Oracle Cloud Infrastructure Web Application Firewall (WAF) ist ein cloudbasierter, PCI-kompatibler, globaler Sicherheitsdienst, der Anwendungen vor böswilligem und unerwünschtem Internetverkehr schützt. Oracle Cloud Infrastructure WAF kann jeden internetfähigen Endpunkt schützen und eine konsistente Durchsetzung von Regeln in den Anwendungen eines Kunden gewährleisten.
Mit Oracle Cloud Infrastructure WAF können Kunden Regeln zur Vermeidung von Internetbedrohungen erstellen und verwalten, einschließlich Cross-Site-Scripting (XSS), SQL-Injection und anderer von OWASP definierter Sicherheitsanfälligkeiten. Unerwünschte Bots können vermieden werden, während erwünschte Bots zugelassen werden können. Die Regeln können auch verwendet werden, um den Zugriff basierend auf der Geografie oder der Signatur eingehender Anforderungen zu beschränken.
Das globale Security Operations Center (SOC) von Oracle überwacht kontinuierlich die Bedrohungslandschaft im Internet und stellt eine Erweiterung Ihres IT-Sicherheitsteams dar.
Oracle Cloud Infrastructure WAF sollte für alle internetbasierten Webanwendungen oder HTTP-basierten APIs in Erwägung gezogen werden.
| Verantwortung | Oracle | Kunde |
|---|---|---|
| Onboarden/Konfigurieren der WAF-Richtlinie für die Webanwendung | Nein | Ja |
| Konfigurieren der WAF-Onboarding-Abhängigkeiten (DNS, Eingangsregeln, Netzwerk) | Nein | Ja |
| Bereitstellen der WAF-Hochverfügbarkeit | Ja | Nein |
| Überwachen von DDoS-Angriffen (Distributed Denial of Service) | Ja | Nein |
| Patchen und Aktualisieren der WAF-Infrastruktur | Ja | Nein |
| Überwachen der Datenebenenprotokolle auf unnormales, unerwünschtes Verhalten | Ja | Ja |
| Erstellen von neuen Regeln basierend auf neuen Schwachstellen und entsprechender Schadensbegrenzung | Ja | Nein |
| Überprüfen und Annehmen neuer empfohlener Regeln | Nein | Ja |
| Anpassen der Zugriffsregeln und Bot-Management-Strategien der WAF an Ihren Datenverkehr | Nein | Ja |
Oracle Cloud Infrastructure WAF filtert böswillige Anfragen an Ihre Webanwendung oder API heraus. Sie erhalten auch mehr Informationen darüber, woher der Datenverkehr kommt, und Layer-7-DDoS-Angriffe werden abgeschwächt, um eine höhere Verfügbarkeit zu gewährleisten.
Die Bot-Management-Lösung verwendet Erkennungstechniken wie IP-Ratenbegrenzung, CAPTCHA, Gerätefingerabdruck und menschliche Interaktionen, um zu erkennen und zu verhindern, dass bösartige und/oder verdächtige Bot-Aktivitäten Ihre Website nach Unternehmensdaten durchsuchen. Gleichzeitig kann die WAF zulassen, dass legitimer Bot-Verkehr von Google, Facebook und anderen erwünschten Sites auf Ihre Webanwendungen zugreift.
Oracle Cloud Infrastructure WAF verwendet einen intelligenten DNS-datengestützten Algorithmus, der den besten globalen Präsenzpunkt (POP) ermittelt, um bestimmten Nutzern in Echtzeit Informationen bereitzustellen. Infolgedessen werden Nutzer um globale Netzwerkprobleme und mögliche Latenzen herumgeleitet und erhalten gleichzeitig bestmögliche Verfügbarkeit und Serviceniveaus.
Oracle Cloud Infrastructure WAF steht Abonnenten des Universal Credit Models zur Verfügung. Universal Credit Model-Abonnenten können auf Oracle Cloud Infrastructure WAF über die Oracle Cloud Infrastructure-Konsole auf der Registerkarte „Spitzen-Services“ zugreifen. Die Dokumentation enthält eine Kurzanleitung, die der ideale Ausgangspunkt ist.
Das Oracle Cloud Infrastructure WAF verwendet ein universelles Guthabenmodell, das basierend auf den folgenden Kennzahlen verbraucht wird:
Ja. Oracle Cloud Infrastructure WAF steht Abonnenten des Universal Credit Models zur Verfügung. Kunden können sich entscheiden, ausschließlich Oracle Cloud Infrastructure WAF zu nutzen, um Nicht-OCI-Workloads zu schützen. Es besteht eine geringfügige Abhängigkeit vom Objektspeicher, wenn Sie die Oracle Cloud Infrastructure-Konsole nutzen, die in Ihrer Abrechnung aufgeführt wird.
Ja. Oracle Cloud Infrastructure WAF wurde im Hinblick auf API-Nutzung entworfen, sodass alle Aktionen in der Konsole auch in der API verfügbar sind.
Mit Stand vom Februar 2019 nicht. Es gibt einige Verwaltungsfunktionen, die nur über die API ausgeführt werden können. Einige dieser ausschließlichen API-Funktionen umfassen:
Wir werden diese Elemente im Laufe der Zeit zur Konsole hinzufügen und API-, SDK- und Terraform-Beispiele für die Verwaltung dieser Funktionen veröffentlichen.
Der empfohlene Ansatz besteht darin, die API zu verwenden, damit SIEM WAF-Protokolle verwendet. Für SIEM-Anbieter stellen wir derzeit keine vorgefertigten Plug-Ins zur Verfügung.
Oracle Cloud Infrastructure WAF ist ein globaler Dienst, der in jeder kommerziellen Region konfiguriert werden kann. Er ist jedoch nicht auf diese Region für Daten beschränkt. Jede Oracle Cloud Infrastructure WAF-Konfiguration wird zur globalen „Edge“ hinzugefügt.
Oracle verfügt derzeit über insgesamt 22 Edge-Knoten mit folgenden globalen Standorten*:
*Beachten Sie, dass einige Standorte mehr als einen PoP haben.
Ja. Oracle Cloud Infrastructure bietet unbegrenzten DDoS-Schutz für Webanwendungen und -dienste.
Der DDoS-Schutz wird vom Oracle Cloud Infrastructure-Edge-Netzwerk bereitgestellt, das aus global verteilten PoPs (Points of Presence) mit hoher Kapazität besteht, die eine Vielzahl von Edge-Anwendungen unterstützen. Die Edge-PoPs von Oracle befinden sich in Oracle Cloud Infrastructure-Regionen und an eigenständigen Standorten weltweit. L7-DDoS-Angriffe werden spezifisch von der Oracle Web Application Firewall (WAF) verwaltet, die einen vollständigen Satz von Zugriffssteuerungs- und Bot-Verwaltungsfunktionen zur Abwehr von L7-DDoS-Bedrohungen enthält. Oracle WAF wurde zum Schutz gegen die meisten DDoS-Angriffe an jedem PoP entwickelt. Im Falle eines L7-DDoS-Angriffs mit extrem hohem Volumen verwendet Oracle DDoS-Scrubbing-Center, die global verteilt sind, um schnelle Reaktionszeiten zu ermöglichen.
Der Dienst ist über die Oracle Cloud Infrastructure-Konsole verfügbar. Der Kunde wählt den L7-DDoS-Schutz in der Konsole als Teil des WAF-Bot-Verwaltungsmenüs aus. Kunden können eine von zwei Optionen auswählen:
1. Jederzeit abrufbar: Der L7-DDoS-Schutz wird nach Ermessen des Kunden aktiviert.
2. Immer aktiviert: Der L7-DDoS-Schutz ist immer aktiviert und bietet automatischen Schutz.
Die L7-DDoS-Schadensbegrenzung ist Teil der Oracle Cloud Infrastructure WAF und wird aktiviert, wenn Nutzer eine Reihe von Richtlinienoptionen auswählen, mit denen sich anspruchsvolle L7-DDoS-Angriffe abwehren lassen. Zu den Richtlinienoptionen gehören unter anderem JavaScript-Interaktionen, IP-Ratenbegrenzung, Gerätefingerabdruck und menschliche Interaktionen. Diese Gegenmaßnahmen sind vollautomatisch, wenn die Option „Immer aktiviert“ ausgewählt ist. Die Nutzer können auch die Option „Jederzeit abrufbar“ auswählen, um den L7-DDoS-Schutz nach eigenem Ermessen manuell zu aktivieren.
Die L7-DDoS-Schadensbegrenzung ist Teil von Oracle Cloud Infrastructure WAF. Dies ist ein gemessenes Abonnement, das auf dem Datenverkehr und dem Anforderungsvolumen basiert. Weitere Informationen finden Sie auf der Preisseite von Oracle.
Der Datenverkehr wird über eine Reverse-Proxy-Architektur automatisch an das Oracle Cloud Infrastructure-Edge-Netzwerk weitergeleitet. Das Edge-Netzwerk umfasst global verteilte PoPs, die den gesamten HTTP- und HTTPS-Verkehr prüfen, bevor er bei der Webanwendung eintrifft. Die PoPs verwenden die aktivierten DDoS-Gegenmaßnahmen, um Datenverkehr, der als von böswilligen Bot-Netzen stammend identifiziert wird, automatisch zu entfernen.
Das Oracle Cloud Infrastructure-Portal enthält Konsolen mit Echtzeitberichten zu Warnungen, blockierten Anforderungen, Bot-Begrenzungen und Protokollen.
Konfigurieren Sie Ihre Ursprungseingangsregeln so, dass nur Verbindungen aus den folgenden CIDR-Bereichen akzeptiert werden:
134.70.92.0/22
140.91.38.0/23
140.204.20.128/25
192.29.144.0/21
192.29.152.0/22
134.70.88.0/22
140.91.36.0/23
140.204.16.128/25
192.29.56.0/21
192.29.60.0/23
192.29.178.0/25
192.29.180.0/22
134.70.76.0/22
140.91.30.0/23
140.204.4.128/25
192.29.48.0/21
192.29.160.0/21
192.29.168.0/22
192.29.172.0/25
134.70.96.0/22
140.91.40.0/23
140.204.24.128/25
192.29.16.0/20
130.35.112.0/22
130.35.116.0/25
132.145.0.128/25
132.145.2.128/25
132.145.4.128/25
134.70.56.0/21
134.70.64.0/22
138.1.16.0/20
138.1.80.0/20
138.1.208.0/20
138.1.224.0/19
140.91.22.0/23
140.91.24.0/22
147.154.224.0/19
134.70.80.0/22
140.91.32.0/23
140.204.8.128/25
192.29.32.0/21
192.29.40.0/22
192.29.44.0/25
134.70.72.0/22
140.91.28.0/23
140.204.0.128/25
192.29.0.0/20
192.29.64.0/20
138.1.0.0/20
138.1.40.0/21
138.1.64.0/20
138.1.96.0/21
138.1.104.0/22
138.1.160.0/19
138.1.192.0/20
147.154.128.0/18
147.154.192.0/20
147.154.208.0/21
129.213.0.128/25
129.213.2.128/25
129.213.4.128/25
130.35.16.0/20
130.35.48.0/20
130.35.64.0/19
130.35.96.0/20
130.35.120.0/21
130.35.144.0/20
130.35.176.0/20
130.35.192.0/19
130.35.224.0/22
130.35.232.0/21
134.70.24.0/21
134.70.32.0/22
138.1.48.0/21
140.91.10.0/23
140.91.12.0/22
147.154.0.0/18
147.154.64.0/20
147.154.80.0/21
134.70.84.0/22
140.91.34.0/23
140.204.12.128/25
192.29.128.0/21
192.29.138.0/23
129.146.12.128/25
129.146.13.128/25
129.146.14.128/25
130.35.0.0/20
130.35.128.0/20
130.35.240.0/20
134.70.8.0/21
134.70.16.0/22
138.1.32.0/21
138.1.128.0/19
140.91.4.0/22
140.91.8.0/23
147.154.96.0/19
192.29.96.0/20
199.195.6.0/23
198.181.48.0/21
192.69.118.0/23
205.147.88.0/21
192.157.19.0/24
192.157.18.0/24
Ja, aber dies ist keine Option, die sie selbst ändern können. Sie können ein Supportticket bei My Oracle Support einreichen, um eine Aktualisierung ihrer CAPTCHA-Seite anzufordern. Voraussetzung ist, dass es sich um ein HTML mit allen JavaScript-Inline-Dateien ohne externe Dateien handeln muss.
Oracle Cloud Infrastructure WAF unterstützt CRS 3.0.
Wir empfehlen die Verwendung von API, CLI, SDK oder Terraform, um dies zu skripten.