Fastly Next-Gen WAF – Übersicht über Architektur und Bereitstellung
Dieses Datenblatt bietet detaillierte Informationen über die hochperformante, patentierte Architektur der Fastly Next-Gen WAF sowie über die breite Palette an verfügbaren Bereitstellungsoptionen.
Auf dieser Seite
Integrierte Web-App- und API-Sicherheit für jede Umgebung
Fastly bietet die WAF mit den flexibelsten Bereitstellungsoptionen auf dem Markt und kann Ihre Anwendungen und APIs mit einer einzigen integrierten Lösung schützen, wo auch immer sie sich befinden – in Containern, auf Ihren eigenen Servern, in der Cloud oder auf der Edge. Profitieren Sie von einem umfassenden Schutz, ohne Abstriche bei der Performance machen zu müssen oder spezielles Personal zu benötigen: Die Fastly Next-Gen WAF (powered by Signal Sciences) ist sofort einsatzbereit und so effektiv, dass fast 90 % unserer Kunden sie komplett im Blocking Mode betreiben.
Die Next-Gen WAF von Fastly bietet den proaktiven Schutz, den moderne Anwendungen brauchen, und lässt sich gleichzeitig in Ihre DevOps- und Security-Toolchains integrieren, wo sie Ihnen beispiellose Transparenz bietet. Unsere flexible Architektur kann Ihre Anwendungssicherheitsstrategie voranbringen, indem sie Dev-, Sec- und Ops-Teams Einblicke liefert, wo und wie Ihre Webanwendungen und APIs angegriffen werden.
Architekturübersicht
Die Fastly Next-Gen WAF ist eine hybride SaaS-Lösung (Software as a Service), die im Wesentlichen aus drei Komponenten besteht. Dieser von Signal Sciences entwickelte, patentierte Ansatz ermöglicht es uns, unsere Lösung einfach zu skalieren und selbst umfangreichste Anwendungen und APIs zu schützen, ohne dabei die Performance zu beeinträchtigen.
Agents
Leichtgewichtige Agents, die Sie über Ihre bestehende Infrastruktur bereitstellen, um Anfragen schnell und präzise zu analysieren und gegebenenfalls abzulehnen.
Agents bestehen aus einem kleinen Daemon-Prozess und sind darauf ausgelegt, extrem hohe Lasten zu bewältigen und gleichzeitig auf lokaler Ebene leistungsstarke, exakte Erkennungen durchzuführen und Entscheidungen zu treffen. Der Agent sammelt auch Metadaten zu den von ihm verarbeiteten bösartigen Anfragen und gibt sie an die Cloud Engine weiter. Wir schützen einige der am stärksten frequentierten Websites im Internet, wo Zehntausende von Agents gemeinsam Billionen von Produktionsanfragen verarbeiten, ohne die Performance von Apps oder APIs zu beeinträchtigen. Agents blockieren Angriffe, bevor sie auf Anwendungen oder APIs treffen, und bieten nicht nur Einblick in eingehende Anfragen, sondern auch in Serverantworten und Anomalien, die zeigen, wie sich die Anwendung verhält.
Modules
Optionale aber leistungsstarke Komponente, die zusammen mit unseren Agents für hohe Performance und Zuverlässigkeit sorgt.
Modules laufen auf fast allen Webservern (NGINX, Apache, IIS und weiteren) und in fast allen Anwendungssprachen (.NET, Java, Python, PHP, .nodeJS und weiteren). Um Zuverlässigkeit und außerordentliche Performance zu gewährleisten, besteht das Module nur aus einigen Hundert Codezeilen. Seine einzige Aufgabe ist es, Anfragen an den Agent weiterzuleiten und Entscheidungen vom Agent zu empfangen und durchzusetzen, die Anfrage an die Anwendung weiterzuleiten oder sie zu loggen/blockieren (je nachdem, welcher Modus in der Konsole festgelegt ist).
Cloud Engine
In der Cloud gehostetes Analyse-Backend, das den Agent asynchron mit Informationen aus externen und eigenen Quellen anreichert, um dynamische, anwendungsspezifische Detections durchzuführen.
Die Cloud Engine sammelt und analysiert anonymisierte Angriffs- und Telemetriedaten von den vielen tausend Software-Agents unserer Kunden. Der Output der Cloud Engine wird von den lokalen Agents genutzt, um die Erkennung zu verbessern und aggressivere Blockierungsentscheidungen zu treffen. Die Entscheidungsfähigkeit der Agents wird durch unsere Network Learning Exchange (NLX) verbessert, die bestätigte bösartige IP-Quellen innerhalb der Managementkonsole weitergibt. So werden Sie vor verdächtigen Akteuren gewarnt, bevor diese eine Bedrohung für Ihre Anwendungen und APIs darstellen können. Zu den weiteren Feeds gehören zum Beispiel externe Listen bösartiger IPs und kundenspezifische IP-Listen, die allesamt zusätzlichen Anfragekontext liefern, der zur Entscheidungsfindung der Agents beiträgt. Diese Transparenz und dieser Kontext werden über unsere API und native Integrationen mit DevOps-Tools geteilt, die Ihr Team bereits verwendet, darunter Slack, PagerDuty, Jira und weitere, sowie Sicherheitstools wie Elastic und Palo Alto Networks Cortex XSOAR. Metriken und Ereignisberichte für Ihren gesamten Anwendungs-Footprint sind auch über die Dashboards in unserer einheitlichen Managementkonsole leicht einsehbar.
Bereitstellungsoptionen
Native Bereitstellungsoptionen für Datacenter, Cloud, Container und Serverless-Umgebungen.
Deployment-Option Nr. 1: Cloud- und Container-nativ
Das Agent-Module-Paar lässt sich innerhalb weniger Minuten auf Ihrem Webserver, API-Gateway oder auf Anwendungsebene installieren. Unser Agent ist infrastrukturunabhängig, sodass Sie ihn überall dort einsetzen können, wo Sie ihn brauchen, ohne sich Gedanken über Abhängigkeiten von zugrundeliegenden Sprachen oder Frameworks machen zu müssen.
Implementierung in Kubernetes und Service Mesh
Neue Anwendungstools und Frameworks wie Kubernetes helfen Unternehmen beim schnellen Umstieg auf DevOps. Unternehmen veröffentlichen Code heute schneller als je zuvor. Fastly bietet flexible Bereitstellungsoptionen, die zu Ihrer Container-Strategie mit drei „Layer“ passen. Sie können unsere WAF also in Kubernetes installieren und haben dabei vier Bereitstellungsmethoden zur Auswahl. Außerdem sorgen unsere nativen Integrationen mit den Service Meshes von Envoy Proxy und Istio für Transparenz – sowohl bei Nord-Süd- (Client an Server) als auch bei Ost-West-Anfragen (Service an Service).
Installationsmethode | Layer 1: Ingress-Controller | Layer 2: Mid-Tier-Service | Layer 3: App-Ebene |
|---|---|---|---|
Agent + Module im selben App-Container | |||
Agent + Module in verschiedenen Containern | |||
Agent im Reverse-Proxy-Modus im selben Container wie die App | |||
Agent im Reverse-Proxy-Modus im Sidecar-Container |
Fastly bietet umfassende Bereitstellungsoptionen für:
Bereitstellungsoption Nr. 2: Rechenzentrum und herkömmliche Anwendung
Kunden, die Schutz für herkömmliche oder in einem Datacenter bereitgestellte Anwendungen benötigen, entscheiden sich in der Regel für eine von zwei Bereitstellungsoptionen: Sie installieren die Fastly Next-Gen WAF, um den Traffic zu prüfen, bevor Webanfragen den App- oder API-Endpoint erreichen, oder sie installieren unsere Agents im Reverse-Proxy-Modus. Unser Module lässt sich zum Beispiel am Loadbalancer (A10-Netzwerke, HAProxy, NGINX) oder am API-Gateway (Ambassador, Kong, Cloudentity) installieren. Unser Agent kann im Reverse-Proxy-Modus für Kunden deployt werden, deren Anforderungen eine Installation am Loadbalancer oder API-Gateway nicht zulassen.
A10 Next-Gen WAF, betrieben von Fastly
Für einen überlegenen On-Premise-Schutz haben A10 Networks und Fastly sich zusammengeschlossen, um Kunden das A10 Next-Gen WAF, betrieben von Fastly, anzubieten. Der A10 Thunder ADC bietet erstklassige Anwendungs-Auslieferung und Schutz gegen eine Vielzahl fortschrittlicher Angriffe mit außergewöhnlicher Genauigkeit, wodurch die Serviceverfügbarkeit gewährleistet ist und gleichzeitig Komplexität und TCO reduziert werden.
Bereitstellungsoption Nr. 3: auf der Edge
Die Fastly Next-Gen WAF ist im Fastly Edge-Cloud-Netzwerk verfügbar, sodass Kunden im Rahmen der Fastly Auslieferungs-Services Sicherheitskontrollen durchsetzen können. Die Edge-Cloud-Bereitstellungsoption ist nahtlos in „Varnish“, den Caching Layer von Fastly, integriert.
Dies sorgt für Schutz und Beschleunigung in unmittelbarer Nähe der Nutzer durch Abschirmung der Origin-Systeme vor missbräuchlichen Angriffen bei gleichzeitiger erstklassiger Performance. Unsere Edge-Bereitstellung ist ideal für Kunden, die keine Software auf der bestehenden Infrastruktur installieren können und die Performancevorteile des globalen Content Delivery Networks (CDN) von Fastly nutzen möchten. Außerdem bietet diese Bereitstellungsoption zusätzliche Funktionen, einschließlich „always-on“ DDoS-Schutz für Layer 3 und 4 sowie TLS-Management.
Bereitstellungsoption #4: Cloud WAF
Mit Cloud WAF können Sie Webanwendungen, APIs, Microservices und serverlose Anwendungen schnell und einfach schützen – ohne in Ihrer Infrastruktur Software installieren zu müssen. Nach der Bereitstellung genügt eine einfache DNS-Änderung, um den Anwendungstraffic auf die Cloud WAF zu lenken und die Transparenz und den Schutz der Next-Gen WAF von Fastly für Ihre Anwendungen zu aktivieren. Sämtliche Webanfragen werden an unseren Cloud Enforcement Layer umgeleitet, wenn schädliche Anfragen erkannt und blockiert werden. Legitimer Traffic wird hingegen uneingeschränkt an Ihren Origin-Server weitergeleitet. Cloud WAF ist ideal für Kunden, die eine einfach zu verwaltende WAF hinzufügen möchten, ohne Änderungen an ihrem CDN-Layer vornehmen zu müssen.
Sicherheit + Datenschutz
Viele führende Finanzdienstleister, Unternehmen des Gesundheitswesens und andere Unternehmen mit strengen Datenschutzanforderungen nutzen die Next-Gen WAF von Fastly wegen unserer soliden, datenschutzzentrierten Architektur. Sensiblen Daten werden ausschließlich innerhalb der Kundenumgebung verarbeitet, und nur bereinigte und redigierte Teile von Anfragen, die als Angriffe oder Anomalien gekennzeichnet sind, werden an die Fastly Cloud Engine weitergeleitet.
Sobald der Agent einen potenziellen Angriff oder eine Anomalie in einer Anfrage erkennt, werden individuell konfigurierbare Anpassungen vorgenommen, und der Agent sendet lediglich den einzelnen, korrigierten Anfrageparameter, der die Angriffs-Payload enthält, sowie einige andere nicht sensible oder gutartige Teile der Anfrage, wie Client-IP, User-Agent, URI usw. Unser Backend sammelt nur die Metadaten der Antwort, wie zum Beispiel Antwortcodes, Größen- und Zeitangaben. Wir bieten unseren Kunden die Möglichkeit, die Entfernung oder Bearbeitung von Richtlinien und Feldern ganz nach Bedarf anzupassen. Als zusätzlichen Schutz sorgt Fastly automatisch für die Anpassung gängiger sensibler Datentypen wie Passwörter, Schlüssel, GUIDs und aller Arten von personenbezogenen Daten oder geschützten Gesundheitsinformationen, bevor die Anfrage an unser Backend gesendet wird.
„Die WAF ist sofort einsatzbereit, lässt sich automatisch skalieren und liefert hervorragende Transparenz sowie zuverlässigen Schutz.“
Anson Gomes
Lead Security Engineer
Integrationen in DevOps- und Security-Toolchains
Der beste Weg zum Erfolg für einen effektiven Anwendungs- und API-Schutz besteht darin, Entwickler-, Operations- und Sicherheitsteams dieselben grundlegenden Sicherheitsdaten in den von ihnen bereits verwendeten Tools zur Verfügung zu stellen. Fastly arbeitet mit den besten Tools und Plattformen der Branche zusammen, um Ihre DevOps- und Sec-Toolchains mit Echtzeitwarnungen zu versorgen und sicherzustellen, dass Ihre Teams unsere Sicherheitstelemetrie für die Produktivumgebung innerhalb der aktuellen Tools und Prozesse Ihres Unternehmens für weitere Untersuchungen und Analysen nutzen können.
Ergänzende Out-of-the-Box-Technologien helfen Teams bei der Umstellung oder der Fortsetzung des Umstiegs auf moderne Entwicklungsmodelle und -architekturen. Unsere Ein-Klick-Integrationen umfassen die gängigsten Entwicklungs- und Alarmsysteme für Operations-, Chat-Ops, Projektmanagement- und Trackingsysteme für die Nachverfolgung von Störungen.
Technologie- und Plattformintegrationen
Setzen Sie die Next-Gen-WAF von Fastly überall ein
Loadbalancer
Webserver
IAAS
PAAS
Container
Konfigurationsmanagement
Feed-Integrationen und -Partner
Senden und Empfangen von Daten von der Fastly Next-Gen WAF
DevOps-Toolchain
SIEM/SOAR
Weiterführende Ressourcen
Erfahren Sie, wie unsere WAF vor Web-Layer-Angriffen schützt und sich mit DevOps-Tools integrieren lässt.
Das WAF-Wirksamkeits-Framework: Wir unterstützen Sie bei der Ermittlung des Wirkungsgrads Ihrer WAF.
Fastly zum Challenger für Cloud WAAP gekürt. Lesen Sie diesen Bericht, in dem verschiedene Anbieter verglichen werden.
Fastly wurde als einziger Anbieter fünfmal in Folge mit dem „Customers’ Choice“ ausgezeichnet.