Airlock WAF 7.1: What’s new?
Seit rund einem halben Jahr ist die Airlock WAF Version 7.1 bei aspectra im Einsatz. Was sind die wichtigsten Neuerungen und weshalb dauert der Upgrade-Prozess so lange?
Zertifikate automatisch erneuern
Mit der Version 7.1 lassen sich auch auf der WAF Let’s-Encrypt-Zertifikate verwenden und Airlock unterstützt deren automatische Erneuerung. Jeweils 29 Tage vor Ablauf wird das Zertifikat neu erstellt. Diese Möglichkeit wird bereits bei diversen Applikationen unserer Kunden rege genutzt.
Sichere Schnittstellen
Nicht selten sind die zu schützenden Backend-Applikationen nicht Websites, sondern APIs. Airlock 7.1 unterstützt neu deren Validierung gemäss der OpenAPI-Spezifikation.
Als weiteres Feature wurde das REST API für die automatisierbare Konfiguration von Applikationen und Services mitgeliefert. Da dies noch nicht mandantenfähig ist, kommt es bei aspectra allerdings noch nicht zum Einsatz.
Testen, testen, testen…
Ein Upgrade von bestehenden WAFs im Betrieb ist nicht ganz ohne. So verging vom Release-Datum bis zum flächendeckenden Einsatz bei aspectra rund ein halbes Jahr. Einen neuen Release installieren wir zunächst immer auf unserer Entwicklungsumgebung. Ein Test-Team greift während zweier Wochen via Dev-WAF auf unsere eigenen Applikationen wie Corporate Website und das Kundenportal myaspectra zu. In einem nächsten Schritt wird der neue Release auf die UAT-Umgebungen gespielt. Es gibt sowohl eine shared als auch mehrere dedizierte Test-WAF-Umgebungen, in denen unsere Kunden auf ihre Test-Applikationen zugreifen können. Auch hier wird im besten Fall zwei Wochen getestet. Unsere Kunden sind bei diesen Tests bereits involviert. In dieser Phase werden auch neue Features ausprobiert und gegebenenfalls Konfigurationen auf den neuen Release angepasst.
Als einem der wichtigsten Betreiber von Airlock WAFs, kommt aspectra auch etwas die Rolle eines Beta-Testers zu. So konnten wir auch schon mal einen Bug aufdecken, den Ergon daraufhin mit einem Nach-Release behoben hat. Damit fängt das ganze Spiel dann nochmals von vorne an. Die produktiven Umgebungen werden schliesslich in einem Zug aktualisiert. Wir legen Wert darauf, nur eine einzige Version der Airlock WAF auf all unseren Umgebungen zu betreiben.
Mittlerweile ist bereits Airlock 7.2 verfügbar. Diese Version wird von uns allerdings übersprungen. Die nächste Version, Airlock WAF 7.3 ist auf November 2019 angekündigt. Weiteres dazu folgt auf diesem Kanal.
- TLS: Die ID für Domain Names: «Let’s Encrypt» (aspectra-Blog)
- Airlock WAF 7.1
- WAF as a Service (aspectra-Blog)