Wer braucht warum eine WAF?
Eine WAF kann weder auf Knopfdruck die Schwachstellen einer unsicheren Software beheben, noch entbindet sie Hersteller und Anwender davon, zuverlässige Programme zu entwickeln. Trotzdem kann sie als Bestandteil einer umfassenden Strategie zur Sicherung von Web-Anwendungen, die auch sichere Entwicklungsverfahren sowie die Verwaltung und Überwachung einschließt, sehr nützlich sein. Soll eine WAF angeschafft werden, um Compliance-Vorschriften wie PCI-DSS (siehe Kasten "Informationsquellen") zu erfüllen, gilt es ebenfalls Vorsicht walten zu lassen. Auch wenn möglicherweise knappe Fristen zur schnellen Entscheidung drängen, sollte vor der Anschaffung eine fundierte Analyse stehen. Die gewählte Lösung muss mit den betrieblichen Sicherheitsrichtlinien vereinbar sein, die (hoffentlich) Ziele und Anforderungen für die Sicherung von Daten und Diensten definieren.
Die Produktwahl muss sich auf eine realistische Einschätzung stützen, welche Arten von WAFs zur Verfügung stehen, welche Einschränkungen sie haben und - ganz besonders - wie sich diese neuen Komponenten betreiben und verwalten lassen.
Informationsquellen
Forschungsbericht WAF von Optima Business Information Technology: Der Bericht liefert einen herstellerübergreifenden, unabhängigen Überblick über Web Application Firewalls, die ihnen zugrunde liegenden Verfahren sowie Grenzen und Möglichkeiten der Technik. Den Abschluss bildet eine Studie über fünf verschiedene WAF-Systeme, in der die Auswirkungen der Systeme auf die Performanz der Gesamtanwendung verdeutlicht werden. Sie kostet knapp 200 Euro.
http://optimabit.com/de/optima/news
PCI-DSS: Um sicherzustellen, dass eine WAF für PCI-DSS-Compliance-Zwecke geeignet ist, sollten Sie ihre Fähigkeiten mit den Empfehlungen in der Informationsergänzung "Requirement 6.6 Code Reviews and Application Firewalls Clarified" vergleichen, die vom PCI Security Standards Council herausgegeben wird.
https://www.pcisecuritystandards.org/pdfs/infosupp_6_6_applicationfirewalls_codereviews.pdf
Das Web Application Security Consortium (WASC) definiert und empfiehlt Standards für Web-Anwendungssicherheit. Sie haben die "Web Application Firewall Evaluation Criteria" (WAFEC) für Vergleiche entwickelt.
http://www.webappsec.org/projects/wafec/
White Hat: Dieser Bericht fasst die Schwachstellen von Web-Anwendungen Hunderter Websites zusammen und bietet nützliche Einblicke in die am weitesten verbreiteten und am schwierigsten zu behebenden Probleme.
http://www.whitehatsec.com/home/assets/WPstats0808.pdf
OWASP: Das OWASP (Open Web Application Security Project) bietet kostenlose Dokumente, Werkzeuge und Artikel, um die Sicherheit von Web-Anwendungen zu verbessern.