Web Application Firewalls

Grundschutz für Web-Applikationen

15.04.2008
Von Katharina Friedmann

Best-of-Breed statt All-in-one

Dieses Feature hat mittlerweile auch Art of Defence seiner WAF-Lösung "Hyperguard" spendiert. Die Schutzsoftware des Regensburger Unternehmens stellt in gewisser Weise einen Exoten unter den in der Regel vor den Web-Servern platzierten, als Softwarelösungen oder Hardware-Appliances konzipierten WAFs dar: Das Host-basierende Hyperguard lässt sich als Plug-in direkt im Web-Server installieren, kann aber auch in anderen Wirtssystemen wie Load Balancern (ZXTM von Zeus Technology), Reverse Proxys (etwa Microsoft ISA-Server) oder als Add-on in Netz-Firewalls (Genuscreen von Genua) sitzen. "Wir versuchen, das Thema Web Application Security als Best-of-Breed-Lösung für den Kunden dort abzubilden, wo er es haben möchte", beschreibt Georg Heß, CEO bei Art of Defence, den WAF-Ansatz seines Unternehmens. Ziel sei es, den sehr unterschiedlichen Ausgangssituationen und Zukunftsvisionen in den Unternehmen gerecht zu werden. Als Vorteile des Plug-in-Prinzips insbesondere für schnell wachsende, verteilte Infrastrukturen hebt Heß die einfache Installation sowie hohe Skalierbarkeit von Hyperguard hervor. Zudem soll es das "Application Defence Center" der WAF ermöglichen, sämtliche, selbst nicht inhouse befindliche, sondern auf Rechenzentren verschiedener Partnerunternehmen verteilte Hyperguard-Instanzen zentral zu überwachen und zu verwalten. "Dies ermöglicht es Unternehmen, den Überblick über dezentrale Strukturen zu bewahren und ihre Web-Applikationen separat im Blick zu behalten."

Neben dem grundsätzlichen Schutz gegen Hacker-Attacken auf Anwendungsebene bieten heutige WAFs auch applikationsübergreifende Sicherheitsdienste wie beispielsweise Single-Sign-on-Möglichkeiten (SSO) mit vorgelagerter Authentifizierung - so etwa Visonys Airlock. Die Integration der Authentifizierung in die WAF ermögliche neben zusätzlicher Sicherheit Kosteneinsparungen bei der Applikationsentwicklung, da diese nicht mehr jeweils eigens implementiert werden müsse, so Visonys' Deutschland-Chef Estermann. Als weiteres Beispiel für Aufgaben, die sich zentral an eine WAF delegieren lassen, nennt Securenet-Experte Schreiber die Abwehr so genannter Data-Mining-Angriffe, sprich: den Schutz vor dem ungewünschten Auslesen der gesamten Datenbank durch das Senden Tausender Requests mit jeweils variierendem Parameter. (kf)