Web-Anwendungen absichern

Die Suche nach der Web Application Firewall

| Autor / Redakteur: Oliver Schonschek* / Stephan Augsten

Verschiedene Kriterien entscheiden über die Wahl der richtigen Web Application Firewall.
Verschiedene Kriterien entscheiden über die Wahl der richtigen Web Application Firewall. (Bild: Vladislav Kochelaevs - Fotolia.com)

Mit einer Web Application Firewall lassen sich Web-Anwendungen gezielt kontrollieren und schützen, vorausgesetzt die Lösung passt wirklich zum Unternehmen. Security-Insider gibt Tipps zur Auswahl.

Die meisten Unternehmen testen die Sicherheit ihrer Web-Applikationen nicht und haben Probleme mit der Identifikation und Bewertung der Applikationsrisiken, wie die Ponemon-Studie „The State of Application Security“ zeigt. Umso wichtiger ist eine professionelle Sicherheitslösung, die die Web-Anwendungen so gut wie möglich abschirmt vor Angriffen aus dem Internet.

Insbesondere die Forderung 6.6 des PCI DSS (Payment Card Industry Data Security Standard) nach einer Web Application Firewall (WAF) lässt den Markt für WAFs deutlich wachsen, so die Studie „Global Web Application Firewall Market 2012 – 2016“ von TechNavio. Aber auch Branchen, in denen keine Kreditkartendaten geschützt werden müssen, sollten ihre Web Application Security mit einer WAF optimieren.

Das bietet eine WAF

Eine Web Application Firewall bietet eine zusätzliche Sicherheitsüberprüfung bei Zugriffen auf eine Web-Applikation. Die WAF sitzt dazu zwischen dem Webserver und den auf den Webserver zugreifenden Webbrowsern. Dabei versucht die WAF zu unterscheiden zwischen berechtigten Nutzerzugriffen und bösartigen Angriffen. Der Vorteil einer Web Application Firewall besteht in der nachträglichen Absicherung bereits bestehender Web-Apps, die über keinen ausreichenden Schutz gegen Web-Attacken verfügen.

Der WAF-Markt ist breit gefächert

Die Suche nach einer geeigneten Web Application Firewall ist jedoch nicht einfach, denn es gibt zahlreiche Lösungen auf dem Markt. Beispiele sind Akamai Web Application Firewall, Alertlogic Web Security Manager, Barracuda Web Application Firewall, F5 Web Application Firewall, IBM Security Network IPS, Qualysguard, Sophos Web Application Firewall, Radware AppWall und SecureSphere Web Application Firewall.

Alleine eine Web Application Firewall kann natürlich nicht die Web-Sicherheit garantieren. Kombinationslösungen wie Imperva Incapsula ergänzen die WAF zum Beispiel um eine inhaltsbasierte Sicherheitsprüfung (Content Security) und einen Schutz gegen DDoS-Attacken (Dedicated Denial of Service). Welche WAF die für das eigene Unternehmen geeignete ist, sollte genau geprüft werden.

Gezielte Suche, besserer Schutz für Web-Apps

Wichtige Funktionen und damit Anforderungen bei der Auswahl einer WAF sind unter anderem

  • die Umsetzung der internen Sicherheitsrichtlinien für alle relevanten Web-Anwendungen,
  • möglichst ein Selbstlernmodus zu erlaubten und verbotenen Anwendungen, da dies den Konfigurationsaufwand reduziert,
  • die Untersuchung des Netzwerkverkehrs für alle genutzten Protokolle wie HTTP, FTP und P2P,
  • die Prüfung von SSL-verschlüsselten Verbindungen,
  • einstellbare Reaktionen auf erkannte Gefahren, zum Beispiel durch Blockieren eines Benutzers,
  • die Entdeckung möglicher Risiken auf verschiedenen Wegen (signaturbasiertes Verfahren, regelbasiertes Verfahren, verbotene Anwendungen, erlaubte Anwendungen),
  • die Abwehr unerlaubter Zugriffe auf Cookies,
  • eine automatische Meldung von Bedrohungen an zuständige Stellen, zum Beispiel über Push-E-Mails sowie
  • die Erzeugung von übersichtlichen Berichten zu erkannten Web-Bedrohungen.

Mit der richtigen Web Application Firewall ist ein wichtiger Schritt hin zu mehr Web Application Security getan. Eine WAF ist jedoch kein Ersatz für die Beseitigung von Schwachstellen in den Web-Applikationen. Zur Web-Anwendungssicherheit gehören deshalb eine sichere Entwicklung und regelmäßiges Testen immer dazu.

Weitere Informationen hierzu finden Sie auch im eBook „Web Application Security“, in dem dieser Beitrag erstmals erschienen ist. Als registrierter Benutzer eines Insider-Portals können Sie das eBook kostenlos herunterladen.

Mehr Sicherheit für Webanwendungen

Neues eBook „Web Application Security“ von Security-Insider

Mehr Sicherheit für Webanwendungen

18.12.13 - Schwachstellen in Webanwendungen sind bevorzugte Einfallstore für Datendiebe. Die Sicherheitsrisiken, die sich in diesem Zusammenhang ergeben, werden leider allzu oft unterschätzt. Gerade kleine und mittlere Unternehmen müssen mehr für die Web Application Security tun. lesen

* Oliver Schonschek ist IT-Fachjournalist und IT-Analyst in Bad Ems.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43128977 / Mobile- und Web-Apps)