Braucht es die WAF noch?
Die Web Application Firewall wurde bereits in den 1990er Jahren erfunden. Aufgabe der WAF ist es, ergänzend zur eigentlichen Firewall ganze Web-Applikationen zu schützen. Mittlerweile sind Web-Applikationen sicherer geworden. Wozu braucht es also die WAF noch?
Die Herausforderungen damals...
Die WAF Entwickler hatten keine leichte Aufgabe. Eine WAF kostet nur und bringt keine neuen Funktionen in einer Anwendung. Wer also eine WAF verkaufen wollte, musste sich auf die These stützen, dass Webapplikationen unsicher sind und dass Webentwickler und Standard Softwarehersteller „Löcher“ in ihren Web-Anwendungen haben welche gestopft werden müssen. Mit einfachen Demos konnten die WAF Entwickler potentiellen Kunden diese Schwächen aufzeigen. Meist stopften aber die Webentwickler ihre Löcher gleich selber. Eine weitere Funktion, welche schneller Anklang im Markt fand, war die auf der WAF vorgelagerte Authentisierung von Benutzern. Dabei werden Benutzername, Passwort und z.B. ein Streichlistencode auf einer vorgelagerten WAF geprüft. Ist der Login erfolgreich, reicht die WAF den nun korrekt authentisierten Benutzer an die Anwendung, z.B. ein E-Banking, weiter.
...und heute
Oben erwähnte Szenarien haben zwar nach wie vor Gültigkeit, doch heute wird von einer WAF einiges mehr verlangt. Neben neuen Protokollen wie SOAP oder Filtern wie Black-/Whitelist und Antivirus muss vor allem das Content Delivery unterstützt werden. D.h. eine WAF muss auch Loadbalancing Funktionen übernehmen, Caching Mechanismen unterstützen und Hypes bzw. grosse Anstürme auf eine Website verkraften können. Gerade bei solchen Hypes sind „Wartefunktionen“ für Surfer eine grosse Herausforderung. Auch Single Sign On Lösungen sind mehr den je gewünscht. Dies bedingt eine nahtlose Integration der WAF in Authentisierungsmechanismen wie SAML bzw. die Unterstützung von Identity Management Tools.
Was heisst das?
Webapplikationen sind zwar sicherer geworden, aber nach wie vor tauchen neue Lücken auf. Bis eine solche Lücke auf Applikationsebene geschlossen ist, dauert es seine Zeit. Mit einer WAF dagegen kann die Gefahr mit einer Änderung der Konfiguration sofort beseitigt werden. Mit den zusätzlichen Funktionen (Authentisierung, Content Delivery etc.) sorgt eine WAF nicht nur für mehr Sicherheit, sondern auch für eine bessere User Experience. Die Antwort auf die Frage ist also ein klares mit "Ja": Die WAF braucht es noch!