WAF
Web Application Firewall - So finden Sie die richtige Lösung für Ihr Unternehmen
Entscheidungshilfen von Trustwave
Webanwendungen sind nach wie vor unsicher. Im Trustwave Global Security Report 2018 konnten die IT-Forensiker der Trustwave SpiderLabs in 100 Prozent der untersuchten Anwendungen mindestens eine Sicherheitslücke entdecken. Die durchschnittliche Anzahl der Sicherheitslücken lag bei 11!
Eine Web Application Firewall (WAF) gehört deshalb weiterhin zu den wichtigsten IT-Security Lösungen für Unternehmen. Eine WAF kann Webanwendungen vor Attacken über das Hypertext Transfer Protocol (HTTP/HTTPS) schützen. Dazu überwacht eine WAF den Datenaustausch zwischen Client und Webserver und blockiert verdächtige Zugriffe.
Der Markt von Web Application Firewalls wächst stetig. Zwei der wichtigsten Gründe dafür sind die steigende Anzahl an Webanwendungen, die geschützt werden müssen und die zunehmenden Angriffe Cyberkrimineller auf diese Anwendungen. Aus diesem Grund hat sich auch die Funktionalität der WAFs deutlich verändert. Früher gab es nur wenige IT-Sicherheitsanbieter, die physische Appliances mit im Prinzip ähnlichen Funktionen anboten. Heute bieten Dutzende von Herstellern physische, virtuelle und Cloud-basierte Lösungen mit einer Vielzahl unterschiedlicher Funktionen an.
Für Unternehmen, die zum ersten Mal eine Web Application Firewall einsetzen oder ihre WAF ersetzen wollen, gibt es viel zu beachten. Die Experten von Trustwave erklären, welche Fragen sich Unternehmen stellen müssen, um die beste Web Application Firewall für ihre Bedürfnisse zu finden:
1. Welche Anwendungen sollen geschützt werden?
Im Idealfall sollte der WAF-Schutz bestmöglich auf die zu schützenden Anwendungen abgestimmt sein. Das heißt, wenn die zu schützenden Anwendungen überwiegend Cloud-basiert sind, ist eine Cloud-basierte Web Application Firewall die beste Option. Wenn die meisten Anwendungen und die IT-Umgebung lokal verwaltet werden, ist eine Web Application Firewall, die physisch oder virtuell betrieben wird, die beste Wahl. Da die meisten IT-Infrastrukturen heute hybrid sind, also aus On-Premises- und Cloud-Anwendungen bestehen, sollte man unterschiedliche WAF-Lösungen einsetzen. Es ist daher von Vorteil, einen WAF-Anbieter zu finden, der sowohl On-Premises- als auch Cloud-Optionen bietet. In diesem Fall muss man mit nur einem Anbieter zusammenarbeiten und sich auch nur in eine Technologie einarbeiten.
2. Passiv oder aktiv – In welchem Modus soll die Web Application Firewall betrieben werden?
Web Application Firewalls haben unterschiedliche Betriebsmodi. Wahlweise arbeiten sie passiv oder aktiv. Im passiven Modus überwacht eine Web Application Firewall den gesamten Web-Traffic, protokolliert Aktivitäten und führt Prüfungen durch. Eine passiv arbeitende WAF unterbindet den Datenverkehr aber in keinster Weise. Sie kann lediglich so konfiguriert werden, dass sie einen Alarm sendet oder besondere Ereignisse an andere Systeme wie eine SIEM zur Analyse sendet.
Eine Web Application Firewall, die im aktiven Modus arbeitet, kann dagegen den Datenverkehr manipulieren. Je nach Richtlinien kann diese WAF Daten verschleiern, Angriffe blockieren oder Workflows umleiten. Für welchen Betriebsmodus man sich entscheidet, hängt von den individuellen Bedürfnissen ab. Eine WAF im aktiven Modus kann einen besseren Schutz bieten, da bösartiger Datenverkehr unterbunden wird. Sie kann aber auch den legitimen Datenverkehr blockieren und Falschmeldungen produzieren.
Die meisten WAFS, die als physische oder virtuelle Appliance bereit gestellt werden, sind flexibel. Sie können sowohl im passiven als auch aktiven Betriebsmodus genutzt werden. Wenn man eine Web Application Firewall in einer Cloud-Infrastruktur oder als Teil eines SaaS-Modells einsetzt, ist diese oft auf den aktiven Betriebsmodus beschränkt. Für Webanwendungen ist das nicht unbedingt die beste Lösung.
3. Wie viele und welche Daten soll die WAF sammeln?
Je nach Konfiguration kann eine Web Application Firewall eine Unmenge an Daten mitprotokollieren. Compliance Richtlinien legen im Regelfall fest, welche Daten gesammelt und wie diese gespeichert werden sollen. Alternativ kann auch die Art der Anwendung, zum Beispiel eine E-Commerce-App – festlegen, welche Daten wie – zum Beispiel verschlüsselt – gespeichert werden müssen.
Auch in diesem Fall kommt es darauf an, wie die Web Application Firewall im Unternehmen genutzt wird. Unternehmen, die die volle Kontrolle über ihre Daten haben möchten, wählen am besten eine physische oder virtuelle WAF. Wer die WAF eines Cloud-Infrastrukturanbieters wie AWS oder Microsoft Azure nutzt, bekommt ein hohes Maß an Transparenz und Kontrolle, da sich die Daten im eigenen Teil des Netzwerks befinden. Eine SaaS-basierte WAF bietet zwar die geringste Transparenz und Kontrolle über die Daten, hat jedoch den Vorteil, dass die WAF-Infrastruktur nicht intern verwaltet werden muss.
4. Wie viel Zeit und Ressourcen kann für die Verwaltung der Web Application Firewall erübrigt werden?
Welche WAF-Lösung sich am besten für ein Unternehmen eignet, hängt natürlich auch davon ab, wie viel Zeit IT-Mitarbeiter für die Administration der Web Application Firewall erübrigen können. Bei Cloud- und SaaS-Lösungen übernimmt der jeweilige Anbieter den Großteil der Verwaltungsarbeit, bei On-Premises-Lösungen sind es im Regelfall interne Mitarbeiter, die sich um Software-Updates, Patches und vieles mehr kümmern müssen. Unabhängig davon, für welche WAF-Lösung sich Unternehmen entscheiden: Solange man keinen Managed-Web-Application-Firewall-Dienst nutzt, wird die Verwaltung einer WAF täglich Zeit und Ressourcen in Anspruch nehmen.
5. Wie teuer ist eine Web Application Firewall?
Bei der Lizenzierung einer Web Application Firewall müssen neben dem anfänglichen Kaufpreis auch die laufenden Kosten berücksichtigt werden. Dazu gehören unter anderem Kosten für die Inbetriebnahme der WAF und Kosten für Schulungen.
Bei den laufenden Kosten gibt es wichtige Unterschiede zwischen On-Premises-Lösungen und Cloud-basierten WAFs. Bei On-Premises-Lösungen fallen zum Beispiel folgende Kosten an:
- Initiale Hardware-Kosten
- Kosten für Ersatzteile
- Strom- und Kühlungskosten
- Kosten für Wartungsarbeiten
- Höhere Personalkosten, da der laufende Betrieb auch während der Urlaubszeit gesichert sein muss.
Bei Cloud-basierten WAFs fallen Kosten für Hardware und Strom zwar weg, dafür muss man berücksichtigen, ob die Gebühren fest oder variabel sind.
Tipp: Das Sicherheitsunternehmen Trustwave bietet sowohl eine Enterprise WAF-Lösung als auch einen Managed WAF Service an.