WAF in der Cloud
Zum Einstig in das Thema Web Application Firewall (WAF) in der Cloud sind zwei Arten von WAF-Cloud-Services zu unterscheiden: erstens Cloud Provider, die SaaS (Software as a Service) anbieten, zweitens WAF-Cloud-Services, die lediglich die WAF-Funktionen in die Cloud verlagern.Der erste Fall ist recht unspektakulär, da es sich hier lediglich um einen Provider handelt, der Dienste für viele Kunden im eigenen Rechenzentrum anbietet. Dort ist eine komplette IT-Infrastruktur vorhanden, mit Netzwerk-Firewall, Routern, Switches, IDS/IPS (Intrusion Detection/Prevention System), Antiviren-Gateways und eben auch Web Application Firewalls. Bei der Auswahl von Outsourcing- oder Cloud-Providern sollte man immer darauf achten, dass eine WAF zur Absicherung der Unternehmens-Web-Applikationen wie zum Beispiel OWA (Outlook Web Access) oder SAP-Anwendungen zum Einsatz kommt. Im zweiten Fall, der Verlagerung von WAF-Funktionen in die Cloud, sind deutlich mehr Faktoren in Betracht zu ziehen. Diese Variante bietet Vorteile wie auch Nachteile. Zunächst die Vorteile: Eine WAF in der Cloud ist im Normalfall für den "unbedarften" Benutzer ausgelegt und verbindet bekannte Security-Funktionalität wie Blacklists oder Scoringlists mit einer sehr einfach zu bedienenden Anwenderoberfläche. Oft lässt sich die Sicherheit nur in einfachen Stufen anpassen, zum Beispiel "niedrig", "mittel" und "hoch". Die Kosten sind aufgrund der geringen Einstellungsmöglichkeiten meist deutlich geringer als bei einer Anschaffung im eigenen Rechenzentrum. WAF in der Cloud mit Nachteilen Leider überwiegen bei der Lösung, eine WAF in der Cloud zu betreiben, die Nachteile: Zum einen stellen die geringen Konfigurationsmöglichkeiten eine Schwachstelle dar, wenn es darum geht, Besonderheiten umzusetzen. Wenn eine Applikation zum Beispiel nicht 100-prozentig im HTTP-Standard arbeitet und spezielle Ausnahmen oder Umschreibungen zu definierensind, ist die Konfiguration einer Cloud-WAF schnell am Ende ihrer Möglichkeiten ang
