fastly Next-Gen WAF

DevOps-Toolchain

SIEM/SOAR