Der sichere Weg zu geeigneten WAF

Die Auswahl einer geeigneten WAF ist angesichts der vielen Produkte schwierig. Die entscheidenden Fragen lauten: Welche Funktionen und Aspekte sind wirklich wichtig? Wie lassen sich WAFs in eine bestehende Infrastruktur integrieren? Wie wird das Gerät installiert und verwaltet?

Sinnvoll ist es, nach folgenden Schritten vorzugehen:

1. Definieren Sie, was Sie mit dem Einsatz einer WAF erreichen können und was nicht. Ein Ziel kann sein, die Sicherheit im Rahmen einer umfassenden und schlagkräftigen Abwehrstrategie (Defense-in-Depth-Strategie) zu verbessern.

2. Bestimmen Sie, welche WAF-Architektur die beste für Sie ist und was Sie mit der Schutzsoftware erreichen wollen. Achten Sie darauf, dass die Lösung kompatibel mit vorhandenen Netzstrukturen sowie den eingesetzten Anwendungen und Geräten ist. Das Web Application Security Consortium (WASC) hat eine Serie von "Evaluationskriterien" erstellt, die hierbei hilfreich sein können.

3. Schätzen Sie ab, welchen Einfluss eine WAF auf bestehende Systeme und Prozesse nehmen kann. Planen Sie viel Zeit für die volle Bewertung der verschiedenen Produkte ein.

4. Klären Sie frühzeitig, wie sich eine WAF verwalten, unterstützen und betreiben lässt. Auch die Verantwortung muss zugeordnet werden. Möglicherweise entstehen unvorhergesehene Aufgaben, die die Gesamtkosten in die Höhe treiben. Es kann zum Beispiel nötig sein, neue Job-Funktionen an kritischen Organisationsschnittstellen zu schaffen.

5. Fordern Sie von Anbietern detaillierte Beschreibungen darüber, wie sie Ihre speziellen Probleme lösen. Bringen Sie sie dazu, Lösungen vorzuschlagen. Untersuchen Sie ihre Supportmöglichkeiten.

6. Betreiben Sie ein Pilotprojekt, um die Durchführbarkeit zu prüfen.

Eine WAF ist nicht nur ein technisch komplexes Bauteil, sondern wirkt sich auch organisatorisch auf das installierende Unternehmen aus. Sie sollte daher erst nach einer fundierten Analyse ausgewählt werden. (jha)