Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Eine WAF für alle!

15.03.2022

4 min. Lesezeit

Bei Cloudflare mögen wir Ideen, die Veränderung bringen. Außerdem sind wir der festen Überzeugung, dass jeder ein Recht auf Sicherheit hat und das Internet dadurch für alle besser und gefahrloser wird.

Das sind keine hohlen Phrasen. Beispielsweise haben wir im Jahr 2014 Universal SSL präsentiert. Damals stellten wir über Nacht SSL/TLS-Verschlüsselung für mehr als eine Million Websites und Internetanwendungen bereit, ohne dass irgendwer auch nur einen Cent dafür bezahlen oder ein Zertifikat konfigurieren musste. Davon haben nicht nur unsere Kunden profitiert, sondern jeder, der im Internet unterwegs ist.

2017 stellten wir dann die zeitlich unbeschränkte DDoS-Abwehr vor. Wir haben von unseren Kunden nie verlangt, für die bei DDoS-Angriffen in Anspruch genommene Bandbreite aufzukommen, weil uns das falsch erschien. Doch es dauerte einige Zeit, bis unser Netzwerk die erforderliche Größe erreichte, um eine zeitlich völlig unbeschränkte DDoS-Abwehr für alle bereitzustellen – ob zahlende Kunden oder nicht.

Man stellt mir aber oft die Frage, wie wir das schaffen. Das ist eigentlich ganz einfach. Es gelingt uns, indem wir großartige und effiziente Technologie entwickeln, die sich gut skalieren lässt. Auf diese Weise können wir die Kosten niedrig halten.

Jetzt knüpfen wir daran an, indem wir bei allen Cloudflare-Tarifen kostenlos eine WAF (Web Application Firewall) mit verwaltetem Regelsatz bereitstellen.

Warum tun wir das?

Aufsehenerregende Sicherheitslücken haben gewaltige Auswirkungen auf das Internet und Unternehmen unterschiedlichster Größe. Dies ließ sich kürzlich bei Log4J beobachten. Doch auch frühere schwerwiegende Schwachstellen wie Shellshock und Heartbleed sind am World Wide Web nicht spurlos vorübergegangen.

Kleine Anwendungsbetreiber und Teams haben nicht immer Zeit, sich bezüglich der rasanten Entwicklung bei Sicherheitspatches auf dem Laufenden zu halten, sodass viele Anwendungen kompromittiert bzw. für unlautere Zwecke missbraucht werden können.

Cloudflare dient Millionen Websites und Internetanwendungen als Proxy. Daher haben wir die Pflicht, dafür zu sorgen, dass das Internet sicher bleibt. Und genau das haben wir bei Log4J durch die Anwendung von Abwehrregeln auf den gesamten Traffic einschließlich des Datenverkehrs in den FREE-Zonen getan. Jetzt bekräftigen wir unser Engagement durch die Bereitstellung eines kostenlosen von Cloudflare verwalteten Regelsatzes (Cloudflare Free Managed Ruleset) zusätzlich zu unserer neuen WAF-Engine.

Wann ist es soweit?

Wenn Sie den FREE-Tarif nutzen, sind Sie bereits geschützt. In den nächsten Monaten erhalten darüber hinaus auch alle Nutzer unseres FREE-Zonen-Tarifs im Dashboard Zugang zur Benutzeroberfläche der Cloudflare-WAF. So werden sie in der Lage sein, den neuen Regelsatz anzuwenden und zu konfigurieren. Dieser wird Abwehrregeln für bekannte Sicherheitslücken wie Shellshock und Log4J umfassen.

Um unsere breitere Palette an WAF-Regelsätzen (Managed Rules, OWASP Core Ruleset und Leaked Credential Check Ruleset) sowie erweiterte WAF-Funktionen nutzen zu können, müssen Kunden weiterhin über einen PRO-Tarif oder eine höhere Tarifoption verfügen.

Herausforderung

Da pro Sekunde 32 Millionen HTTP-Anfragen durch das globale Cloudflare-Netzwerk geleitet werden, ist es alles andere als leicht, die WAF bei jeder einzelnen Anfrage einzusetzen.

WAFs sichern alle Bestandteile einer HTTP-Anfrage einschließlich des Nachrichtenrumpfs (Body) durch das Anwenden einer Reihe von Regeln, die auch als Signaturen bezeichnet werden. Diese suchen nach bestimmten Mustern, die auf einen schädlichen Payload hinweisen können. Solche Regeln sind unterschiedlich komplex und je mehr davon eingesetzt werden, desto schwerer lässt sich ein System optimieren. Viele Regeln machen sich Regex-Funktionen zunutze, was die Anwendung komplexer Abgleichslogik erlaubt.

All dies darf die Latenz jedoch nicht wesentlich steigern, schließlich sollte Sicherheit nicht auf Kosten der Performance gehen. Dies insbesondere deswegen, weil sich viele Anwendungsbetreiber gerade deshalb an Cloudflare wenden, weil sie sich eine bessere Performance erhoffen.

Durch den Einsatz unserer neuen Edge Rules Engine, auf der die neue WAF aufbaut, konnten wir für uns akzeptable Werte bei Performance und Speicher erreichen. Das erlaubt es uns, jedem einen soliden WAF-Basisschutz zu bieten. Weg frei für den neuen kostenlosen verwalteten Regelsatz von Cloudflare!

Der kostenlose verwaltete Regelsatz von Cloudflare

Dieser Regelsatz kommt automatisch bei jeder neuen Cloudflare-Zone zum Einsatz und ist speziell darauf ausgelegt, falsch-positive Ergebnisse bei einem sehr breiten Spektrum an Traffic-Typen auf ein Mindestmaß zu reduzieren. Die Kunden werden ihn wenn nötig deaktivieren oder den Traffic-Filter oder einzelne Regeln selbst konfigurieren können. Aktuell umfasst er folgende Regeln:

  • Log4J-Regeln zum Abgleich von Nutzlasten in der URI und den HTTP-Headern;
  • Shellshock-Regeln;
  • Regeln für sehr häufige WordPress-Exploits;

Kommt eine Regel zum Einsatz, wird dies immer in der Registerkarte „Sicherheitsübersicht“ in Form einer Ereignismeldung angezeigt, sodass die betreffende Anfrage geprüft werden kann.

Einsatz und Konfiguration

Der Regelsatz wird automatisch auf alle neuen FREE-Zonen angewandt. Die Regeln haben sich im Cloudflare-Netzwerk bereits bewährt und können für die meisten Anwendungen sofort eingesetzt werden. In jedem Fall können die Kunden die Konfiguration des Regelsatzes in folgender Weise anpassen:

  • Überlagern aller Regeln durch „LOG“ (reines Protokollieren) oder eine andere Aktion
  • Überlagern bestimmter Regeln durch „LOG“ oder eine andere Aktion
  • Vollständiges Deaktivieren des Regelsatzes oder beliebiger Einzelregeln

Alle Optionen sind über das Dashboard leicht zugänglich, können aber auch über die API ausgeführt werden. Die Dokumentation zur Konfiguration des Regelsatzes finden Sie, sobald er in der Benutzeroberfläche verfügbar ist, auf unserer Seite für Developer.

Was kommt als Nächstes?

Cloudflare aktualisiert den kostenlosen verwalteten Regelsatz immer dann, wenn eine relevante weitreichende Sicherheitslücke entdeckt wird. Updates für den Regelsatz werden in unserem Änderungsprotokoll veröffentlicht, damit sich die Kunden jederzeit über neue Regeln informieren können.
Wir lieben es, spannende neue Technik zu entwickeln. Genauso gern sorgen wir aber dafür, dass die Technologie der Allgemeinheit verfügbar gemacht wird und leicht zu benutzen ist. Daher freuen wir uns sehr, das Web mit einer WAF, die Sie nichts kostet, für alle erheblich sicherer machen zu können. Wenn Sie sich selbst ein Bild machen möchten, können Sie sich hier für unseren Free-Tarif registrieren.

Wir schützen ganze Firmennetzwerke, helfen Kunden dabei, Internet-Anwendungen effizient zu entwickeln, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten und unterstützen Sie bei Ihrer Umstellung auf Zero-Trust.

Besuchen Sie 1.1.1.1 von einem beliebigen Gerät aus und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Weitere Informationen über unsere Mission, ein besseres Internet zu schaffen, finden Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
WAF (DE)DeutschSecurity Week (DE)

Folgen auf X

Michael Tremante|@MichaelTremante
Cloudflare|@cloudflare

Verwandte Beiträge

23. Januar 2024 um 14:00

Vorbeugende Erkennung der Zero Day-Sicherheitslücke bei Ivanti Connect Secure durch die KI-gestützte WAF von Cloudflare

Der Einsatz von Notfallregeln speziell zur Neutralisierung dieser beiden Sicherheitslücken durch Cloudflare am 17. Januar 2024 hat Kunden, die das KI-Modell nicht nutzen, einen großen Vorteil im Umgang mit diesen Bedrohungen verschafft...

21. August 2023 um 14:15

Bericht zum Thema Anwendungssicherheit für das zweite Quartal 2023

Wir sind zurück mit einem Quartals-Update unseres Berichts zum Thema Anwendungssicherheit. Wenn Sie mehr über neue Angriffstrends erfahren und wissen möchten, welche Erkenntnisse wir in der letzten Zeit im internationalen Cloudflare-Netzwerk gewonnen haben, sind Sie hier richtig...

14. März 2023 um 13:00

Anwendungssicherheit im Jahr 2023: eine Bestandsaufnahme

Vor einem Jahr haben wir unseren ersten Bericht zum Thema Anwendungssicherheit veröffentlicht. Anlässlich der Security Week 2023 präsentieren wir nun die neuesten Erkenntnisse und Trends rund um Bot- und API-Traffic, Angriffe zur Kontoübernahme und Datenverkehr, der Prüf- und Abwehrmaßnahmen...