Application Security

Der WAF muss mitgeteilt werden, wo Eingabeformulare liegen, wie Nutzer:innen durch die Seiten navigieren, an welchen Stellen Daten ein- oder auszugeben sind. Nur so lassen sich beispielsweise SQL-Injections oder nicht autorisierte Deeplinks auf Seiten mit sensiblen Inhalten unterbinden. Um die Zahl der falsch-positiven Log-Einträge zu minimieren, gilt es nur die Erkennungsmuster zu aktivieren, die auch zur jeweiligen Umgebung passen.

Inzwischen sind WAFs so mächtig und komplex, dass ein simples Installieren beinahe keinen Mehrwert liefert. Im Gegenteil, wenn der integrierte Lernmodus der WAF vor der Inbetriebnahme falsch angewendet wird, schaltet die Web Application Firewall im Realbetrieb wahrscheinlich auf Durchzug.

Wenn Sie ensec mit der Integration einer WAF zum Schutz Ihrer Web-Apps betrauen, sind Sie vor solchen fatalen Konfigurationsfehlern sicher. Wir haben jahrelange Erfahrung im Umgang mit WAFs und parametrisieren die Web Application Firewall anhand des tatsächlichen Schutzbedarfs Ihrer jeweiligen Umgebung – eine wahrlich massgeschneiderte Lösung. Wir wissen auch um die Stärken und Schwächen der Lösungen unserer Partner und weisen Sie bei Bedarf auf Einschränkungen hin.

Unsere Spezialist:innen können Ihnen auch bei der Entscheidung helfen, ob Sie besser per White- oder per Blacklist vorgehen. Erstere erfordert das erwähnte spezifische Anpassen der WAF an Ihre Applikation. Eine Blacklist lässt an sich jeglichen Datenverkehr zur Anwendung durch und filtert nur die als bösartig bekannten Muster heraus. Ob Sie mit dem einen oder dem anderen Ansatz besser fahren, erarbeiten unsere Fachleute mit Ihnen.

Auf Wunsch können wir die von uns konfigurierten WAFs und Load Balancer auch an Ihre containerisierten Umgebungen (Red Hat OpenShift, Kubernetes) anbinden und so per WAF kontrollieren. Da diese Umgebungen sehr dynamisch sind und es ständig neue Ein- und Austrittspunkte gibt, müssen die entsprechenden Regeln automatisch erstellt werden. Wir stellen sämtliche Weichen hierfür.

Eine sinnvolle Ergänzung zu einer Web Application Firewall ist die Authentisierung der Nutzer:innen vor dem Zugriff auf die jeweilige Web App. Ein Single-Sign-On-Portal leitet nur bekannte Anwender:innen zu den jeweiligen Anwendungen weiter. Da nur authentisierte Requests zur eigentlichen Applikation durchdringen, lassen sich zahlreiche Angriffe so im Keim ersticken. Die Angaben über die Nutzer:innen kann sich eine solche Lösung aus einem Active Directory oder einem anderen System zur Nutzerverwaltung ziehen.

Das Auslagern der Anmeldevorgänge zu einem einheitlichen Portal hilft auch beim Standardisieren der Authentifizierung beziehungsweise der Integration von Multifaktor-Anmeldeverfahren. Anstatt jede einzelne Web-Anwendung zu konfigurieren, gilt es lediglich das Login-Portal entsprechend einzurichten.