Einsatzgebiete von Azure Web Application Firewall

  • 8 Minuten

Sie wissen, was der Azure Web Application Firewall-Dienst ist und wie er funktioniert. Nun benötigen Sie einige Kriterien, anhand derer Sie beurteilen können, ob Azure Web Application Firewall für Ihr Unternehmen eine geeignete Wahl ist. Wir betrachten nun folgende Szenarios, um Ihnen bei der Entscheidung zu helfen:

  • Web-Apps mit vertraulichen oder proprietären Daten
  • Web-Apps, für die sich Benutzer anmelden müssen
  • Web-App-Entwickler ohne Sicherheitskenntnisse
  • Andere Prioritäten der Web-App-Entwickler
  • Budgeteinschränkungen bei der Web-App-Entwicklung
  • Zeiteinschränkungen bei der Web-App-Entwicklung
  • Anforderung zur schnellen Erstellung und Bereitstellung der Web-App
  • Anspruchsvoller Start der Web-App

Im Zuge Ihrer Azure Web Application Firewall-Evaluierung wissen Sie, dass für Contoso einige dieser Szenarios zutrifft. Weitere Informationen finden Sie in den zugehörigen Abschnitten.

Web-Apps mit vertraulichen oder proprietären Daten

Einige Angreifer im Web werden nur durch die Herausforderung motiviert, in ein System einzubrechen. Die meisten böswilligen Hacker verwenden jedoch Einschleusungen, Protokollangriffe und ähnliche Exploits, und immer mit einer Geldforderung im Hinterkopf. Diese Geldforderung kann wie folgt aussehen:

  • Kreditkartennummern von Kunden
  • Vertrauliche personenbezogene Daten wie die Führerschein- oder Reisepassnummer
  • Proprietäre Daten oder geheime Unternehmensdaten

Ein Angreifer kann diese Daten unmittelbar verwenden. Beispielsweise kann der Benutzer Produkte mit einer gestohlenen Kreditkartennummer erwerben. Es ist jedoch wahrscheinlicher, dass der Angreifer die Daten auf dem digitalen Schwarzmarkt verkauft oder sie für eine Lösegeldforderung aufbewahrt.

Wenn in Ihrem Unternehmen eine oder mehrere Web-Apps ausgeführt werden, die vertrauliche oder proprietäre Daten speichern, kann Azure Web Application Firewall diese Daten vor Eindring- und Exfiltrationsversuchen schützen.

Web-Apps, für die sich Benutzer anmelden müssen

Angreifer von Web-Apps versuchen oft, an die Benutzernamen und Kennwörter für ein Konto zu gelangen. Der Angreifer kann die Anmeldeinformationen des Benutzerkontos wie folgt verwenden:

  • Der Angreifer kann als autorisierter Benutzer auf die App zugreifen.
  • Der Angreifer kann möglicherweise Skripts oder Befehle mit erhöhten Rechten ausführen.
  • Der Angreifer kann möglicherweise auf andere Teile des Netzwerks zugreifen.
  • Der Angreifer kann sich möglicherweise mit den Anmeldeinformationen eines Kontos bei anderen Websites und Diensten anmelden.

Verwendet Ihr Unternehmen Web-Apps, für die sich Benutzer anmelden müssen? Azure Web Application Firewall kann Exploits wie die Einschleusung von SQL-Befehlen und die lokale Dateieinbindung erkennen, die versuchen, Kontoanmeldeinformationen anzuzeigen oder zu stehlen.

Wichtig

Beachten Sie, dass es sich bei Azure Web Application Firewall nur um einen Aspekt einer verzweigten Netzwerksicherheitsstrategie handelt. Für Anmeldedaten kann diese Strategie auch strenge Kennwortanforderungen umfassen und dass Kennwörter in verschlüsselter Form gespeichert werden müssen.

Web-App-Entwickler ohne Sicherheitskenntnisse

Das Programmieren für das vollständige Spektrum potenzieller Web-App-Exploits erfordert tiefgreifende Kenntnisse. Dieses Fachwissen umfasst detailliertes Wissen zu den folgenden Konzepten:

  • Die allgemeine Struktur von HTTP/HTTPS-Anforderungen und -Antworten
  • Bestimmte HTTP/HTTPS-Anforderungstypen wie GET, POST und PUT
  • URL- und UTF-Codierung
  • Benutzer-Agents, Abfragezeichenfolgen und andere Variablen
  • Befehle, Pfade, Shells und ähnliche Daten für mehrere Serverbetriebssysteme
  • Front-End-Webtechnologien wie HTML, CSS und JavaScript
  • Serverseitige Webtechnologien wie SQL, PHP und Benutzersitzungen

Was geschieht, wenn dem Webentwicklungsteam Ihres Unternehmens in einem oder mehreren dieser Konzepte Wissen fehlt? In diesem Fall sind Ihre Web-Apps für mehrere Exploits anfällig. Im Gegensatz dazu wird der Azure Web Application Firewall-Dienst von einem Team von Microsoft-Sicherheitsexperten verwaltet und aktualisiert.

Andere Prioritäten der Web-App-Entwickler*innen

Es ist unwahrscheinlich, dass Ihr Unternehmen seine Web-Apps bereitstellt, um ausschließlich Exploits wie z. B. die Einschleusung von SQL-Befehlen und die Ausführung von Remotebefehlen zu vereiteln. Es ist weitaus wahrscheinlicher, dass Ihr Unternehmen einen anderen Zweck für die Web-Apps vorsieht. Dieser Zweck könnte darin bestehen, Produkte zu verkaufen, Dienste bereitzustellen oder das Geschäft voranzutreiben.

Wahrscheinlich möchten Sie, dass sich Ihr Webentwicklungsteam auf die Erfüllung dieser Zwecke konzentriert und weniger auf das Schreiben von robustem Code für den Schutz der App. Mit Azure Web Application Firewall kann sich Microsoft um die Sicherheit kümmern, während sich Ihr Team ganz auf Ihr Unternehmen konzentrieren kann.

Budgeteinschränkungen bei der Web-App-Entwicklung

Die interne Programmierung zum Schutz gegen alle OWASP-Exploits ist ein kostspieliges Unterfangen:

  • Webentwickler mit dem erforderlichen Sicherheitsfachwissen sind relativ selten. Diese Entwickler können höhere Gehälter als ihre Kollegen einfordern, die nicht über ein solches Fachwissen verfügen.
  • Das Programmieren für den gesamten Bereich von Web-App-Exploits ist kein einmaliges Unterfangen. Sobald neue oder geänderte Exploits bekannt werden, muss Ihr Team kontinuierlich seinen Sicherheitscode verwalten und aktualisieren. Ihre Sicherheitsexpert*innen müssen ständige Mitglieder Ihres Webentwicklungsteams werden und dementsprechend fest in Ihr Budget mit eingeplant werden.

Azure Web Application Firewall ist kein kostenloser Dienst. Vielleicht stellt er aber eine kosteneffizientere Lösung für Sie dar, als ein Team von Sicherheitsexperten in Vollzeit anzustellen.

Zeiteinschränkungen bei der Web-App-Entwicklung

Viele Webentwicklungsteams programmieren intern im Bereich von OWASP-Exploits. Die meisten dieser Teams erkennen jedoch bald, dass das Erstellen und Verwalten dieses Codes mühsam und zeitaufwändig ist. Wenn Sie versuchen, eine knappe Frist einzuhalten, um eine neue Web-App einzuführen, sind die Tausenden Personenstunden, die zum Schutz der App vor allen OWASP-Exploits erforderlich sind, eine große Hürde.

In nur wenigen Minuten können Sie mit Azure Web Application Firewall eine Azure Application Gateway-Instanz oder ein Azure Front Door-Profil konfigurieren.

Anforderung zur schnellen Erstellung und Bereitstellung der Web-App

Viele Web-Apps erfordern keinen vollständigen Entwicklungszyklus. Betrachten Sie beispielsweise die folgenden zwei App-Typen:

  • Proof of Concept: Die App soll nur beweisen, dass einige Techniken, Vorschläge oder Entwürfe machbar sind.
  • Minimum Viable Product (MVP): Die App enthält nur genügend Features, die von Early Adopters genutzt werden können, die für zukünftige Versionen Feedback bereitstellen.

Sowohl Proof-of-Concept-Web-Apps als auch MVP-Web-Apps sollen schnell erstellt und bereitgestellt werden können. In diesen Fällen ist es nicht sinnvoll, manuell Code gegen gängige Exploits zu generieren. Sie möchten diese Apps trotzdem vor böswilligen Akteuren schützen, deshalb ist es sinnvoll, diese hinter einer Web Application Firewall zu platzieren.

Anspruchsvoller Start der Web-App

Promotet Ihr Marketingteam bereits mit vollem Einsatz eine Web-App, die schon bald veröffentlicht werden soll? Postet das Team Benachrichtigungen auf verschiedenen Social Media-Plattformen, um die Werbetrommel für die App schon vor der Veröffentlichung zu rühren? Das ist großartig, aber wissen Sie, wer sonst noch an der Veröffentlichung Ihrer App interessiert sein könnte? Böswillige Benutzer, die versuchen könnten, das Release der App zu stören, indem Sie gängige Angriffe gegen die App einleiten.

Es macht deshalb Sinn, die Web-App mit Azure Web Application Firewall zu schützen, um solche Störungen zu vermeiden.