Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Cloudflare von Gartner als „Leader“ eingestuft

2022-09-06

Lesezeit: 6 Min.
Dieser Beitrag ist auch auf English, 繁體中文, Français, 日本語, 한국어, Español, Рyсский, Polski, und 简体中文 verfügbar.

In dem Bericht „Gartner® Magic Quadrant™ for Web Application and API Protection (WAAP)“ aus dem Jahr 2022, in dem elf Anbieter im Hinblick auf ihre „Umsetzungsfähigkeit" („Ability to Execute“) und „Vollständigkeit der Vision“ („Completeness of Vision“) bewertet wurden, hat Gartner Cloudflare als Marktführer („Leader“) eingestuft. Sie können sich hier für ein kostenloses Exemplar der aktuellen Version des Reports registrieren.

Cloudflare named a Leader by Gartner

Wir sehen dies als Würdigung unserer kontinuierlichen Anstrengungen und Investitionen in diesem Bereich an, mit denen wir unseren Nutzern und Kunden effektivere Sicherheitslösungen bereitstellen wollen.

Anwendungssicherheit auf dem neuesten Stand

Das globale Netzwerk von Cloudflare verarbeitet pro Sekunde mehr als 36 Millionen HTTP-Anfragen, wodurch wir einen beispiellosen Einblick in Netzwerkmuster und Angriffsvektoren erhalten. Dank dieses Datenschatzes können wir gutartigen Traffic effektiv von bösartigem unterscheiden: Unsere WAAP-Produkte wehren ungefähr jede zehnte HTTP-Anfrage, bei der Cloudflare als Proxy genutzt wird, an der Edge ab.

Einen besseren Überblick zu ermöglichen, reicht aber nicht aus. Da immer neue Anwendungsfälle und Muster entstehen, investieren wir laufend in Forschung und Entwicklung. Beispielsweise nimmt der API-Traffic zu , sodass er inzwischen mehr als 55 % am gesamten Datenverkehr ausmacht – Tendenz voraussichtlich steigend. Damit wir unsere Kunden bei diesen neuen Workloads unterstützen können, baut unser API Gateway auf unserer WAF auf. Das ermöglicht einen besseren Überblick und optimierte Abwehrfunktionen für gut strukturierten API-Traffic, dessen Angriffsprofile sich von denen normaler Webanwendungen unterscheiden.

Wir sind davon überzeugt, dass unsere kontinuierlichen Investitionen in Anwendungssicherheit zu der Position beigetragen haben, die wir in diesem Bereich erlangt haben, und möchten Gartner für die Anerkennung danken.

Cloudflare WAAP

Cloudflare hat zahlreiche Funktionen im Bereich Web Application and API Protection (WAAP) entwickelt.

DDoS-Schutz und -Abwehr

Unser Netzwerk erstreckt sich über mehr als 275 Städte in gut 100 Ländern und bildet das Rückgrat unserer Plattform, das es uns ermöglicht, DDoS-Angriffe jeder Größe abzuwehren.

Unser Netzwerk nutzt absichtlich Anycast und gibt von allen Standorten aus dieselben IP-Adressen bekannt. Auf diese Weise können wir den eingehenden Datenverkehr in Einzelteile eines Umfangs zerlegen, der von jedem Standort problemlos bewältigt werden kann. Das ist besonders wichtig, wenn es darum geht, große volumetrische DDoS (Distributed Denial of Service)-Angriffe abzuwehren.

Das System ist so konzipiert, dass es wenig bis gar keine Konfiguration erfordert und gleichzeitig „immer aktiv“ ist, sodass Angriffe sofort bekämpft werden. Hinzu kommt eine sehr smarte Software, wie unsere neue standortorientierte Abwehr, wodurch das Problem der DDoS-Attacken gelöst wird.

Für Kunden mit sehr spezifischen Traffic-Mustern ist die vollständige Konfigurierbarkeit unserer verwalteten DDoS-Regeln nur einen Klick entfernt.

Web Application Firewall

Unsere WAF ist eine Kernkomponente unserer Anwendungssicherheit und sorgt dafür, dass Hacker und Schwachstellen-Scanner es schwer haben, potenzielle Sicherheitslücken in Webanwendungen aufzuspüren.

Das ist sehr wichtig, wenn Zero-Day-Sicherheitslücken öffentlich werden, denn Kriminelle versuchen erfahrungsgemäß oft schon wenige Stunden nach dem Bekanntwerden neuer Angriffsvektoren, diese auszunutzen. Zwei Beispiele aus der jüngsten Vergangenheit sind Log4J und die Confluence-Schwachstelle. Deshalb haben wir zur Unterstützung unserer WAF auch ein Team von IT-Sicherheitsexperten abgestellt. Diese überwachen und entwickeln/verbessern kontinuierlich Signaturen, um unseren Kunden wertvolle Zeit für die Härtung und das Patchen ihrer Backend-Systeme zu verschaffen. Ergänzend dazu klassifiziert unser auf maschinelles Lernen beruhendes WAF-System jede Anfrage, um ihnen einen viel umfassenderen Überblick über die Traffic-Muster zu verschaffen.

Unsere WAF bietet viele fortschrittliche Funktionen. Dazu zählen die Überprüfung von Anmeldedaten auf Offenlegung, erweiterte Analysen und Warnmeldungen sowie die Protokollierung von Nutzlasten.

Bot-Management

Es ist kein Geheimnis, dass ein großer Teil des Web-Traffics automatisiert ist. Automatisierung ist an sich zwar nichts Schlechtes, doch manches ist unnötig und unter Umständen auch bösartig.

Unsere parallel zu unserer WAF arbeitende Lösung für Bot-Management vergibt für jede Anfrage einen Score. Dieser verrät, wie groß die Wahrscheinlichkeit ist, dass die Anfrage von einem Bot generiert wurde. Damit kann unerwünschter Datenverkehr durch Einrichten einer benutzerdefinierten WAF-Regel ganz leicht gefiltert werden. Unterstützt wird dieser Service durch aufschlussreiche Analysen. Außerdem führen wir eine Liste mit verifizierten Bots, auf die Sie zur weiteren Optimierung Ihrer Sicherheitsrichtlinien zurückgreifen können.

Mit der verwalteten Challenge von Cloudflare wird von Bots generierter Traffic auf Herz und Nieren geprüft, ohne echte Nutzer zu beeinträchtigen.

API-Gateway

API-Traffic ist naturgemäß viel besser strukturiert als Datenverkehr von normalen Webseiten, die von Browsern aufgerufen werden. Gleichzeitig haben API in der Regel mehr Gemeinsamkeiten mit Backend-Datenbanken und -Diensten. Das macht sie für Angreifer interessanter, während sie oft unter dem Radar von IT-Sicherheitsabteilungen bleiben (Stichwort Schatten-API).

Das API Gateway kann auf unserer WAF aufgesetzt werden und hilft Ihnen beim Aufspüren von API-Endpunkten, die von Ihrer Infrastruktur mit Daten beliefert werden. Zudem können Sie potenzielle Anomalien in den Datenverkehrsströmen erkennen, die sowohl in volumetrischer als auch aus sequenzieller Hinsicht auf eine Kompromittierung hindeuten.

Aufgrund der Eigenschaften von API ist für API Gateway auch deutlich einfacher als für unsere WAF, ein positives Sicherheitsmodell anzuwenden, bei dem nur gesichert gutartiger Datenverkehr zugelassen und der restliche Traffic blockiert wird. Das geht ganz leicht durch die Anwendung von Schemaschutz und mutual TLS (mTLS)-Authentifizierung.

Page Shield

Angriffe, die die Browserumgebung direkt nutzen, können einige Zeit unbemerkt bleiben, da sie nicht unbedingt eine Kompromittierung der Backend-Anwendung erfordern. Wenn beispielsweise eine von einer Webanwendung verwendete JavaScript-Bibliothek eines Drittanbieters bösartiges Verhalten an den Tag legt, bemerken Anwendungsadministratoren und Nutzer möglicherweise nicht, dass gerade Kreditkartendaten an einen von einem Angreifer kontrollierten Endpunkt eines Drittanbieters übertragen werden. Dies ist ein häufiger Vektor für Magecart, eine von vielen clientseitigen Angriffsmethoden.

Page Shield sorgt für die Sicherheit auf Clientseite, indem externe Bibliotheken aktiv überwacht und die Betreiber von Anwendungen benachrichtigt werden, wenn ein Asset eines Drittanbieters bösartiges Verhalten zeigt. Die Lösung nutzt sowohl öffentliche Standards wie Content Security Policies (CSP) als auch benutzerdefinierte Klassifikatoren, um den Schutz sicherzustellen.

Page Shield ist wie unsere anderen WAAP-Produkte vollständig in die Cloudflare-Plattform integriert und kann mit einem einzigen Klick aktiviert werden.

Security Center

In dem neuen Security Center von Cloudflare sind unsere WAAP-Produkte beheimatet. An diesem zentralen Ort können sich IT-Sicherheitsexperten einen umfassenden Überblick über die von Cloudflare geschützten Netzwerk- und Infrastrukturressourcen verschaffen.

Wir wollen das Security Center in Zukunft zum Ausgangspunkt für forensische Untersuchungen und Analysen machen, damit Sie bei der Untersuchung von Sicherheitsvorfällen auch auf die Bedrohungsdaten von Cloudflare zurückgreifen können.

Der Cloudflare-Vorteil

Unsere WAAP-Produkte werden über eine einzige horizontale Plattform bereitgestellt, mit der alle Sicherheitsfunktionen ohne zusätzliche Implementierungen genutzt werden können. Darüber hinaus werden Skalierung, Wartung und Updates vollständig von Cloudflare verwaltet, sodass Sie sich darauf konzentrieren können, mit Ihrer Anwendung geschäftlichen Mehrwert zu schaffen.

Das gilt sogar über WAAP hinaus, denn obwohl wir mit der Entwicklung von Produkten und Diensten für Webanwendungen begonnen haben, können wir dank unserer Position im Netzwerk von einer einzigen Plattform aus alles schützen, was mit dem Internet verbunden ist – einschließlich Mitarbeitender, Büros und interner Anwendungen. Unsere Zero Trust-Produkte sind inzwischen integraler Bestandteil unseres Geschäfts und WAAP-Kunden können mit nur wenigen Klicks beginnen, unser Secure Access Service Edge (SASE)-Modell einzusetzen.

Wenn Sie Ihre Sicherheitsmaßnahmen sowohl verwaltungs- als auch budgettechnisch bündeln möchten, können die für Anwendungsdienste zuständigen Teams dieselbe Plattform verwenden, die von internen IT-Serviceteams zum Schutz von Mitarbeitenden und internen Netzwerken genutzt wird.

Kontinuierliche Innovation

Unsere WAAP-Produkte wurden nicht über Nacht entwickelt. Doch allein im letzten Jahr haben wir nicht weniger als fünf wichtige Sicherheitsprodukte für dieses Segment auf den Markt gebracht. Dass wir ein hohes Innovationstempo vorlegen, verdeutlicht die folgende Auswahl an von uns entwickelten Produkten:

  • API Shield mit Schema-basiertem Schutz: Herkömmliche signaturbasierte WAF (negatives Sicherheitsmodell) funktionieren bei gut strukturierten Daten wie API-Traffic oft nicht richtig. Aufgrund des schnellen Wachstums des API-Datenverkehrs im Netzwerk haben wir ein neues Produkt entwickelt, mit dem API-Schemata unter Anwendung eines positiven Sicherheitsmodells, das nur gut strukturierte Daten zu Ursprungs-Webservern durchlässt, direkt an der Edge durchgesetzt werden können.

  • Erkennung von API-Missbrauch: Ergänzend zum Schema-basierten API-Schutz werden Sie gewarnt, wenn bei Ihren API-Endpunkten Anomalien entdeckt werden. Dabei kann es sich um ungewöhnliche Datenverkehrsströme oder -muster handeln, die nicht der Norm entsprechen.

  • Unsere neue Web Application Firewall: Basierend auf unserer neuen Edge Rules Engine wurde die Web Application Firewall von Grund auf überarbeitet: von den internen Funktionen der Engine bis hin zur Benutzeroberfläche. Das ermöglicht eine geringere Latenz und eine höhere Effektivität beim Blockieren bösartiger Nutzdaten. Hinzu kommen brandneue Funktionen, etwa die Überprüfung von Zugangsdaten auf Offenlegung, Konfigurationen für das gesamte Konto und die Protokollierung von Nutzdaten;

  • Anpassbarkeit verwalteter DDoS-Regeln: Für eine größere Flexibilität bei der Konfiguration können einige unserer internen verwalteten Regeln zur DDoS-Abwehr nun individuell konfiguriert werden. Das gibt Kunden die Möglichkeit, die Zahl der Fehlalarme weiter zu reduzieren und Schwellenwerte nach Bedarf heraufzusetzen.

  • Security Center: Cloudflare bietet hier einen Überblick über Infrastruktur- und Netzwerkressourcen sowie über Warnmeldungen und Benachrichtigungen zu Fehlkonfigurationen und potenziellen Sicherheitsproblemen.

  • Page Shield: Im Kontext einer wachsenden Nachfrage auf Kundenseite und der Zunahme von Angriffsvektoren, die sich auf die Browserumgebung des Endnutzers konzentrieren, lässt sich mithilfe von Page Shield leichter erkennen, ob bösartiger JavaScript-Code in eine Anwendung eingebettet wurde.

  • API Gateway: Die Lösung bietet vollständige API-Verwaltung, einschließlich Routing direkt von der Cloudflare-Edge, mit integrierter API-Sicherheit, was Verschlüsselung und mutual TLS (mTLS)-Authentifizierung umfasst.

  • WAF mit Machine Learning: Als Ergänzung zu unseren verwalteten WAF-Regelsätzen vergibt unsere neue, Machine Learning-gestützte WAF-Engine für jede einzelne Anfrage einen Score auf einer Skala von 1 (unbedenklich) bis 99 (bösartig). So erhalten Sie einen umfassenderen Überblick über gültige und nicht gültige bösartige Nutzdaten. Außerdem können wir damit Angriffe und Scans, die sich gegen Ihre Anwendungen richten, noch besser erkennen.

Ausblick

Wir planen die Einführung einer Menge weiterer Funktionen für Anwendungssicherheit und zahlreiche Verbesserungen bestehender Systeme. Je mehr wir über das Internet erfahren, desto besser sind wir in der Lage, Ihre Anwendungen zu schützen. Schauen Sie doch ab und zu bei unserem Blog vorbei, um zu erfahren, was es Neues gibt!

Gartner, „Magic Quadrant for Web Application and API Protection“, Analyst(en): Jeremy D'Hoinne, Rajpreet Kaur, John Watts, Adam Hils, 30. August 2022

Gartner und Magic Quadrant sind eingetragene Marken von Gartner, Inc. und/oder verbundenen Unternehmen in den USA und anderen Ländern, die im Folgenden mit Genehmigung verwendet werden. Alle Rechte vorbehalten.

Die Vorstellung oder Erwähnung von Anbietern, Produkten oder Dienstleistungen in den Studien von Gartner stellt keine Empfehlung dar und Gartner rät Technologieanwendern auch nicht, sich nur für die Anbieter mit den höchsten Bewertungen oder anderen Kennzeichnungen zu entscheiden. Gartner-Forschungspublikationen geben die Meinung der Forschungsmitarbeitenden von Gartner wieder und sind nicht als Tatsachenbehauptungen auszulegen. Gartner übernimmt in Bezug auf diese Forschungsarbeiten weder ausdrückliche noch stillschweigende Gewähr, wodurch auch die Gewährleistung der Gebrauchstauglichkeit oder Eignung für einen bestimmten Zweck ausgeschlossen ist.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
WAFSicherheitAPI SecurityDDoSBot Management (DE)Page ShieldGartner (DE)

Folgen auf X

Michael Tremante|@MichaelTremante
Cloudflare|@cloudflare

Verwandte Beiträge

20. November 2024 um 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

06. November 2024 um 08:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....