Grundkonzepte der ALB WAF
Zuletzt aktualisiert am
Eine Web Application Firewall fungiert als Sicherheitsschild für Ihre Webanwendungen. Die ALB WAF arbeitet auf Layer 7 (Application Layer), prüft eingehenden Traffic und blockiert bösartige Requests wie Bots und gängige Exploits, bevor diese Ihren Backend-Services schaden können. Sie stellt sicher, dass sicherer Traffic passieren kann, während Bedrohungen abgewehrt werden.
Die STACKIT ALB WAF basiert auf der leistungsstarken Coraza Engine und integriert sich nahtlos in den STACKIT Application Load Balancer (ALB).
Welche Funktionen die STACKIT ALB WAF derzeit unterstützt, sehen Sie in der Übersicht der ALB WAF Funktionen.
Kernkonzepte
Abschnitt betitelt „Kernkonzepte“Zu verstehen, wie die ALB WAF Objekte verarbeitet und referenziert, ist entscheidend für die Konfiguration Ihrer Security Policies.
Firewall-Konfiguration
Abschnitt betitelt „Firewall-Konfiguration“Die ALB WAF Config ist das zentrale Konfigurationsobjekt, das Ihre Firewall-Einstellungen enthält. Sie dient als Container, in dem Sie Ihre gewünschten Managed Rule Sets oder Custom Rule Groups referenzieren.
- Limits: Standardmäßig können Sie bis zu 150 eindeutige ALB WAF Configs pro Projekt speichern.
- Scope: Eine einzelne ALB WAF Config kann mehreren Listenern zugewiesen werden.
Managed Rule Sets
Abschnitt betitelt „Managed Rule Sets“Managed Rule Sets sind vorkonfigurierte Sammlungen von Regeln, die vor weit verbreiteten Schwachstellen schützen. Die erste und primäre Sammlung ist das OWASP Core Ruleset (CRS), das Ihre Anwendungen vor den OWASP-Top-10-Bedrohungen schützt (einschließlich SQL Injection und Cross-Site Scripting).
- Anpassung: Anstatt komplexe Regeln von Grund auf neu zu schreiben, können Sie einzelne Regeln innerhalb des Managed Sets über die API global aktivieren, deaktivieren oder protokollieren.
Custom Rule Groups
Abschnitt betitelt „Custom Rule Groups“Mit Custom Rule Groups können Sie Sammlungen spezialisierter Security-Regeln definieren, die auf Ihre Anforderungen zugeschnitten sind.
- Abstrahierter Aufbau: Um die Komplexität zu reduzieren, werden Regeln über die API mit einem strukturierten JSON-Modell konfiguriert.
- Limits: Standardmäßig können Sie bis zu 150 eindeutige Custom-Rule-Konfigurationen pro Projekt speichern.
- Auswertungsreihenfolge: Custom Rules werden vor den Managed Rule Sets ausgewertet. So können Sie frühzeitig in der Inspektionskette Ausnahmen definieren oder bestimmte Payloads auf eine Whitelist setzen.
Listener-Integration
Abschnitt betitelt „Listener-Integration“Der Schutz durch die ALB WAF wird pro Listener aktiviert. Ein ALB-Listener verfügt über ein Property-Feld namens wafConfigName. Sobald diese Referenz mit einem gültigen ALB WAF Config-Namen befüllt ist, beginnt die Firewall sofort damit, den gesamten Traffic zu prüfen, der über diesen bestimmten Port läuft.
Firewall-Konfiguration erstellen
Abschnitt betitelt „Firewall-Konfiguration erstellen“Um den Schutz durch die ALB WAF zu aktivieren, folgen Sie diesem strukturierten, dreistufigen Vorgehen.
-
Erstellen Sie Ihre Regeln: Bevor Sie Ihre ALB WAF Config erstellen, müssen Sie mindestens eines der folgenden Elemente konfigurieren:
- Managed Rule Set: Konfigurieren Sie Ihre grundlegenden Schutzregeln (zum Beispiel OWASP CRS).
- Custom Rule Group: Definieren Sie die Custom Rule Group, die Sie verwenden möchten.
-
Stellen Sie die ALB WAF Config zusammen: Erstellen Sie Ihre zentrale ALB WAF Config-Entität. Weisen Sie der Config im Body Ihres API-Requests einen eindeutigen Namen zu und verknüpfen Sie die Identifier der Managed Rule Sets oder Custom Rule Groups, die Sie im ersten Schritt erstellt haben.
-
Verknüpfen Sie die ALB WAF Config mit einem ALB-Listener: Aktivieren Sie die Firewall, indem Sie Ihre Config an den Application Load Balancer binden:
- Geben Sie beim Erstellen oder Aktualisieren eines ALB-Listeners Ihren ALB WAF Config-Namen im Feld
wafConfigNameinnerhalb des Konfigurationsblocks des Listeners an. - Der ALB initialisiert automatisch die Coraza Engine und wendet Ihre ALB WAF Config auf den Traffic-Pfad des Listeners an.
- Geben Sie beim Erstellen oder Aktualisieren eines ALB-Listeners Ihren ALB WAF Config-Namen im Feld