Fastly
Fastly ist eine führende Edge-Cloud-Plattform, die für die Erstellung, Sicherung und Bereitstellung schneller, skalierbarer digitaler Erlebnisse entwickelt wurde. …
Fastly ist eine führende Edge-Cloud-Plattform, die für die Erstellung, Sicherung und Bereitstellung schneller, skalierbarer digitaler Erlebnisse entwickelt wurde. Sie kombiniert ein modernes CDN, robuste Sicherheitsfunktionen wie eine Next-Gen WAF und eine leistungsstarke serverlose Rechenumgebung. Fastly hilft Unternehmen, die Leistung zu verbessern, die Sicherheit zu erhöhen und näher an ihren Nutzern zu innovieren, mit spezifischen Lösungen für E-Commerce, Streaming und KI-gestützte Anwendungen.
Über Web Application Firewall
Eine Web Application Firewall (WAF) ist ein Sicherheitstool, das bösartigen HTTP/S-Verkehr zu und von einer Webanwendung filtert, überwacht und blockiert. Im Gegensatz zu herkömmlichen Netzwerk-Firewalls, die auf niedrigeren Netzwerkebenen arbeiten, funktioniert eine WAF auf der Anwendungsebene (Layer 7), um vor spezifischen webbasierten Angriffen wie SQL-Injection, Cross-Site-Scripting (XSS) und File Inclusion zu schützen. Durch die Überprüfung des Inhalts jeder Webanfrage und -antwort bieten diese Tools eine entscheidende Verteidigungsschicht für Websites, APIs und Online-Dienste. Viele moderne WAFs nutzen KI und maschinelles Lernen, um neue Zero-Day-Bedrohungen zu identifizieren und zu blockieren, indem sie Verkehrsmuster analysieren und Anomalien in Echtzeit erkennen.
Kernfunktionen
- OWASP Top 10 Schutz: Bietet dedizierte Regeln und Filter zur Minderung der kritischsten Sicherheitsrisiken für Webanwendungen, wie z. B. Injection-Fehler und fehlerhafte Authentifizierung.
- Bot-Abwehr: Identifiziert und blockiert bösartigen automatisierten Verkehr, einschließlich Scraper, Credential-Stuffing-Bots und Spam-Bots, während legitime Bots wie Suchmaschinen-Crawler zugelassen werden.
- DDoS-Abwehr auf Anwendungsebene: Absorbiert und filtert hochvolumige Distributed-Denial-of-Service (DDoS)-Angriffe, die auf die Anwendungsebene abzielen (z. B. HTTP-Floods), um die Dienstverfügbarkeit zu gewährleisten.
- API-Sicherheit: Schützt APIs durch Erzwingung von Schema-Validierung, Ratenbegrenzung und Blockierung von Anfragen, die gängige API-Schwachstellen ausnutzen.
- Virtuelles Patching: Ermöglicht Administratoren, sofortigen Schutz gegen neu entdeckte Schwachstellen anzuwenden, ohne den Quellcode der Anwendung zu ändern.
Anwendungsfälle
WAFs sind für jede Organisation mit einer öffentlich zugänglichen Webpräsenz unerlässlich. Sie werden häufig von E-Commerce-Plattformen zum Schutz von Kundendaten und Zahlungstransaktionen, von SaaS-Unternehmen zur Sicherung ihrer Anwendungen und APIs und von Finanzinstituten zur Einhaltung von Sicherheitsvorschriften eingesetzt. Content-Management-Systeme (CMS) wie WordPress und Joomla profitieren ebenfalls stark vom WAF-Schutz gegen häufige Plugin- und Theme-Schwachstellen.
Auswahlkriterien
Bei der Auswahl einer Web Application Firewall sollten Sie das Bereitstellungsmodell (cloud-basiert, vor Ort oder hybrid) berücksichtigen, das am besten zu Ihrer Infrastruktur passt. Bewerten Sie die Fähigkeit zur Anpassung von Sicherheitsregeln und die Falsch-Positiv-Rate, da zu aggressive Regeln legitimen Verkehr blockieren können. Beurteilen Sie auch die Auswirkungen auf die Leistung und Latenz der Anwendung, die Protokollierungs- und Berichtsfunktionen für die Sicherheitsanalyse und die Integration mit anderen Sicherheitstools wie SIEM-Systemen.
Web Application FirewallAnwendungsfälle
Schutz von E-Commerce-Websites vor Zahlungsbetrug
Ein E-Commerce-Plattform-Manager verwendet eine WAF, um den Checkout-Prozess abzusichern. Die WAF überprüft den gesamten eingehenden Verkehr zum Zahlungsgateway, identifiziert und blockiert bösartige Bots, die Credential-Stuffing- oder Carding-Angriffe versuchen. Sie wendet virtuelles Patching an, um vor bekannten Schwachstellen in der Warenkorb-Software zu schützen, und verwendet Ratenbegrenzung, um Brute-Force-Angriffe auf Anmeldeseiten zu verhindern. Dies stellt sicher, dass die Zahlungsdaten der Kunden sicher sind, die PCI-DSS-Konformität gewahrt bleibt und betrügerische Transaktionen, die zu erheblichen finanziellen Verlusten führen könnten, verhindert werden.
Sicherung von APIs für Mobil- und Webanwendungen
Ein Entwicklungsteam für ein SaaS-Produkt setzt eine WAF ein, um seine Backend-APIs zu schützen, die sowohl von einer mobilen App als auch von einem Web-Dashboard genutzt werden. Die WAF erzwingt ein strenges API-Schema und blockiert automatisch alle Anfragen, die nicht der erwarteten Struktur entsprechen, wie z. B. solche, die eine Parameter-Manipulation versuchen. Sie schützt auch vor gängigen API-Angriffen wie fehlerhafter Autorisierung auf Objektebene und Massenzuweisung und stellt sicher, dass ein Benutzer nicht auf die Daten eines anderen Benutzers zugreifen oder diese ändern kann. Dies bietet eine entscheidende Sicherheitsschicht, ohne umfangreiche Änderungen am Anwendungscode zu erfordern.
Abwehr von DDoS-Angriffen auf der Anwendungsebene
Ein beliebtes Online-Nachrichtenportal ist häufigen DDoS-Angriffen auf der Anwendungsebene ausgesetzt, wie z. B. HTTP-Floods, die seine Webserver überlasten und zu Dienstausfällen führen. Das IT-Team implementiert eine cloud-basierte WAF. Das globale Netzwerk der WAF absorbiert das massive Volumen an bösartigem Verkehr, bevor es die Infrastruktur des Portals erreicht. Es verwendet fortschrittliche Ratenbegrenzung und Verkehrsanalyse, um zwischen legitimem Leserverkehr und dem Angriff zu unterscheiden und sicherzustellen, dass die Website auch während eines groß angelegten Angriffs für die Öffentlichkeit verfügbar bleibt. Diese proaktive Verteidigung erhält die Betriebszeit und schützt den Ruf des Portals.
Verhinderung von Kontoübernahme-Angriffen (ATO)
Ein Finanzdienstleistungsunternehmen verwendet eine WAF mit fortschrittlicher Bot-Erkennung, um Kontoübernahme-Angriffe auf seinem Kundenportal zu verhindern. Die WAF analysiert das Benutzerverhalten, Geräte-Fingerabdrücke und die IP-Reputation, um verdächtige Anmeldeversuche zu identifizieren, die für Credential Stuffing charakteristisch sind. Wenn ein potenzieller ATO-Angriff erkannt wird, kann die WAF die betreffende IP-Adresse automatisch blockieren oder eine CAPTCHA-Herausforderung präsentieren, um zu überprüfen, ob der Benutzer ein Mensch ist. Dies schützt Kundenkonten vor unbefugtem Zugriff und Betrug, schafft Vertrauen und reduziert die Haftung des Unternehmens.
Anwendung virtueller Patches für Zero-Day-Schwachstellen
Ein Sicherheitsteam erfährt von einer kritischen Zero-Day-Schwachstelle im Open-Source-CMS, das ihre Unternehmenswebsite betreibt. Während sie auf den offiziellen Patch vom CMS-Anbieter warten, was Tage dauern kann, verwenden sie ihre WAF, um einen virtuellen Patch anzuwenden. Der Sicherheitsadministrator erstellt eine benutzerdefinierte Regel in der WAF, die speziell Verkehrsmuster blockiert, die versuchen, diese neue Schwachstelle auszunutzen. Dies bietet sofortigen, gezielten Schutz, schließt effektiv die Sicherheitslücke und verschafft dem Entwicklungsteam entscheidende Zeit, um das offizielle Software-Update zu testen und bereitzustellen, ohne die Website einem Angriff auszusetzen.
Blockieren von bösartigen Bots und Content-Scrapern
Ein Online-Verlag investiert stark in die Erstellung einzigartiger Inhalte, stellt jedoch fest, dass Wettbewerber automatisierte Scraper verwenden, um diese zu stehlen und erneut zu veröffentlichen. Sie konfigurieren die Bot-Management-Funktionen ihrer WAF, um diese Scraper zu blockieren. Die WAF verwendet Techniken wie JavaScript-Herausforderungen, Geräte-Fingerprinting und Verhaltensanalysen, um menschliche Besucher von automatisierten Bots zu unterscheiden. Sie blockiert bekannte bösartige User-Agents und IP-Adressen von Bot-Netzwerken und stellt gleichzeitig sicher, dass legitime Crawler von Suchmaschinen weiterhin auf die Website zugreifen und sie indizieren können. Dies schützt ihr geistiges Eigentum und erhält ihre SEO-Rankings.