Oracle Cloud Infrastructure Web Application Firewall (WAF) ist ein cloudbasierter, PCI-kompatibler, globaler Sicherheitsdienst, der Anwendungen vor böswilligem und unerwünschtem Internetverkehr schützt. Oracle Cloud Infrastructure WAF kann jeden internetfähigen Endpunkt schützen und eine konsistente Durchsetzung von Regeln in den Anwendungen eines Kunden gewährleisten.
Mit Oracle Cloud Infrastructure WAF können Kunden Regeln zur Vermeidung von Internetbedrohungen erstellen und verwalten, einschließlich Cross-Site-Scripting (XSS), SQL-Injection und anderer von OWASP definierter Sicherheitsanfälligkeiten. Unerwünschte Bots können vermieden werden, während erwünschte Bots zugelassen werden können. Die Regeln können auch verwendet werden, um den Zugriff basierend auf der Geografie oder der Signatur eingehender Anforderungen zu beschränken.
Das globale Security Operations Center (SOC) von Oracle überwacht kontinuierlich die Bedrohungslandschaft im Internet und stellt eine Erweiterung Ihres IT-Sicherheitsteams dar.
Oracle Cloud Infrastructure WAF sollte für alle internetbasierten Webanwendungen oder HTTP-basierten APIs in Erwägung gezogen werden.
| Verantwortung | Oracle | Kunde |
|---|---|---|
| Onboarden/Konfigurieren der WAF-Richtlinie für die Webanwendung | Nein | Ja |
| Konfigurieren der WAF-Onboarding-Abhängigkeiten (DNS, Eingangsregeln, Netzwerk) | Nein | Ja |
| Bereitstellen der WAF-Hochverfügbarkeit | Ja | Nein |
| Überwachen von DDoS-Angriffen (Distributed Denial of Service) | Ja | Nein |
| Patchen und Aktualisieren der WAF-Infrastruktur | Ja | Nein |
| Überwachen der Datenebenenprotokolle auf unnormales, unerwünschtes Verhalten | Ja | Ja |
| Erstellen von neuen Regeln basierend auf neuen Schwachstellen und entsprechender Schadensbegrenzung | Ja | Nein |
| Überprüfen und Annehmen neuer empfohlener Regeln | Nein | Ja |
| Anpassen der Zugriffsregeln und Bot-Management-Strategien der WAF an Ihren Datenverkehr | Nein | Ja |
Oracle Cloud Infrastructure WAF filtert böswillige Anfragen an Ihre Webanwendung oder API heraus. Sie erhalten auch mehr Informationen darüber, woher der Datenverkehr kommt, und Layer-7-DDoS-Angriffe werden abgeschwächt, um eine höhere Verfügbarkeit zu gewährleisten.
Die Bot-Management-Lösung verwendet Erkennungstechniken wie IP-Ratenbegrenzung, CAPTCHA, Gerätefingerabdruck und menschliche Interaktionen, um zu erkennen und zu verhindern, dass bösartige und/oder verdächtige Bot-Aktivitäten Ihre Website nach Unternehmensdaten durchsuchen. Gleichzeitig kann die WAF zulassen, dass legitimer Bot-Verkehr von Google, Facebook und anderen erwünschten Sites auf Ihre Webanwendungen zugreift.
Oracle Cloud Infrastructure WAF verwendet einen intelligenten DNS-datengestützten Algorithmus, der den besten globalen Präsenzpunkt (POP) ermittelt, um bestimmten Benutzern in Echtzeit Informationen bereitzustellen. Infolgedessen werden Benutzer um globale Netzwerkprobleme und mögliche Latenzen herumgeleitet und erhalten gleichzeitig bestmögliche Verfügbarkeit und Serviceniveaus.
Das Oracle Cloud Infrastructure WAF verwendet ein universelles Guthabenmodell, das basierend auf den folgenden Kennzahlen verbraucht wird:
Ja. Oracle Cloud Infrastructure WAF steht Abonnenten des Universal Credit Models zur Verfügung. Kunden können sich entscheiden, ausschließlich Oracle Cloud Infrastructure WAF zu nutzen, um Nicht-OCI-Workloads zu schützen. Es besteht eine geringfügige Abhängigkeit vom Objektspeicher, wenn Sie die Oracle Cloud Infrastructure-Konsole nutzen, die in Ihrer Abrechnung aufgeführt wird.
Ja. Oracle Cloud Infrastructure WAF wurde im Hinblick auf API-Nutzung entworfen, sodass alle Aktionen in der Konsole auch in der API verfügbar sind.
Nicht seit März 2021. Es gibt einige Verwaltungsfunktionen, die nur über die API ausgeführt werden können. Einige dieser ausschließlichen API-Funktionen umfassen:
Wir werden diese Elemente im Laufe der Zeit zur Konsole hinzufügen und API-, SDK- und Terraform-Beispiele für die Verwaltung dieser Funktionen veröffentlichen.
Der empfohlene Ansatz besteht darin, die API zu verwenden, damit SIEM WAF-Protokolle verwendet. Für SIEM-Anbieter stellen wir derzeit keine vorgefertigten Plug-Ins zur Verfügung.
Oracle Cloud Infrastructure WAF ist ein globaler Dienst, der in jeder kommerziellen Region konfiguriert werden kann. Er ist jedoch nicht auf diese Region für Daten beschränkt. Jede Oracle Cloud Infrastructure WAF-Konfiguration wird zur globalen „Edge“ hinzugefügt.
Oracle verfügt derzeit über insgesamt 11 Edge-Knoten mit folgenden globalen Standorten*:
*Beachten Sie, dass einige Standorte mehr als einen PoP haben.
Ja. Oracle Cloud Infrastructure bietet unbegrenzten DDoS-Schutz für Webanwendungen und -dienste.
Der DDoS-Schutz wird vom Oracle Cloud Infrastructure-Edge-Netzwerk bereitgestellt, das aus global verteilten PoPs (Points of Presence) mit hoher Kapazität besteht, die eine Vielzahl von Edge-Anwendungen unterstützen. Die Edge-PoPs von Oracle befinden sich in Oracle Cloud Infrastructure-Regionen und an eigenständigen Standorten weltweit. L7-DDoS-Angriffe werden spezifisch von der Oracle Web Application Firewall (WAF) verwaltet, die einen vollständigen Satz von Zugriffssteuerungs- und Bot-Verwaltungsfunktionen zur Abwehr von L7-DDoS-Bedrohungen enthält. Oracle WAF wurde zum Schutz gegen die meisten DDoS-Angriffe an jedem PoP entwickelt. Im Falle eines L7-DDoS-Angriffs mit extrem hohem Volumen verwendet Oracle DDoS-Scrubbing-Center, die global verteilt sind, um schnelle Reaktionszeiten zu ermöglichen.
Der Dienst ist über die Oracle Cloud Infrastructure-Konsole verfügbar. Der Kunde wählt den L7-DDoS-Schutz in der Konsole als Teil des WAF-Bot-Verwaltungsmenüs aus. Kunden können eine von zwei Optionen auswählen:
1. On-Demand: L7 DDoS-Schutz wird auf Wunsch des Kunden aktiviert.
2. Always-on: L7 DDoS-Schutz ist immer aktiviert und bietet automatischen Schutz.
Die L7-DDoS-Schadensbegrenzung ist Teil der Oracle Cloud Infrastructure WAF und wird aktiviert, wenn Benutzer eine Reihe von Richtlinienoptionen auswählen, mit denen sich anspruchsvolle L7-DDoS-Angriffe abwehren lassen. Zu den Richtlinienoptionen gehören unter anderem JavaScript-Interaktionen, IP-Ratenbegrenzung, Gerätefingerabdruck und menschliche Interaktionen. Diese Gegenmaßnahmen sind vollautomatisch, wenn die Option „Immer aktiviert“ ausgewählt ist. Die Benutzer können auch die Option „Jederzeit abrufbar“ auswählen, um den L7-DDoS-Schutz nach eigenem Ermessen manuell zu aktivieren.
Die L7-DDoS-Schadensbegrenzung ist Teil von Oracle Cloud Infrastructure WAF. Dies ist ein gemessenes Abonnement, das auf dem Datenverkehr und dem Anforderungsvolumen basiert. Weitere Informationen finden Sie auf der Preisseite von Oracle.
Der Datenverkehr wird über eine Reverse-Proxy-Architektur automatisch an das Oracle Cloud Infrastructure-Edge-Netzwerk weitergeleitet. Das Edge-Netzwerk umfasst global verteilte PoPs, die den gesamten HTTP- und HTTPS-Verkehr prüfen, bevor er bei der Webanwendung eintrifft. Die PoPs verwenden die aktivierten DDoS-Gegenmaßnahmen, um Datenverkehr, der als von böswilligen Bot-Netzen stammend identifiziert wird, automatisch zu entfernen.
Das Oracle Cloud Infrastructure-Portal enthält Konsolen mit Echtzeitberichten zu Warnungen, blockierten Anforderungen, Bot-Begrenzungen und Protokollen.
Konfigurieren Sie Ihre Ursprungs-Ingress-Regeln so, dass nur Verbindungen aus bestimmten CIDR-Bereichen akzeptiert werden. Informationen zum Abrufen der aktualisierten Liste finden Sie unter WAF sichern im Handbuch für erste Schritte.
Nein, diese Funktion wird derzeit nicht unterstützt.
Oracle Cloud Infrastructure WAF unterstützt CRS 3.0.
Wir empfehlen, mit der API, der CLI, dem SDK oder Terraform ein Skript hierfür zu erstellen. Es wird jedoch nicht empfohlen, gleichzeitig alle zu aktivieren.
Weitere Informationen finden Sie auf der Hauptseite Web Application Firewall.
WAF for Oracle Fusion Cloud Applications Suite verbessert die Sicherheit unserer Kunden, indem das Oracle SaaS-Cloud-Sicherheitsteam zusätzliche Einblicke in Angriffe auf Anwendungsebene in Bezug auf ihre Anwendungsdaten erhält. WAF for Fusion Applications ist für Kunden vollständig transparent und wird komplett von den Experten von Oracle verwaltet. Mit diesem Out-of-the-box-Angebot werden Kunden rund um die Uhr von einem Security Operations Center unterstützt, das für die Aktualisierung, Überwachung, Verwaltung, Reaktion und den Schutz unserer Fusion Applications verantwortlich ist – ohne Beeinträchtigung der Belastbarkeit oder Verfügbarkeit der Anwendung.
WAF for Fusion Applications ist für alle Fusion-Kunden, die auf Oracle Cloud Infrastructure gehostet werden, kostenlos verfügbar.
WAF for Fusion Applications wird zusammen mit unserem Load Balancer bereitgestellt und unterstützt Hunderte Regeln, die beliebige Teile der Webanforderung an Fusion-Anwendungen und APIs mit minimalen Latenzauswirkungen auf eingehenden Traffic prüfen können.
WAF for Fusion Applications ist eine Version der Oracle Cloud Infrastructure WAF, die für SaaS-Produkte optimiert wurde. Sie schützt SaaS-Anwendungen vor gezielten Angriffen, indem sie Traffic basierend auf Out-of-the-box-Regeln filtert, die von SaaS-Sicherheitsteams entwickelt wurden, um einen permanent aktiven Layer-7-Schutz zu gewährleisten.