Welche Funktion erfüllt eine WAF im Netzwerk?

Eine WAF in Netzwerkumgebungen ist eine Web Application Firewall, die schädliche Aktivitäten im Web-Traffic erkennt und Bedrohungen für Websites, Web-Dienste, Webserver und Webanwendungen blockiert. Eine WAF im Netzwerk bietet eine andere Art von Schutz als eine Standard-Firewall, die als Filter für internen und externen Netzwerktraffic dient.

Eine Web Application Firewall ist eine Sicherheitslösung, die eine wichtige Verteidigungsebene für Websites, Webanwendungen, mobile Anwendungen und APIs bietet. Eine WAF in Netzwerkumgebungen überwacht und filtert sowohl den eingehenden als auch den ausgehenden HTTP-Traffic, um Bedrohungen zu identifizieren, wie beispielsweise Malware, schädliche Bots, Zero-Day-Exploits und andere webbezogene Angriffe, die darauf abzielen, auf Ressourcen zuzugreifen, die Sicherheit zu gefährden oder die Verfügbarkeit zu beeinträchtigen.

Im Zuge der digitalen Transformation wurde die WAF in einem umfassenden Cybersicherheitsprogramm unverzichtbar. Unternehmen, die E-Commerce betreiben oder Geschäfte über das Internet tätigen, können mithilfe einer WAF Angriffe verhindern, die darauf abzielen, unbefugten Zugriff auf IT-Umgebungen zu erlangen oder vertrauliche Daten wie Kundeninformationen oder Kreditkartennummern zu stehlen. Banken, Einzelhändler und andere Unternehmen, die Zahlungskarten akzeptieren, können eine WAF verwenden, um die Compliance mit dem PCI DSS v4.0 (Payment Card Industry Data Security Standard)zu gewährleisten. Dieser Standard enthält Bestimmungen zum Schutz von Kunden und ihren Zahlungskarten. Unternehmen können eine WAF auch verwenden, um mobile Anwendungen sowie IoT-Netzwerke (Internet of Things) zu schützen und die allgemeine Cybersicherheit zu verbessern.

Als Reverse-Proxy-Technologie befindet sich eine WAF zwischen dem Internet und den Websites und Webanwendungen eines Unternehmens. Sie filtert den Web-Traffic und wendet vordefinierte Sicherheitsregeln und -richtlinien auf Internetzonen des Netzwerks an, um potenziell schädliche Kommunikation zu identifizieren. Eine WAF analysiert die Header, Abfragezeichenfolgen und den Text von HTTP-Anfragen (z. B. GET-Anfragen, POST-Anfragen, PUT-Anfragen und DELETE-Anfragen) und sucht nach schädlichen Anfragen, verdächtigen Mustern und bekannten Bedrohungen. Wenn eine Übereinstimmung gefunden wird, kann die Firewall die Anfrage blockieren und Sicherheitsteams benachrichtigen. Mit WAFs werden verschiedene Regeln oder Richtlinien bereitgestellt, die schädlichen Traffic identifizieren. Sicherheitsrichtlinien können schnell implementiert und geändert werden, um auf sich entwickelnde Angriffsvektoren zu reagieren. Bei einem DDoS-Angriff kann eine WAF in Netzwerkumgebungen beispielsweise schnell Ratenbegrenzungen implementieren, um übermäßige Anfragen abzuwehren.

Sicherheitsteams können verschiedene Arten von WAFs in Netzwerkumgebungen bereitstellen.

• Netzwerkbasierte WAFs sind in der Regel lokal installierte Anwendungen zum Minimieren der Latenz. Diese WAFs gehören in der Regel zu den kostspieligsten WAF-Optionen und machen es erforderlich, dass IT-Teams die Speicherung und Wartung physischer Geräte verwalten.
• Cloudbasierte WAFs bieten eine sofort einsatzbereite Option, die eine schnelle Bereitstellung, minimale Vorabkosten und eine vorhersehbare monatliche Abonnementgebühr ermöglicht. Cloudbasierte WAFs bieten Zugriff auf Echtzeit-Bedrohungsinformationen und können entweder als Inline-Lösung oder als API-basierter Out-of-Path-Service bereitgestellt werden.

Softwarebasierte oder hostbasierte WAFs werden als virtuelle Anwendung oder virtueller Agent in einer Public Cloud, in einer Private Cloud oder vor Ort bereitgestellt. Hostbasierte WAFs sind in der Regel kostengünstiger im Betrieb als netzwerkbasierte WAFs, ermöglichen jedoch eine bessere Anpassung als cloudbasierte WAF-Lösungen.

Eine WAF im Netzwerk unterscheidet sich von einer Netzwerk-Firewall. WAFs verwenden zur Bewertung des Layer-7-Traffics – der Anwendungsebene – ein regelbasiertes System, um sich vor webbezogenen Bedrohungen zu schützen. Herkömmliche Firewalls für die Netzwerksicherheit arbeiten auf Layer 3 und 4, um den Netzwerktraffic zu untersuchen und zu filtern und unbefugten Zugriff auf IT-Umgebungen zu verhindern.

Eine WAF kann traditionell eine Vielzahl von webbezogenen Bedrohungen und häufigen Angriffen erkennen und blockieren, darunter viele der Bedrohungen, die im Open Worldwide Application Security Project beschrieben wurden. Die OWASP Top 10-Sicherheitsrisiken für Webanwendungen sind:

• Schwachstellen bei der Zugriffssteuerung
• Kryptografische Fehler
• Injection
• Nicht sicheres Design
• Fehlerhafte Sicherheitskonfiguration
• Anfällige und veraltete Komponenten
• Fehlgeschlagene Identifizierungs- und Authentifizierungsversuche
• Software- und Datenintegritätsfehler
• Fehler bei der Sicherheitsprotokollierung und -überwachung
• Serverseitige Fälschung von Anfragen

• Bedrohungsabwehr. Eine WAF im Netzwerk kann Webanwendungen vor einer Vielzahl von Bedrohungen schützen, darunter Fehlkonfigurationen, SQL-Injections und Cross-Site Scripting.
• DDoS-Abwehr. Wenn ein DDoS-Angriff (Distributed Denial of Service) eine überwältigende Anzahl von Anfragen sendet, die darauf abzielen, eine Website oder Anwendung langsamer werden zu lassen oder zum Abstürzen zu bringen, kann mit einer WAF eine schnelle Ratenbegrenzung implementiert werden, um die Verfügbarkeit und den befugten Traffic auf Services zu gewährleisten.
• API-Schutz. Hacker greifen häufig APIs (Application Programming Interfaces) an, um unbefugten Zugriff zu erlangen oder die Anwendungsperformance zu beeinträchtigen. Durch die Überwachung und Analyse des eingehenden API-Traffics können WAFs potenziell missbräuchliche Anfragen blockieren.
• Analyse des KI/ML-Musters. Bei der Analyse von Webtrafficmustern mit Technologien für künstliche Intelligenz und maschinelles Lernen können WAFs Angriffe erkennen und blockieren, die nicht den Mustern bekannter Angriffe entsprechen.
• Überwachung und Protokollierung. Durch die Verwendung einer WAF zur Überwachung des Traffics und zur Analyse von Protokollen können Sicherheitsteams die Art der Bedrohungen für Webressourcen besser verstehen.
• Anwendungsprofile. Über die Erstellung von Anwendungsprofilen können WAFs potenziell schädliche Anfragen besser erkennen und blockieren, um die Struktur der Software, die häufigsten Abfragen und URLs sowie die zulässigen Datentypen zu erfassen.