Ressourcen White Papers

Erweitertes WAF-Launchpad (Web Application Firewall)

Warum brauchen Organisationen eine WAF?

Heutzutage erweitern Unternehmen ihr Geschäftsfeld durch den Einsatz webbasierter und in der Cloud gehosteter Applications. Daher ist der Einsatz einer robusten und flexiblen Web Application Firewall (WAF) zum Schutz vor Sicherheitsbedrohungen kein Luxus, sondern eine Notwendigkeit.

Da sich diese web- und cloudbasierten Applications immer schneller verbreiten, werden die Angriffe immer ausgefeilter und häufiger und bedrohen so die kritischen Daten und Abläufe in Unternehmen. Dies macht es für Administratoren und Sicherheitsteams viel schwieriger, über die neuesten Angriffe und Schutzmaßnahmen auf dem Laufenden zu bleiben. Gleichzeitig müssen sie strenge Compliance-Anforderungen für den Online-Handel erfüllen (z. B. Payment Card Industry Datensicherheit Standard), geschäftskritische Applications vor gängigen Angriffen wie SQL-Injection, DDoS-Angriffen und vielschichtigen Zero-Day-Angriffen schützen und einen sicheren Datenaustausch zwischen herkömmlichen und Cloud-Umgebungen ermöglichen.

Was ist für die Bereitstellung einer WAF erforderlich?

Unternehmen können eine Kombination aus Techniken einsetzen, um eine genaue Erkennungsabdeckung sicherzustellen, die den legitimen Datenverkehr nicht blockiert. Traditionell war die am häufigsten verwendete WAF-Konfiguration ein negatives Sicherheitsmodell, das alle Transaktionen außer denen zulässt, die eine Bedrohung/einen Angriff enthalten. Negative Sicherheit nutzt Signaturen und Regeln, die zum Erkennen bekannter Bedrohungen und Angriffe entwickelt wurden. Die Datenbank mit den Signaturregeln wird recht umfangreich sein, da sich im Laufe der Jahre Kenntnisse über die Angriffe angesammelt haben. Dies ist ein großartiges Modell für sofort einsatzbereiten Schutz, das allgemein bekannte Bedrohungen wie Web-Injections, OWASP Top 10-Bedrohungen, Cross-Site-Scripting (XSS) und mehr blockiert.

In den letzten Jahren haben positive Sicherheitsmodelle an Popularität gewonnen. Bei diesem Ansatz wird der gesamte Datenverkehr blockiert und nur die Transaktionen zugelassen, von denen bekannt ist, dass sie gültig und sicher sind. Der positive Ansatz basiert auf einer strengen Inhaltsvalidierung und statistischen Analyse, die Zero-Day-Bedrohungen und die Manipulation von Schwachstellen wirksamer verhindern kann. Um wirklich effektiv zu sein, erfordert ein positiver Sicherheitsansatz fundierte Kenntnisse der Application und ihrer erwarteten Einsatzmöglichkeiten.

Herausforderungen
Mehrere ineinandergreifende Schritte sind durchzuführen

Sowohl positive als auch negative Modelle sind in der Lage, das empfindliche Gleichgewicht zwischen „Sicherheit“ und „Funktionalität“ zu erreichen. Allerdings kann weder ein positives noch ein negatives Sicherheitsmodell allein in jeder Situation oder Umgebung die wirtschaftlichste Lösung liefern. Ein integrierter positiver und negativer Ansatz kann Unternehmen in Kombination mit Geschäftsanforderungen dabei helfen, den höchsten ROI aus der Implementierung einer Sicherheitsrichtlinie zu erzielen.

Es kann eine Herausforderung sein, die richtigen Entscheidungen für eine WAF-Bereitstellung zu treffen, die die Geschäftsziele optimal erfüllt. Der Bedarf an Zeit und Ressourcen konkurriert normalerweise mit der Notwendigkeit ausreichenden Know-hows und Vertrauens in die Verwendung des ausgewählten Produkts.

Bei der Planung und Durchführung eines WAF-Dienstimplementierungsprojekts muss ein Kunde mehrere Schritte ausführen:

  1. Entwickeln Sie die „am besten geeignete“ WAF-Strategie und lassen Sie sie von allen internen Beteiligten genehmigen.
  2. Nutzen Sie das WAF-Produkt effizient, um den richtigen Satz an Richtlinien und Parametern zu implementieren.
  3. Planen Sie die Bereitstellung des WAF-Dienstes, oft über mehrere Hundert Applications hinweg.
  4. Planen Sie den täglichen Servicebetrieb und das Lebenszyklusmanagement in der Produktion.
Jeder Schritt bietet gemeinsame Herausforderungen
  • Die Sicherheitsanforderungen (oder -erwartungen) von Unternehmen und Betrieben berücksichtigen technische, betriebliche und ressourcenbezogene Einschränkungen nicht immer in vollem Umfang. Dann ist die Versuchung groß, ein hochgestecktes Ziel durch die Entwicklung einer sehr ausgefeilten Strategie erreichen zu wollen, ohne vorher sicherzustellen, dass das Unternehmen alle erforderlichen Maßnahmen ergriffen hat, um dieses Ziel zu erreichen. Zur Lösung dieses Problems kann in vielen Fällen eine neutrale Einschätzung und Analyse der Situation notwendig sein.
  • Es ist nicht immer leicht, das Gleichgewicht zwischen der von den Geschäftsinhabern geforderten Application und dem vom CISO-Team geforderten Schutzniveau zu erreichen. Beispielsweise möchten Geschäftsinhaber nicht, dass ihre Applications aufgrund von Falschmeldungen oder zu restriktiven WAF-Richtlinien blockiert werden. Auch hier kann eine unparteiische und fundierte Beurteilung und Analyse der Situation den Unternehmen dabei helfen, das richtige Gleichgewicht zu finden und Minderungspläne für mögliche Auswirkungen auf die Produktion vorzubereiten.
  • Es wird dringend empfohlen, an Schulungen von Softwareanbietern teilzunehmen oder eine Produktzertifizierung zu bestehen, dies erspart Ihnen jedoch nie die Mühe des Übens im tatsächlichen Unternehmenskontext, mit den Zielen und Einschränkungen.
  • Eine Frage, die sich Kunden sehr oft stellt, ist die, wie sie eine große Anzahl von Applications sichern können. Häufig ist jedoch nicht die Menge selbst das Hauptproblem. Die Qualität und Vollständigkeit der für jede Application verfügbaren Informationen kann ein WAF-Projekt jedoch tatsächlich behindern und sollte zu weiteren Überlegungen hinsichtlich der Entwurfs- und Implementierungsstrategie führen. Erfahrungen mit WAF-Implementierungen sind äußerst hilfreich, um relevante Kriterien zu erkennen, eine Charakterisierung und Gruppierung von Applications festzulegen und das allgemeine WAF-Dienstdesign und die Implementierungsstrategie anzupassen.
  • Kunden vergessen häufig, im Vorfeld Überlegungen zu späteren Schritten anzustellen, um die Durchführbarkeit und Unterstützungsfähigkeit sicherzustellen. Dies ist wahrscheinlich der am häufigsten gemachte Fehler (d. h., die Lösung zu entwerfen und zu planen, ohne die Auswirkungen der ausgewählten Entwurfs- und Implementierungsmodelle auf den langfristigen Betrieb dieser Lösung in einer Produktionsumgebung zu untersuchen). Ein häufiges Beispiel ist die Unterschätzung der Ressourcen, die zur Aufrechterhaltung hochentwickelter WAF-Richtlinien erforderlich sind, während die gesamte Umgebung regelmäßigen Änderungen von allen Seiten ausgesetzt ist: Bedrohungen, Schadensbegrenzungen, Application usw.
Die F5-Lösung
F5 Professional Services passt die Lösung an Ihre Umgebung an

Der umfassende Funktionsumfang von BIG-IP Advanced WAF, wie beispielsweise mehrere Bereitstellungsmethoden (einschließlich Policy Builder für echten Datenverkehr), manuelles Lernen und erweiterte Features wie die Integration von Schwachstellenscannern, Angriffssignaturen, Brute-Force-Prävention, Geolokalisierungskontrolle, Bot-Erkennung, DDoS-Mitigation und mehr, ermöglichen schnelle, zweckdienliche Konfigurationen, die anschließend skaliert und verbessert werden können, um der sich entwickelnden Welt der Bedrohungen gerecht zu werden und die anspruchsvollsten Kundenanforderungen zu erfüllen.

F5 Professional Services hat den Advanced WAF Launchpad-Dienst speziell für Kunden entwickelt, die das Advanced WAF BIG-IP-Modul gekauft und manchmal sogar bereitgestellt haben, aber noch keinen effektiven WAF-Dienst bereitgestellt haben (z. B. mit wenigen Richtlinien nur im transparenten Modus).

Der Advanced WAF Launchpad-Dienst kann die Fachkompetenz und Erfahrung von F5 Professional Services nutzen, um Kunden bei der Überwindung spezifischer Anwendungsfallprobleme zu unterstützen und ein erfolgreiches Advanced WAF Implementierungsprojekt durchzuführen.

Leistungsumfang

Der Service umfasst die Zusammenarbeit zwischen einem Sicherheitsexperten von F5 Professional Services und den Sicherheits-, Infrastruktur-, Netzwerk- und Anwendungsmanagement des Kunden.

Das zweifache Ziel des Dienstes besteht darin, unter Verwendung der Best Practices von F5 eine zweckdienliche Strategie zur Implementierung von Advanced WAF -Richtlinien zu entwickeln und Know-how und Fachwissen zu vermitteln, das der Kunde direkt in die Praxis umsetzen kann.

Servicebereitstellungsansatz

Bei dem Service handelt es sich um ein zweitägiges Engagement, bei dem Theorie und Praxis der Advanced WAF Funktionen, Bereitstellungen und Verwaltungsanforderungen behandelt werden, um sicherzustellen, dass die Kunden das Vertrauen und die Fähigkeit haben, effektive Advanced WAF Lösungen für optimale Application zu implementieren.

Schritt 1: Advanced WAF -Design- und Bereitstellungsstrategie

Der erste Tag des Engagements beginnt mit einer Arbeitssitzung mit den Sicherheitsarchitekten, Designern, Ingenieuren, Betriebsmitarbeitern und anderen Beteiligten, die für das Advanced WAF Sicherheitsrichtlinienmanagement verantwortlich sind. Der F5-Berater wird die Datenerfassung und unparteiische Analyse des bestehenden Kontexts und der Ziele vorantreiben, Empfehlungen und bewährte Methoden bereitstellen und gründliche Überlegungen anstellen, um eine Design- und Implementierungsstrategie auf hoher Ebene zu entwickeln.

Am Ende des ersten Tages erstellt der F5-Berater einen Bericht, in dem die Ergebnisse und Empfehlungen hervorgehoben werden.

Schritt 2: Richtlinienerstellung und -implementierung

Dieser Schritt besteht darin, eine Richtlinie zu erstellen und sie auf einen virtueller Server anzuwenden, um eine bestimmte Application abzudecken. Die Aufgabe kann entweder auf einmal ausgeführt oder in einzelne Unteraufgaben aufgeteilt werden, um sie an die gewählte Strategie zur Richtlinienumsetzung anzupassen.

So kann beispielsweise die Implementierung einer Richtlinie in einem Kundentestumfeld mit der Methode der schnelle Bereitstellung in einer Sitzung durchgeführt werden, während die Generierung einer Richtlinie mit dem Automatic Policy Builder (d. h. wo „echter“ Datenverkehr über einen längeren Zeitraum hinweg zur Überprüfung zur Verfügung steht) in eine Unteraufgabe zur Einrichtung der Basisrichtlinie und eine spätere Unteraufgabe zur Durchführung der Richtlinienoptimierung und des Übergangs in den Sperrmodus aufgeteilt werden kann.

Abschluss

Live-Support durch einen erfahrenen Berater mit dem entsprechenden Fachwissen und der entsprechenden Erfahrung hat sich sehr oft als die beste Lösung erwiesen, um ein WAF-Dienstbereitstellungsprojekt auf den richtigen Weg zu bringen und Besitzern von Advanced WAF dabei zu helfen, fundierte und effiziente Entscheidungen zu treffen.

Weitere Informationen zum BIG-IP Advanced WAF Launchpad-Dienst erhalten Sie von F5 Professional Services .

Veröffentlicht am 21. März 2018
  • Auf Facebook teilen
  • Teilen mit X
  • Auf Linkedin teilen
  • Teilen per E-Mail
  • Teilen über AddThis

Verbinden mit F5

F5 Labs

Die neuesten Erkenntnisse im Bereich Anwendungsbedrohungsinformationen.

Zu F5 Labs

DevCentral

Die F5-Community für Diskussionsforen und Expertenartikel.

Zu DevCentral

F5-Newsroom

Neuigkeiten, F5-Blogs und mehr.

Zum Newsroom