Glossar: Begriffe und Definitionen zur Cybersicherheit

Was ist eine Web Application Firewall (WAF)?

Eine Web Application Firewall (WAF) schützt Webanwendungen vor einer Vielzahl von Angriffen auf Anwendungsebene, wie beispielsweise Cross-Site-Scripting (XSS) , SQL-Injection und Cookie-Poisoning . Angriffe auf Apps sind die häufigste Ursache für Sicherheitsverletzungen – sie sind das Tor zu Ihren wertvollen Daten. Mit der richtigen WAF können Sie zahlreiche Angriffe blockieren, die darauf abzielen, Ihre Systeme zu kompromittieren und so Daten zu exfiltrieren.

Wie funktioniert eine Web Application Firewall (WAF)?

Eine WAF schützt Ihre Webanwendungen, indem sie bösartigen HTTP/S-Datenverkehr zur Webanwendung filtert, überwacht und blockiert und verhindert, dass unbefugte Daten die Anwendung verlassen. Dies geschieht durch die Einhaltung einer Reihe von Richtlinien, mit deren Hilfe festgestellt werden kann, welcher Datenverkehr bösartig und welcher sicher ist. So wie ein Proxyserver als Vermittler zum Schutz der Identität eines Clients fungiert, funktioniert eine WAF auf ähnliche Weise, allerdings umgekehrt – ein sogenannter Reverse-Proxy – und fungiert als Vermittler, der den Web-App-Server vor einem potenziell böswilligen Client schützt.

WAFs können in Form von Software oder einer Appliance vorliegen oder als Service bereitgestellt werden. Richtlinien können angepasst werden, um die individuellen Anforderungen Ihrer Webanwendung oder Ihres Satzes von Webanwendungen zu erfüllen. Obwohl bei vielen WAFs regelmäßige Richtlinienaktualisierungen erforderlich sind, um neue Schwachstellen zu beheben, ermöglichen Fortschritte im maschinellen Lernen bei einigen WAFs die automatische Aktualisierung. Diese Automatisierung wird immer wichtiger, da die Bedrohungslandschaft immer komplexer und uneindeutiger wird.

Reverse-Proxys, die zwischen Clients (wie Webbrowsern) und Backend-Servern (wie Anwendungsservern oder anderen Webservern) sitzen, können auch zum Zwischenspeichern von Antworten von Backend-Servern verwendet werden. Dadurch kann die Leistung der Webanwendung verbessert werden, indem die Antwortzeiten für häufig aufgerufene Ressourcen verkürzt und die Belastung der Backend-Server verringert wird. Zwischengespeicherte Antworten können schneller bereitgestellt werden als dynamisch generierte Antworten von Backend-Servern. Reverse-Proxy-Caching kann außerdem zu einer besseren Skalierbarkeit und Ressourcennutzung führen, insbesondere in Zeiten mit hohem Datenverkehr oder bei der Bereitstellung statischer Inhalte.

Der Unterschied zwischen einer Web Application Firewall (WAF), einem Intrusion Prevention System (IPS) und einer Next-Generation Firewall (NGFW)

Ein IPS ist ein Intrusion Prevention System, eine WAF ist eine Web Application Firewall und eine NGFW ist eine Firewall der nächsten Generation. Was ist der Unterschied zwischen ihnen allen?

Ein IPS ist ein Sicherheitsprodukt mit breiterer Ausrichtung. Es basiert normalerweise auf Signaturen und Richtlinien, d. h. es kann anhand einer Signaturdatenbank und etablierter Richtlinien nach bekannten Schwachstellen und Angriffsmethoden suchen. Das IPS erstellt einen Standard auf Grundlage der Datenbank und der Richtlinien und sendet dann Warnungen, wenn der Datenverkehr vom Standard abweicht. Die Signaturen und Richtlinien erweitern sich mit der Zeit, wenn neue Schwachstellen bekannt werden. Im Allgemeinen schützt IPS den Datenverkehr über eine Reihe von Protokolltypen wie DNS, SMTP, TELNET, RDP, SSH und FTP. IPS betreibt und schützt normalerweise die Schichten 3 und 4. Die Netzwerk- und Sitzungsebenen bieten möglicherweise nur eingeschränkten Schutz auf der Anwendungsebene (Ebene 7).

Eine Web Application Firewall (WAF) schützt die Anwendungsschicht und ist speziell darauf ausgelegt, jede HTTP/S-Anfrage auf der Anwendungsschicht zu analysieren. Es ist in der Regel benutzer-, sitzungs- und anwendungsbewusst und weiß, welche Webanwendungen dahinter stecken und welche Dienste sie anbieten. Aus diesem Grund können Sie sich eine WAF als Vermittler zwischen dem Benutzer und der App selbst vorstellen, der alle Kommunikationen analysiert, bevor sie die App oder den Benutzer erreichen. Herkömmliche WAFs stellen sicher, dass nur zulässige Aktionen (basierend auf der Sicherheitsrichtlinie) ausgeführt werden können. Für viele Organisationen sind WAFs eine vertrauenswürdige erste Verteidigungslinie für Anwendungen, insbesondere zum Schutz vor den OWASP Top 10 – der grundlegenden Liste der am häufigsten auftretenden Anwendungsschwachstellen. Diese Top 10 umfasst derzeit:

Holen Sie sich das E-Book zur Vorbereitung auf die OWASP Top 10

Sehen Sie sich dieses kurze Video zu IPS vs. WAF an

Eine Firewall der nächsten Generation (NGFW) überwacht den ausgehenden Datenverkehr im Internet – über Websites, E-Mail-Konten und SaaS hinweg. Einfach ausgedrückt geht es darum, den Benutzer zu schützen (im Vergleich zur Webanwendung). Eine NGFW setzt benutzerbasierte Richtlinien durch, fügt Kontext zu Sicherheitsrichtlinien hinzu und bietet darüber hinaus Funktionen wie URL-Filterung, Viren-/Malwareschutz und möglicherweise eigene Intrusion Prevention Systeme (IPS). Während eine WAF normalerweise ein Reverse-Proxy ist (der von Servern verwendet wird), handelt es sich bei NGFWs häufig um Forward-Proxys (die von Clients wie beispielsweise einem Browser verwendet werden).

Die verschiedenen Möglichkeiten zum Bereitstellen einer WAF

Eine WAF kann auf mehrere Arten bereitgestellt werden. Dies hängt ganz davon ab, wo Ihre Anwendungen bereitgestellt werden, welche Dienste benötigt werden, wie Sie sie verwalten möchten und welchen Grad an architektonischer Flexibilität und Leistung Sie benötigen. Möchten Sie die Verwaltung selbst übernehmen oder möchten Sie die Verwaltung auslagern? Ist eine Cloud-basierte Option das bessere Modell oder möchten Sie Ihre WAF vor Ort betreiben? Die Art der Bereitstellung bestimmt, welche WAF für Sie die richtige ist. Nachfolgend finden Sie Ihre Optionen.

WAF-Bereitstellungsmodi:
  • Cloudbasiert + vollständig als Service verwaltet – dies ist eine großartige Option, wenn Sie den schnellsten und unkompliziertesten Weg benötigen, WAF vor Ihre Apps zu bringen (insbesondere, wenn Sie nur über begrenzte interne Sicherheits-/IT-Ressourcen verfügen)
  • Cloudbasiert + selbstverwaltet – profitieren Sie von der Flexibilität und Portabilität der Sicherheitsrichtlinien der Cloud und behalten Sie gleichzeitig die Kontrolle über das Verkehrsmanagement und die Einstellungen der Sicherheitsrichtlinien.
  • Cloudbasiert + automatisch bereitgestellt – dies ist der einfachste Weg, mit einer WAF in der Cloud zu beginnen und Sicherheitsrichtlinien auf einfache und kostengünstige Weise bereitzustellen.
  • Vor-Ort-Advanced-WAF (virtuelle oder Hardware-Appliance) – erfüllt die anspruchsvollsten Bereitstellungsanforderungen, bei denen Flexibilität, Leistung und erweiterte Sicherheitsbedenken von entscheidender Bedeutung sind.

Hier finden Sie eine Anleitung, die Ihnen bei der Auswahl des für Sie geeigneten WAF und Bereitstellungsmodus hilft .

Erfahren Sie mehr über WAF und wie Sie Ihre Apps mit der Advanced WAF -Technologie von F5 schützen können.  F5 bietet außerdem F5 NGINX App Protect an, eine moderne WAF-Anwendung, die mit F5 NGINX Plus , F5 NGINX Ingress Controller und anderen Servern funktioniert. NGINX Plus bietet außerdem eine massiv skalierbare Caching-Lösung und einen Reverse-Proxy, um statische und sich selten ändernde Inhalte einer Vielzahl von Clients auf optimierte und zuverlässige Weise bereitzustellen. Der NGINX Plus-Caching-Server kann auch dynamische Antworten verarbeiten, die von Skriptsprachen mithilfe von Protokollen wie FastCGI, SCGI und uwsgi zurückgegeben werden.