Web Application Firewalls Im Spannungsfeld traditioneller Infrastrukturen und Cloud-basierter Anwendungen

Transkript

1 IT Research Note Web Application Firewalls Im Spannungsfeld traditioneller Infrastrukturen und Cloud-basierter Anwendungen Die Frage, ob Unternehmen eine Web Application Firewall (WAF) benötigen oder nicht, lässt sich einfach beantworten: Sind unternehmenskritische Anwendungen webbasiert, dann müssen sie zwingend durch eine WAF abgesichert werden. Die WAF steht zu traditionellen Firewalls und Intrusion Detection Systemen (IDS) nicht im Widerspruch. Ganz im Gegenteil: sie ergänzt deren Funktionalitäten. Durch Anwendungen in der Cloud ergeben sich neue Herausforderungen sowohl für die Hersteller der Lösungen wie auch für deren Nutzer. Die folgende Research Note beleuchtet dieses neue Szenario und umreißt abschließend exemplarisch einen Lösungsvorschlag dazu. Analyst: Ulrich Parthier Datum: 26. September

2 Es lässt sich einfach erklären, warum WAFs heute sich einer starken Nachfrage erfreuen. Angriffe werden vermehrt auf der Anwendungsebene durchgeführt wie etwa bei XSS, SQL Injection. Firewalls sind aber häufig auf die Kontrolle der unteren Netzwerkschichten (IP, TCP) optimiert und sind eben gerade nicht für die Prüfung der Daten in der Anwendungsschicht entwickelt. Die Herausforderung der Anwendungsschicht wiederum liegt darin, dass diese nur minimal normiert ist und zudem Daten in HTML, XML, JSON, etc. verpackt sind. Um Daten in der Anwendungsschicht zu prüfen, muss eine Firewall intelligenter sein und die Verpackung verstehen, diese entfernen und die enthaltenen Daten dann interpretieren. Eine WAF kann HTTP auf Ebene 7 des OSI- Modells verstehen und analysieren. WAFs arbeiten im Datenstrom. Sie nehmen Verbindungen vom Client entgegen und bauen neue Verbindungen zum Anwendungsserver (meist dem Web-Server) auf. So können sie die weitergeleiteten Daten gezielt untersuchen und auch filtern. Ein häufig verwendeter Ansatz besteht in der Nutzung eines Reverse-Proxys. Hierbei fungiert die Web Application Firewall als umgekehrter, daher die Bezeichnung Reverse, Proxy-Server, der eingehende Verbindungen kontrolliert und weiterleitet. Die WAF prüft dann die Anfrage des Clients und stellt, falls kein Angriff erkannt wurde, eine interne Verbindung zum Applikationsserver her und leitet die Anfrage des Clients an diesen weiter. Selbiges Verfahren greift entsprechend auch auf dem Weg zurück zum Client. Der Einsatz einer WAF adressiert so zwei wichtige Bereiche: zum einen kann das Sicherheitsniveaus der zu schützenden Anwendungen erhöht werden. Zweitens dient der Einsatz der Separation of Concerns, also der Trennung von Verantwortlichkeiten beziehungsweise Aufgaben. von der Anwendung logisch getrennten System bieten einige Vorteile: 1. Die Kontrolle des Datenverkehrs durch eine zentrale Instanz. 2. Die Überprüfung der Sicherheitsrichtlinien unabhängig von den Einstellungen des Anwendungsservers. 3. Das Verändern der Sicherheitseinstellungen unabhängig vom Anwendungsserver. 4. Einbau einer zusätzlichen Schutzschicht unabhängig von der Anwendung und deren Weiterentwicklung. Neue Aspekte Die zunehmende Vernetzung bietet Unternehmen heute mehr Raum für Innovation und neuen Geschäftsmodellen. Cloud Computing vergrößert zudem auch die Einsatzfelder von Technologien, wie etwa Virtualisierung und verteilte Datenverarbeitung. Unternehmen können so neue Geschäftsmodelle testen, die noch vor ein paar Jahren zwar denkbar aber nicht durchführbar waren. Gleichsam wachsen aber Komplexität und Risiko. Sind große Mengen an Daten, die für ein Unternehmen wichtig und entscheidend sind, einem erhöhten Risiko ausgesetzt, muss der Schutz dieser Daten verstärkt werden. Zudem können auch die Schwächen traditioneller Sicherheitsmechanismen, wie etwa lokale Firewalls, Intrusion Detection Systeme usw., bei der Betrachtung nicht außen vor gelassen werden. So führen solche Schutzmaßnahmen bei Überlastung beispielsweise zu deutlichen Leistungseinbußen des Webauftrittes. Das maximale Angriffsvolumen, das die Schutzeinrichtungen abwehren können ohne dabei selbst in die Knie zu gehen, spielt daher eine wichtige Rolle. Das Abtrennen der Kontrollfunktionen und die Zentralisierung dieser Aufgaben auf einem Copyright (c) it research Seite 2

3 So berichtet Akamai von einem Angriff auf einen seiner Kunden, einem börsennotierten US-Konzern: über einen Zeitraum von vier Tagen war dieser Konzern einem gezielten Cyberangriff ausgesetzt, dabei musste die Akamai WAF-Lösung eine fach erhöhte Spitzenauslastung abfangen und sicherstellen, dass die Online-Angebote des attackierten Unternehmens auch während der wichtigen Weihnachtssaison zuverlässig erreichbar waren. Ein potenzieller Verlust in Millionenhöhe konnte so verhindert werden. Neuartige Angriffsszenarien Mit der Menge an potenziellen Zielen haben sich auch der Umfang, die Komplexität und die eingesetzten Techniken für Cyberangriffe weiterentwickelt. Distributed Denial of Service (DDoS)- Angriffe machen nach wie vor einen großen Anteil der Online-Bedrohungen aus: ihr Ziel ist es, Dienste funktionsunfähig zu machen und an geschützte Informationen zu gelangen, indem durch die Flut von Anfragen der eigentliche Angriff untergeht. Dies kann zu langen Ladezeiten bis zum kompletten Ausfall einer Anwendung, eines Dienstes oder einer Webseite führen. Häufig werden für solche Angriffe Bot-Netze verwendet. Im Fall von politisch motivierten Angreifern nutzen Menschen ihre Rechner allerdings auch bewusst und direkt für Angriffe. Die Anwendungsebene Der Angriff auf Anwendungsebene wird zu einer immer beliebteren Methode, sich einer Webseite zu bemächtigen. Dafür gibt es verschiedene Gründe: Angriffe auf die Web- Anwendungsebene attackieren gleich mehrere Funktionen einer Website. Sie versuchen entweder die Anwendung anzugreifen oder die dahinterliegende Datenbank zu erreichen, um die darin gespeicherten Informationen offenzulegen. Bei SQL-Injections (SQLi) werden SQL-Befehle in ein Web- Formular eingeschleust, um die mit der Webseite verbundene Datenbank anzugreifen. Injections gelten als einer der schädlichsten Bedrohung in der Geschichte des Computers und stellen mittlerweile die zweithäufigste Angriffssart dar. Im Durchschnitt ist eine über das Internet erreichbare Webanwendung 71 SQLi- Versuchen pro Stunde ausgesetzt. Laut Imperva Hacker Intelligence Initiative sind sogar in einigen Fällen bis zu 1300 versuchte SQL-basierte Angriffe auf bestimmte Seiten/Anwendungen pro Stunde beobachtet worden. Der Web Hacking Incident Database (WHID)- Report gibt an, dass DDoS-Angriffe und SQL- Injections zusammen mehr als 50 % der gesamten Bedrohungen ausmachen. Hinzu kommen noch einige weitere bekannte Sicherheitslücken und ein immer reger werdender Markt, auf dem noch unveröffentlichte Schwachstellen zum Kauf angeboten werden. Die Anzahl der Cyberangriffe steigt immer weiter, ein Ende ist nicht in Sicht. Eine umfassende Sicherheitsstrategie muss daher Schutz und Überwachung der eigenen Webseiten zwingend mit einbeziehen. Die Informationen über Angriffe auch in Form von Warnungen müssen Details über das angegriffene Ziel, den Angreifer und über Einzelheiten des Angriffs enthalten. Eine gute Sicherheitslösung bietet solche Möglichkeiten. Neue Modelle - neue Gefahren Für den Erfolg eines Unternehmens ist die Erschließung neuer Märkte ein wichtiges Entwicklungsfeld. Begleitend dazu werden Bereiche wie die verwendete Technologien, Kommunikation, Datenmanagement und betrieblicher Leistung immer weiter entwickelt. Das ist eine wesentliche Voraussetzung, um neue Kunden zu erreichen, neue Geschäftsmodelle zu nutzen und die Innovationsgeschwindigkeit zu erhöhen. Cloud Computing und der zunehmende Zugang zur Breitbandverbindungen hat Geschäftsmodelle und Technologieprojekte ermöglicht, die noch vor wenigen Jahren nicht umsetzbar waren. Unternehmen haben sich die Vorteile des Cloud Computing schnell zu Nutzen gemacht. Oft sind aber den Unternehmen die Sicherheitsrisiken nicht bewusst, die damit einhergehen, wenn man die physische Kontrolle über Teile der Infrastruktur aufgibt Copyright (c) it research Seite 3

4 Unternehmen müssen aufgrund dieser Entwicklung zwei Aufgaben lösen: die Infrastruktur vor Ort weiterhin betreiben und schützen sowie neue Modelle zur Nutzung von Cloud-basierten Diensten entwickeln. Die letztere Aufgabe beinhaltet das Lösen von neuen Sicherheits- und Compliance- Herausforderungen. Es kann eine sehr umfangreiche und kostenintensive Aufgabe sein - eine Aufgabe, der sich viele Unternehmen nicht ohne Unterstützung stellen wollen oder können. Vergrößert wird diese Komplexität durch die Notwendigkeit, über eine moderne Webpräsenz zu Verfügen: Ein wirksames Load Balancing zur Verteilung der Last auf mehre Server, eine Infrastruktur für Video-Streaming und die Auslieferung von bandbreitenintensiven, unternehmenskritischen Anwendungen gehören heute zum Minimum dazu. Angesichts dieser umfangreichen Aufgabenstellung kommen viele Unternehmen zu dem Schluss: Eine externe Lösung ist der kostengünstigste Weg, eine sichere und leistungsfähige Webpräsenz zu betreiben. Zudem bieten diese Lösungen die Möglichkeit, die eigene Webinfrastruktur zusätzlich abzusichern. Die Auslieferung von Inhalten der Webseiten und Anwendungen läuft über Systeme wie etwa der Akamai Intelligent Platform, die die eigenen Systemen zusätzlich noch von der Außenwelt abschottet. Grenzen der traditionellen Infrastruktur Gehören Cloud-basierte Anwendungen zur Innovationsstrategie dazu müssen diese auch geschützt werden. Welche Schritte sind nötig, um die Sicherheit zu gewährleisten? Beim traditionellen Cloud-Einsatz bedienen Server in einem externen Rechenzentrum die Nutzer direkt. Obwohl dieser Ansatz funktionell ist, bietet er nur eingeschränkte Skalierbarkeit und Sicherheit. Handlungsvorschläge Nachdem die Kategorie WAF, die bestehenden Gefahrenquellen, die Ursachen, die Auswirkungen und das Risiko beschrieben wurden, folgt das Handlungsszenario. Wie immer gibt es eine Vielzahl von Anbietern. In der neuen, gerade erschienenen IT SECURI- TY-Studie von it research (236 Seiten inklusive CD, gibt es im Kapitel WAF ausführliche Informationen zu den Themen Architektur, Auswahlverfahren, Strenght/ Weakness /Opportunity /Threat (SWOT)- Analyse und die wichtigsten Produkte und deren Anbieter. Im nachfolgenden analysieren wir die WAF der Akamai-Plattform im Detail. An ihr werden die wesentlichen Parameter und Funktionalitäten einer WAF erläutert. Der mögliche sehr starke Anstieg des Datenverkehrsvolumens durch einen Angriff wurde bereits kurz angesprochen. Er lässt die Kapazitäten zur Bearbeitung dieser Daten rasch an ihre Grenzen stoßen und führt dazu, dass Online-Angebote nur sehr langsam abrufbar oder unter Umständen gar nicht mehr verfügbar sind. Viele Angriffe bauen darauf auf, die Bandbreite der angegriffenen Seiten komplett zu belegen. Daher ist Skalierbarkeit ein wesentlicher Aspekt einer Verteidigungsstrategie. Die enorme Größe und Verteilung der Akamai Intelligent Platform gewährleistet eine kontinuierlich hohe Performance, auch während eines Angriffs. Durch eine Firewall, die näher am Endnutzer sitzt und getrennt von den Webservern am Rand des Internets installiert ist, ist eine frühere Erkennung des Angreifers und eine bessere Einschätzung des Bedrohungspotentials möglich. Zudem kann ein Großteil der simulierten Anfragen schon an diesem Punkt abgefangen und die kontinuierliche Verfügbarkeit der Website sichergestellt werden. Man könnte meinen, dass Cloud Computing im Bezug auf Sicherheit grundsätzlich risikoreicher daherkommt als traditionelle Rechenzentrumsmodelle. Copyright (c) it research Seite 4

5 Die Realität zeigt jedoch, dass der Schritt zu einer Cloud- Computing-Plattform ein Sprungbrett für eine sicherere Umgebung sein kann, wenn deren Sicherheitsmechanismen konsequent genutzt werden. Akamai ist eines von nur zwei Unternehmen weltweit, die als PCI Level One Merchant Service Provider anerkannt werden und damit den sicheren Transport von Kreditkartendaten gewährleisten können. Die Effektivität der Akamai-Plattform liegt unter anderem in der intelligenten Verteilung von Datenströmen, dem Zwischenspeichern von Inhalten abgerufener Webseiten und Optimierungen auf Protokollebene. Darüber hinaus ermöglicht die weltweite Präsenz der Plattform einen globalen Einblick in die Verteilung der Datenströme im Internet. Sicherheitslösungen wie Kona Site Defender können Angriffe identifizieren und blockieren bevor diese die Infrastruktur des Anwenders erreichen. Dies geschieht auf Netzwerk- und Anwendungsebene. Dadurch werden Performance und Verfügbarkeit sowie die Integrität der Webseite sichergestellt. Letztlich spielt die Größe und wie bereits erwähnt die Skalierbarkeit einer Cloud-Plattform eine Schlüsselrolle dabei, schädlichen Traffic zu absorbieren. Bei diesem Hersteller sind über Server in mehr als Netzwerken weltweit im Einsatz, um Verfügbarkeit und Performance der Webserver bei den Anwendern zu sichern. Akamai hält ein Mehrfaches der durchschnittlichen Kapazität für Lastspitzen vor und lässt diese nur bei Bedarf zum Einsatz kommen. So kann das Unternehmen sicherstellen, dass Webseiten und entscheidende Businessprozesse wie oder SaaS-Anwendungen selbst während eines größeren Angriffs funktionieren. Kona Site Defender Was steckt technologisch gesehen hinter dieser Web Security-Lösung? Kona Site Defender nutzt die Akamai Intelligent Platform, um den auf die Anwendungsebene gerichteten DDoS- Traffic abzufangen. Außerdem wird der gesamte auf die Netzwerkebene ausgerichtete DDoS-Verkehr, wie SYN Floods oder UDP Floods abgeblockt. Diese integrierte Schutzfunktion ist immer aktiv und nur in Verbindung mit Port 80 (HTTP) beziehungsweise Port 443 (HTTPS) stehender Datenverkehr wird zugelassen. Eine Folge von DDoS-Angriffen sind hohe Kosten, denn DDoS-Attacken treiben das Datenvolumen und damit die Servicegebühren, explosionsartig in die Höhe. Jedes Unternehmen sollte sich vor diesen Kosten schützen, indem es die Kosten begrenzt. Gleichzeitig sollte ein flexibles Caching die Entlastung des Webservers maximieren. Was entsteht eigentlich an Traffic? Bei Akamai werden pro Tag durchschnittlich bis zu 5,5 Tbps Traffic abgewickelt und Spitzenbelastungen von über 8 Tbps bewältigt. Entsprechende Maßnahmen zur Entschärfung von Bedrohungen werden so implementiert, dass sie nur einen Netzwerk- Hop vom Anfragepunkt greifen, und nicht erst am Webserver des Unternehmens. Die Web-Applikation-Firewall bietet Kunden eine hoch skalierbare Schutzschicht gegen Angriffe auf Anwendungsebene. Die WAF ist weltweit auf der gesam ten Akamai-Plattform implementiert, und hilft, Bedrohungen im HTTP- und HTTPS-Traffic zu erkennen und abzuwehren. Es werden Warnmeldungen ausgegeben, der Datenverkehr kann nah an seinem Ursprung gesperrt werden, noch bevor er die Webserver des Unternehmens erreicht. Nachfolgend einige spezielle Funktionen: Kontrollfunktionen auf Anwendungsebene umfassen vordefinierte sowie konfigurierbare Firewall-Regeln für Webanwendungen, für verschiedene Arten von Angriffskategorien. Diese Regeln ermöglichen auch die Deep Packet Inspection einer HTTP/S- Anfrage/Antwort und deren Nutzlast, um Angriffe wie etwa SQL Injections und Cross Site Scripting zu identifizieren und abzuweh ren. Kontrollfunktionen auf Netzwerkebene setzen die von Kunden definierten IP-Whitelists und -Blacklists in die Praxis um. Um die Webserver der Kunden von Akamai vor Angriffen auf Anwendungsebene zu schützen, können Anfragen aus bestimmten Regionen blockiert werden (Geo-Blocking). Copyright (c) it research Seite 5

6 Zudem können bis zu CIDR-Einträge verwendet werden, um Anfragen aus bestimmten IP-Adressbereichen auszuschalten. Kontrollfunktionen für Zugriffe schützen vor DDoS-Angriffen auf Anwendungsebene. Sie überwachen und steuern die Zugriffe auf die Akamai-Server und die Server der Akamai- Kunden. Kategorien können für die Beschränkung der Anfragen eines Clients definiert werden, um etwa zu verhindern, dass Bots Angriffe mit tausenden Anfragen pro Sekunde erfolgreich durchführen. Für drei Anfrageraten können Schwellwerte festgelegt werden: Client-Anfragen, weitergeleitete Anfragen (von den Akamai-Servern) und Antworten (Fehlerraten) des Servers des Akamai-Kunden. Benutzerdefinierte Regeln ermöglichen es den Anwendern, eigene Regeln zu erstellen, die nach der Ausführung der Kontrollfunktionen für die Anwendungsebene durchgesetzt werden. Benutzerdefinierte Regeln dienen etwa als virtuelle Patches für neue Schwachstellen der Website. Verbergen des Kundenservers als zusätzliche Sicherheitsebene, wodurch Kona Site Defender den Webserver des Anwenders vor dem öffentlichen Internet verbergen kann. Damit werden bestehende Schutzmaßnahmen ergänzt und Angriffe erschwert bzw. verhindert. Der Sicherheitsmonitor gibt Sicherheitsexperten Echtzeiteinblicke in relevante Ereignisse, damit diese Angriffswarnungen im Detail analysieren können. Sie erhalten konkrete Informationen darüber, wer angreift, was angegriffen wird, welche Verteidigungsmechanismen die Warnmeldung bereits ausgelöst hat und was genau in der Anfrage enthalten war. Ein weiterer Vorteil: Das archivierte Protokoll zur Unterstützung forensischer Prüfungen steht bis 90 Tage nach dem Angriff zur Verfügung. Weitere Funktionen Kona Site Defender verfügt zudem über ein adaptives Caching. Dadurch werden vom Anwender im Vorfeld festgelegte Inhalte während eines Angriffes vom Akamai Edge-Server an die Nutzer ausgeliefert. Das System bietet darüber hinaus eine Ausfallsicherung der Website, Kontrolle über die Zugriffe der Be- nutzer, einen Auslieferungsservice für die Protokolldateien und die Einbindung von Akamai NetStorage sowie das Compliance-Management-Set für ISO Wichtige optionale Komponenten schließen DNS Infrastructure Protection und ein Servicemanagement-Angebot ein. DNS Infrastructure Protection Das Enhanced DNS bietet eine stabile, zuverlässige und skalierbare Lösung, die sicherstellt, dass der Endverbraucher auch wirklich auf die richtigen Webseiten geleitet wird. Die ausgelagerte DNS-Lösung nutzt dabei die weltweit verteilten Nameserver der Akamai- Plattform Die Lösung bietet Zuverlässigkeit, Skalierbarkeit und Performance bei der DNS- Auflösung. Fazit Es ist kein leichtes Unterfangen die IT- Infrastruktur eines Unternehmens abzusichern, dass sowohl traditionelle, lokale IT wie auch cloud-basierte Elemente umfasst. Die hier beschriebene Akamai-Plattform ist wegweisend und Maßstab für WAF-Projekte in Bezug auf Sicherheit, Compliance, Performance, Skalierbarkeit und Funktionalität. Sie ermöglicht es mit weiteren Komponenten, die in der IT SECURITY-Studie genannt sind, eine Absicherung der eigenen Infrastruktur zu planen und zu realisieren. Copyright (c) it research Seite 6