Microsoft Azure Web Application Firewall: Web-App-Schutz für kleine Unternehmen in Berlin

Microsoft Azure Web Application Firewall (WAF) schützt auf Azure Application Gateway, Azure Front Door und Azure CDN gehostete Webanwendungen vor gängigen Web-Exploits, einschließlich SQL-Injection, Cross-Site-Scripting (XSS), Remote File Inclusion und den OWASP-Top-10-Schwachstellenkategorien. Für kleine Unternehmen in Berlin, die kundenorientierte Webanwendungen, E-Commerce-Plattformen, Portale oder APIs in Azure betreiben, bietet WAF Anwendungsschichtsicherheit, die Netzwerkschicht-Firewalls und DDoS-Schutz nicht adressieren können.

WAF auf Application Gateway vs. Azure Front Door

Azure Application Gateway WAF ist ein regionaler Load Balancer mit integrierten WAF-Fähigkeiten, geeignet für den Schutz von Webanwendungen in einer einzigen Azure-Region. Application Gateway WAF arbeitet auf Layer 7, prüft HTTP/HTTPS-Anfrageinhalte vor der Weiterleitung an Backend-Anwendungsserver und verarbeitet SSL-Terminierung, anforderungsbasiertes Routing auf Basis von URL-Pfad und Host-Headern sowie Sitzungsaffinität neben der WAF-Filterung. Für ein Berliner KMU, das eine Webanwendung auf Azure IaaS oder App Service in einem virtuellen Netzwerk betreibt, ist Application Gateway WAF die Standardwahl.

Azure Front Door WAF ist ein global verteilter Einstiegspunkt, der WAF-Schutz über Microsofts globales PoP-Netzwerk bietet und Benutzer zur nächstgelegenen Anwendungsinstanz weiterleitet und Angriffe am Netzwerkrand schützt. Front Door WAF eignet sich für Anwendungen mit globaler Nutzerbasis, latenzempfindliche APIs, die CDN-Beschleunigung benötigen, und Szenarien, die Botverwaltung im Großmaßstab erfordern. Für kleine Berliner Unternehmen, die hauptsächlich lokale oder europäische Nutzer bedienen, ist Application Gateway WAF typischerweise die kostengünstigere Architektur.

OWASP Core Rule Set und Managed Rules

Azure WAF umfasst verwaltete Regelsets basierend auf dem OWASP Core Rule Set (CRS), das vorgefertigte Erkennungsregeln für die häufigsten Webanwendungs-Angriffskategorien bietet: SQL-Injection, XSS, Local File Inclusion (LFI), Remote File Inclusion (RFI), PHP-Injection, Java-Injection, Command-Injection und Protokollverletzungen. Die verwalteten Regelsets werden von Microsoft gepflegt und bei neuen Angriffsmustern aktualisiert, sodass keine benutzerdefinierten WAF-Regeln für gängige Angriffssignaturen geschrieben und gepflegt werden müssen.

WAF-Regelsets können im Erkennungsmodus (Protokollierung von Übereinstimmungen ohne Blockierung) oder im Verhinderungsmodus (Blockierung von Übereinstimmungen mit Angriffssignaturen) betrieben werden. Der Erkennungsmodus wird während der anfänglichen Bereitstellung verwendet, um legitimen Datenverkehr zu identifizieren, der Fehlalarme auslöst, bevor zum Verhinderungsmodus gewechselt wird. Spezifische Regeln oder Regelgruppen können deaktiviert werden, um Fehlalarme bei Anwendungen zu unterdrücken, die Muster verwenden, die die WAF als Angriffe fehlidentifiziert — beispielsweise können Anwendungen, die HTML-Eingaben in Formularfeldern akzeptieren, XSS-Regeln auslösen, die auf spezifische URI-Pfade beschränkt werden müssen.

Benutzerdefinierte Regeln und Botverwaltung

Neben den verwalteten Regelsets unterstützt WAF benutzerdefinierte Regeln für organisationsspezifische Zugangskontrollen: Geo-Filterung zum Blockieren von Datenverkehr aus bestimmten Ländern, IP-Reputationslisten zum Blockieren bekannter bösartiger IP-Bereiche, Rate Limiting zur Abwehr von Credential Stuffing und Content-Scraping sowie benutzerdefinierte Abgleichbedingungen für anwendungsspezifische Bedrohungsmuster. Für ein Berliner E-Commerce-Unternehmen reduziert eine benutzerdefinierte WAF-Regel, die Login-Endpunktanfragen von Nicht-EU-IP-Bereichen blockiert, die Credential-Stuffing-Angriffsfläche, ohne die erwartete Nutzerbasis zu beeinträchtigen.

Azure Front Door WAF umfasst Botverwaltungsfähigkeiten durch den Microsoft Bot Manager-Regelset, der Web-Datenverkehr als verifizierte Bots (Suchmaschinen-Crawler), nicht verifizierte Bots, bösartige Bots und menschlichen Datenverkehr klassifiziert. Der Bot-Manager kann verifizierte Bots erlauben (Googlebot und Bingbot für SEO-Indexierung durchlassen), nicht verifizierte Bots mit CAPTCHA oder Rate Limiting herausfordern und bekannte bösartige Bots automatisch blockieren. Für Anwendungen, die automatisiertem Scraping, Credential Stuffing oder Inventar-Hoarding-Angriffen ausgesetzt sind, bietet die Botverwaltung gezielte Abhilfe ohne Blockierung legitimer menschlicher Nutzer.

WAF-Monitoring und Protokollierung

WAF-Protokolle werden an Azure Monitor ausgegeben und können an einen Log Analytics-Workspace für Abfragen und Warnungen, an Azure Storage für die Langzeitaufbewahrung oder an einen Event Hub für das Streaming an externe SIEM-Systeme einschließlich Microsoft Sentinel weitergeleitet werden. WAF-Protokolle enthalten die vollständigen Anfragedetails, welche Regel übereinstimmte, den Abgleichnachweis (die spezifische Zeichenfolge, die die Regel ausgelöst hat) und die ergriffene Aktion. Die Analyse von WAF-Protokollen in Sentinel ermöglicht die Korrelation mit anderen Sicherheitssignalen — ein WAF-Block-Ereignis gefolgt von einer erfolgreichen Authentifizierung von derselben IP zeigt an, dass der Angreifer nach erfolglosen Injection-Versuchen zu Credential-basiertem Zugriff gewechselt ist.

Azure Monitor WAF-Metriken bieten Echtzeit-Einblick in das Angriffsvolumen: Gesamtanfragen, blockierte Anfragen, Regelübereinstimmungen nach Regel-ID und geografischer Ursprung des Datenverkehrs. Warnungsregeln bei plötzlichen Spitzen in WAF-Block-Ereignissen erkennen aktive Angriffskampagnen gegen Ihre Anwendung. Für Berliner Unternehmen, die unter NIS2-Meldepflichten stehen (Betreiber wesentlicher oder wichtiger Einrichtungen), liefern WAF-Protokolle den Beweispfad, der erforderlich ist, um die Art und den Umfang versuchter Cyberangriffe auf öffentlich zugängliche Dienste zu dokumentieren.

Integration mit Azure DDoS Protection und Defender for Cloud

Azure WAF arbeitet auf Layer 7 (Anwendungsschicht) und sollte mit Azure DDoS Protection auf Layer 3/4 (Netzwerkschicht) kombiniert werden, um umfassenden Schutz gegen volumetrische und anwendungsschichtbezogene Angriffe zu bieten. DDoS Protection Standard erkennt und mindert volumetrische Floods, die versuchen, die Application Gateway-Kapazität zu überwältigen, bevor WAF einzelne Anfragen prüfen kann. Microsoft Defender for App Service erweitert die Bedrohungserkennung auf die Anwendungslaufzeitschicht, erkennt Post-Exploitation-Verhalten auf Anwendungsservern hinter dem WAF und schafft so einen Defense-in-Depth-Stack von Netzwerk bis Anwendung bis Laufzeit.

Microsoft Defender for Cloud bewertet die WAF-Konfiguration als Teil seiner Secure Score-Empfehlungen und identifiziert falsch konfigurierte WAF-Bereitstellungen, Application Gateways ohne aktiviertes WAF und Regelausschlüsse, die den Schutzumfang erheblich reduzieren. Für Berliner Unternehmen, die Defender for Cloud zur Pflege ihrer Azure-Sicherheitsposition nutzen, erscheinen WAF-Empfehlungen neben Compute-, Speicher- und Identitätsempfehlungen im einheitlichen Sicherheits-Dashboard.