Die neue Web Application Firewall

Check Point hat unter der Produktkategorie „CloudGuard“ einige Produkte zusammengefasst und neu sortiert. Die sogenannte Unified Workload Protection soll nicht nur alt hergebrachte Web Application Firewalls überflüssig machen, sondern noch viel weitergehen. Was steckt dahinter?


Unified Protection

Check Point will nicht einfach eine weitere WAF Iteration mit ins Spiel bringen. Die Unified Workload Protection ist so modular aufgebaut, dass sie nicht nur in bester „Cloud Native“ Manier bei allen wesentlichen Public Cloud Anbietern zu Hause ist, sie kann auch Hybrid und On-Prem eingesetzt werden. So spielt es keine Rolle mehr, wo sich meine Webpräsenz befindet, der Schutz ist immer derselbe. Soweit können wir noch kein Alleinstellungsmerkmal erkennen, das machen mittlerweile alle Hersteller so.

Check Point geht nun aber eben weiter. Webseiten sind heute nicht mehr einfache Webseiten, für die ein einfacher, regelbasierter Schutz genügt, es sind mittlerweile komplexe Applikationen, die im Hintergrund in unterschiedlichen Containern laufen und Teile davon nur noch als Runtime Functions existieren. Genau da setzt Check Point an.

Die Web Application Security und die API Protection machen die klassische WAF mit statischen Regeln hinfällig. Durch maschinelles Lernen, Nutzer und Transaktionsanalysen soll es möglich sein, auch grössten Umgebungen mit nur einer Handvoll  Ausnahmen höchste Sicherheit für Appliaktionen und APIs zu gewähren. Durch die von Check Point „contextual AI“ genannte Technologie kann sich die Security automatisch an neue Funktionen und Möglichkeiten der Webapplikationen anpassen, ohne ein administratives Eingreifen.


Cloud Workload Protection

So lassen sich mit derselben „CloudGuard“ Produkte Suite auch Container und Serverless Functions schützen. Durch eine Überprüfung der Container und Funktionen bereits während der Entwicklung und während der Laufzeit soll die komplette Umgebung, die komplette Lieferkette der (Web-) Applikation geschützt sein und bleiben.

Dies soll geschehen durch die geschickte Verzahnung von statischen Analysen mit neuen ML und AI Analysen. Durch die frühe Integration in den Entwicklungsprozess, in dem bereits in der Entwicklungspipeline der verwendete Code und die verwendeten Container auf Schwachstellen, Compliance und Best Practices geprüft werden, können die Applikationen nicht erst als fertige Applikationen auf ihre Sicherheit überprüft werden, sondern bereits während der Entstehung. Laufende Container, Microservice-Cluster und Funktionen werden überwacht und beispielsweise auf Least Privileges oder ihr Verhalten geprüft. Incidents werden in Echtzeit geblockt.


 

Wer braucht das?

Durch die Digitalisierung vernetzen sich viele Firmen mittels Web APIs, Schnittstellen und Apps. Eigene solche Dienste werden sich in vielen Firmen wiederfinden, auch wenn sich das aktuell noch nicht auf einer Prioritäten- oder Securityliste befindet. Klassische Cloud Firewalls, welche meine Cloud Infrastrukturen schützen, werden zum Teil solchen Application Firewalls Platz machen müssen. Es ist sinnvoll, sich frühzeitig mit diesen Securitythemen auseinanderzusetzen, Security by Design ist immer einfacher, schneller und besser, als wenn ich Security anhängen und anflanschen muss.

Check Point CloudGuard bietet neben den oben erwähnten Funktionalitäten noch weitere spannende Tools für die Visibilität und der Cloud Security Posture Management. Leider habe ich die CloudGuard Lösung in dieser vollen Ausprägung noch nirgends im Einsatz gesehen. Ich kenne auch nur die Präsentationen, da tönt alles immer sehr einfach und einleuchtend. Es wäre sehr spannend zu sehen, wo die Probleme im Detail und im echten Leben liegen werden. Für mich ist auch klar, dass eine solche Sicherheitslösung nicht auch noch für weitere artfremde Funktionen wie Loadbalancing oder Content Rewriting verwendet werden kann.

Bereits komplexe Konstrukte, die (verteilten) Webapplikationen, werden noch komplexer und mit maschinellem Lernen, AI und Verhaltensanalysen habe ich auch keine einfachen und klaren Regeln mehr, denen ich während einer Fehlersuche trauen kann. Das Verhalten ändert sich stetig und was gestern noch gut und recht war, ist heute vielleicht bereits kein erwünschtes Verhalten mehr?

Die Praxis wird es zeigen, ob dieses Konstrukte dank den immer hervorragenden Log-Informationen von Check Point, den Automatismen und der maschinellen Intelligenz einfach zu betreiben sind und die notwendige zusätzliche Sicherheit keine zusätzliche Bürde wird.

Ich bin gespannt, denn nichts machen ist auch keine Lösung.

Der Beitrag Die neue Web Application Firewall erschien zuerst auf Tec-Bite.