In de huidige multi-cloud, SaaS-gedreven wereld heb je een moderne, flexibele en schaalbare manier nodig om je online assets te beschermen. Websites en apps zijn de kern van zowel je merk als je bedrijfsmodel geworden en het risico dat ze beschadigd, gehackt of uit de lucht gehaald worden is niet langer iets waar bedrijven mee kunnen leven. Het kiezen en implementeren van een cloud-based Web Application Firewall (WAF) is de weg voorwaarts.
In 2019 muntte Gartner de term Security Access Service Edge, of SASE (spreek uit als 'sassy'). SASE beschrijft de nieuwe beveiligingstechnieken die nodig zijn om complexe, multi-cloud en hybride infrastructuren te beveiligen. Om de groeiende edge, met zijn open blootstelling aan het web en al zijn gevaren, te beveiligen gaan de meeste organisaties over op het zero-trust-principe. Dat betekent dat elke verbinding en interactie van een gebruiker, apparaat of toepassing expliciet geauthenticeerd moet worden, zonder dat aannames gedaan worden op basis van eerdere interacties. Een SASE-oplossing inspecteert dus alle transactie-inhoud en beschermt de hele sessie, ongeacht of een gebruiker binnen of buiten het bedrijfsnetwerk zit.
Bovendien heeft een SASE-framework meestal regels voor databescherming die ongeoorloofde toegang tot en misbruik van gevoelige gegevens helpen voorkomen. Al met al helpt SASE je om tot betere netwerkbeveiliging te komen, maar ook tot beter inzicht in je beveiliging.
Afscheid van de firewall-dozen
Een multi-cloud strategie betekent dus dat je je moet aanpassen aan een heel ander beveiligingsparadigma. De oude ‘firewalldoos', vastgeschroefd in een rek in een datacenter ergens op de wereld, die het verkeer controleert dat je thuisnetwerk op- en afgaat heeft afgedaan. In het beste geval is het ding een performance-bottleneck geworden. In het slechtste geval veroorzaakt hij het catastrofaal falen van je hele infrastructuur.
Hoe groter je bedrijf, en dus je netwerk, hoe groter het probleem. Zelfs als je een tiental van deze dozen hebt, verspreid over de hele wereld, zal dit type firewall multi-cloud infrastructuren en Infrastructure as Code nooit bij kunenn houden. Ook kunnen beveiligingsfuncties als bedreigingspreventie, HTTP-filtering en data loss prevention nu in de cloud geïmplementeerd worden. In software, niet meer in hardware.
Dit heeft dezelfde voordelen die je hebt bij het verplaatsen van applicaties of data-infrastructuur naar de cloud: flexibiliteit, beter kostenbeheer, minder complexiteit, oneindige schaalbaarheid en betere prestaties. Nu bedrijfsnetwerken verschuiven naar internationale (multi-)cloud hosting en uitgebreid SaaS-gebruik, is het inruilen van je oude hardware-firewall voor een gedistribueerd, software-based alternatief niet meer optioneel.
De nieuwe realiteit...
Toch voelt niet iedere IT-afdeling deze noodzaak. We spreken nogal eens IT-managers die geschokt zijn als ze zien hoeveel van hun infrastructuur zichtbaar is voor buitenstaanders, en dus kwetsbaar voor aanvallen. Vaak nemen ze ook aan dat hun websites beschermd zijn, omdat hun cloudproviders een indrukwekkende lijst beveiligingscertificaten hebben. Hoewel die certificaten zeker waarde hebben, houden ze hackers helaas niet van je websites. Daar moet je echt meer voor doen. We moeten onze ogen openen voor deze nieuwe realiteit en naar oplossingen zoeken. Eén van de belangrijkste oplossingen is een cloud-native Web Application Firewall.
De cloud-based Web Application Firewall in je SASE
De WAF is het filteren en blokkeren van, of rapporteren over, kwaadaardig HTTP-verkeer. Nu cybercriminelen als commerciële bedrijven opereren en het web 24/7 scannen op WordPress-kwetsbaarheden, kansen voor SQL-injectie, kapotte authenticatie of andere ingangen uit de OWASP top 10 waar we allemaal wakker van liggen, is een WAF bittere noodzaak. Zeker nu websites de kern van je merk zijn en alleen al de gedachte aan een hack marketeers, managers en IT slapeloze nachten bezorgt.
Veel WAFs blokkeren ook DDoS-aanvallen en beperken toegang tot je websites voor bots. Bijvoorbeeld de bots die boekingswebsites scrapen op zoek naar goedkope vliegtickets. Ze reserveren tickets tegen de gunstigste tarieven en verkopen die dan door via andere websites. Daardoor zitten luchtvaartmaatschappijen met geblokkeerde tickets die ze niet aan hun eigen klanten kunnen verkopen. Een WAF kan deze bots en veel andere vormen van scraping blokkeren.
Kies de juiste WAF: belangrijke overwegingen
Dus je bent het met me eens dat je een WAF nodig hebt? Dan komt het moeilijke deel. Want welke moet je kiezen? Tik 'Web Application Firewall’ in bij Google en je leert dat het nogal een understatement zou zijn om de WAF-markt 'overvol' te noemen. Maar hier bij Triple hebben we inmiddels meerdere klanten met succes door het proces van het kiezen van een WAF geleid. We doen dat door te helpen bij het analyseren van de functionele eisen, het samenstellen en uitpluizen van de longlist en het uitvoeren van proof of concept-projecten en testinstallatie. We helpen natuurlijk ook bij de uiteindelijke keuze en implementatie.
Het uitgangspunt van deze projecten is altijd dat er niet één enkele 'beste' WAF-oplossing bestaat. Wat de optimale oplossing is, hangt volledig af van jouw specifieke eisen. Daarom volgen we altijd een vast proces en hebben we nooit vooraf favorieten. Voor een snelle selectie zorgen we er altijd voor dat de klant maar drie verschillende oplossingen hoeft te testen.
Dit zijn de belangrijkste overwegingen bij het kiezen van een WAF:
Operationeel kostenmodel
Er zijn veel kostenmodellen voor web application firewalls, maar de meestvoorkomende varianten zijn betalen per gigabyte verkeer en betalen per beveiligde URL. Heb je een beperkt aantal webplatformen te beschermen, kan betalen per URL je beste optie zijn. Heb je er veel, dan is betalen per gigabyte waarschijnlijk het beste.
Automatiseringsniveau
Veel bedrijven zijn aan het afstappen van handmatige deployment en configuratie en standaardiseren alles via Infrastructure as Code (IaC). Dit vraagt om een WAF met een configuratie-API, terwijl sommige alleen GUI-configuratie hebben.
Functionaliteit
Natuurlijk ook nogal belangrijk: welke regels wil je implementeren om je digitale assets te beschermen? De meeste WAFs ondersteunen de OWASP Top 10, maar je kunt er beter een kiezen die de volledige OWASP Core Ruleset ondersteunt. Sommige leveranciers hebben hun eigen getweakte rulesets. Misschien zijn die voor jou bruikbaar, misschien niet. WAF-oplossingen verschillen ook in de mogelijkheden die je hebt om regels aan of uit te zetten, aangepaste regels toe te voegen of functies toe te voegen, zoals DDoS bescherming, geoblocking, frequentiebeperking en bot management.
Van websites naar API's, van WAF naar WAAP
Een WAF is meestal gericht op het beschermen van websites en apps. De volgende logische stap is natuurlijk om ook API-endpoints te beschermen. Gartner noemt dit WAAP: Web Application and API Protection en veel WAF-leveranciers hebben hun producten in deze richting uitgebreid. Ook een aantal CDN en 'Network as a Service' aanbieders hebben deze functionaliteit in hun portfolio's.
Uitrollen van je WAF
Afhankelijk van je huidige situatie kan het implementeren van een cloud-gebaseerde Web Application Firewall een vrij drastische technische verandering zijn. Zomaar je nieuwe firewall-oplossing 'aanzetten' is vragen om problemen. Je zou op die manier zelfs je websites ontoegankelijk kunnen maken en/of kwetsbaar voor aanvallen. Daarom volgen we altijd een uitgebreid testproces, voor we een productie-WAF activeren in 'block mode', waarin hij werkelijk HTTP-verkeer blokkeert op basis van de ingestelde regels:
- Bekijk of je webapplicaties moet aanpassen. Niet alle websites kunnen omgaan met een proxy tussen hen en de client. Dit moet je aanpakken, anders kunnen web-apps en sites uit de lucht gaan.
- Third party baseline test. We checken de snelheid van websites wereldwijd, of tenminste in alle relevante regio's, en maken een performance baseline ter referentie.
- Uitrol van WAF op acceptatie- en gebruikersacceptatie-omgevingen in ‘block mode’. Verkeer wordt geblokkeerd volgens de regels die we instelden, en eventuele storingen die dit veroorzaakt worden komen uit de acceptatietest naar voren.
- Uitrol van origin shielding. Origin shielding zorgt dat je WAF niet omzeild kan worden.
- Functionele tests. Dit garandeert volledige operationele compatibiliteit.
- Uitrol WAF in de productieomgeving in ‘monitor-mode’. De monitor mode blokkeert niets. In plaats daarvan rapporteert de WAF alles wat in block mode geblokkeerd zou zijn. We monitoren dit gedurende een langere periode, tot drie maanden. Zo krijgen we een volledig beeld van wat het effect van de WAF in de productie-omgeving zal zijn.
- Activeren WAF in block mode. Je bent nu volledig beschermd!
Zullen we samen de beste oplossing zoeken?
Lang verhaal kort: je moet waarschijnlijk migreren naar een cloud-based WAF. Maar het kiezen en implementeren daarvan kan je een behoorlijk steile leercurve opleveren. Wij hebben het al heel vaak gedaan, dus we kunnen je waarschijnlijk helpen. Want hoewel we heel wat partnerships met softwareleveranciers hebben, worden we in de kern gedreven door de wens om in elke situatie de best mogelijke oplossing te bieden. Dat betekent dat we je helpen de beste oplossing te vinden, onafhankelijk van onze vendorrelaties.