Oracle Cloud Infrastructure WAF sollte für alle internetbasierten Webanwendungen oder HTTP-basierten APIs in Erwägung gezogen werden.

Verantwortung	Oracle	Kunde
Onboarden/Konfigurieren der WAF-Richtlinie für die Webanwendung	Nein	Ja
Konfigurieren der WAF-Onboarding-Abhängigkeiten (DNS, Eingangsregeln, Netzwerk)	Nein	Ja
Bereitstellen der WAF-Hochverfügbarkeit	Ja	Nein
Überwachen von DDoS-Angriffen (Distributed Denial of Service)	Ja	Nein
Patchen und Aktualisieren der WAF-Infrastruktur	Ja	Nein
Überwachen der Datenebenenprotokolle auf unnormales, unerwünschtes Verhalten	Ja	Ja
Erstellen von neuen Regeln basierend auf neuen Schwachstellen und entsprechender Schadensbegrenzung	Ja	Nein
Überprüfen und Annehmen neuer empfohlener Regeln	Nein	Ja
Anpassen der Zugriffsregeln und Bot-Management-Strategien der WAF an Ihren Datenverkehr	Nein	Ja

Oracle Cloud Infrastructure WAF filtert böswillige Anfragen an Ihre Webanwendung oder API heraus. Sie erhalten auch mehr Informationen darüber, woher der Datenverkehr kommt, und Layer-7-DDoS-Angriffe werden abgeschwächt, um eine höhere Verfügbarkeit zu gewährleisten.

Die Bot-Management-Lösung verwendet Erkennungstechniken wie IP-Ratenbegrenzung, CAPTCHA, Gerätefingerabdruck und menschliche Interaktionen, um zu erkennen und zu verhindern, dass bösartige und/oder verdächtige Bot-Aktivitäten Ihre Website nach Unternehmensdaten durchsuchen. Gleichzeitig kann die WAF zulassen, dass legitimer Bot-Verkehr von Google, Facebook und anderen erwünschten Sites auf Ihre Webanwendungen zugreift.

Oracle Cloud Infrastructure WAF verwendet einen intelligenten DNS-datengestützten Algorithmus, der den besten globalen Präsenzpunkt (POP) ermittelt, um bestimmten Nutzern in Echtzeit Informationen bereitzustellen. Infolgedessen werden Nutzer um globale Netzwerkprobleme und mögliche Latenzen herumgeleitet und erhalten gleichzeitig bestmögliche Verfügbarkeit und Serviceniveaus.

• Architekturbereitstellung und Ursprungssperre: Beschränken Sie den Datenverkehr auf die Ports 80 und 443, was dazu führt, dass alle anderen Verbindungen getrennt werden.
• Dynamische Verkehrsweiterleitung über DNS: Nutzen Sie DNS-basierte Verkehrsleitungsalgorithmen, die die Nutzerlatenz tausender globaler Standorte berücksichtigen, um die Routen mit der niedrigsten Latenz zu ermitteln.
• Hochverfügbarkeit: Bei der Konfiguration der Bereitstellung von Webanwendungen bietet Oracle Cloud Infrastructure WAF mehrere Hochverfügbarkeits-Konfigurationsoptionen mit der Möglichkeit, mehrere Ursprungsserver hinzuzufügen. Diese Einstellungen und/oder Server werden nur in Fällen verwendet, in denen primäre Ursprungsserver offline sind oder nicht ordnungsgemäß auf Integritätsprüfungen reagieren.
• Richtlinienverwaltung: Konfigurieren und verwalten Sie Features und Funktionen in der Oracle Cloud Infrastructure WAF-Konfiguration.
• Überwachung und Berichterstellung: Mit dieser Funktion können Nutzer auf Berichte zugreifen, die sich auf ihre Inhaltsbibliothek beziehen.
• Support: Benachrichtigen Sie Supportteams über Probleme und eskalieren Sie Tickets je nach Dringlichkeit (z. B. Stufe 1, 2 oder 3).

Oracle Cloud Infrastructure WAF steht Abonnenten des Universal Credit Models zur Verfügung. Universal Credit Model-Abonnenten können auf Oracle Cloud Infrastructure WAF über die Oracle Cloud Infrastructure-Konsole auf der Registerkarte „Spitzen-Services“ zugreifen. Die Dokumentation enthält eine Kurzanleitung, die der ideale Ausgangspunkt ist.

Das Oracle Cloud Infrastructure WAF verwendet ein universelles Guthabenmodell, das basierend auf den folgenden Kennzahlen verbraucht wird:

• Anzahl der Anfragen (höherer Preis bei aktiviertem Bot-Management)
• Datenmenge/-verkehr aus der WAF
• Anzahl der Endpunkte, die nicht aus Oracle Cloud Infrastructure stammen (monatlich)

Ja. Oracle Cloud Infrastructure WAF steht Abonnenten des Universal Credit Models zur Verfügung. Kunden können sich entscheiden, ausschließlich Oracle Cloud Infrastructure WAF zu nutzen, um Nicht-OCI-Workloads zu schützen. Es besteht eine geringfügige Abhängigkeit vom Objektspeicher, wenn Sie die Oracle Cloud Infrastructure-Konsole nutzen, die in Ihrer Abrechnung aufgeführt wird.

Ja. Oracle Cloud Infrastructure WAF wurde im Hinblick auf API-Nutzung entworfen, sodass alle Aktionen in der Konsole auch in der API verfügbar sind.

Mit Stand vom Februar 2019 nicht. Es gibt einige Verwaltungsfunktionen, die nur über die API ausgeführt werden können. Einige dieser ausschließlichen API-Funktionen umfassen:

• Bedrohungsinformationen
• Ausnahmen für Schutzregeln
• IP-Ratenbegrenzung
• Sortierung von Zugriffsregeln
• Zertifikatsverwaltung (über das Hochladen eines einzelnen Zertifikats/Schlüssels hinaus)
• Gerätefingerabdrücke und menschliche Interaktionen zur Bot-Erkennung
• Berichterstellung und Telemetrie (vorausgesetzt, die öffentliche Oracle Cloud Infrastructure-Telemetrie steht Ihnen nicht zur Verfügung)

Wir werden diese Elemente im Laufe der Zeit zur Konsole hinzufügen und API-, SDK- und Terraform-Beispiele für die Verwaltung dieser Funktionen veröffentlichen.

Der empfohlene Ansatz besteht darin, die API zu verwenden, damit SIEM WAF-Protokolle verwendet. Für SIEM-Anbieter stellen wir derzeit keine vorgefertigten Plug-Ins zur Verfügung.

Oracle Cloud Infrastructure WAF ist ein globaler Dienst, der in jeder kommerziellen Region konfiguriert werden kann. Er ist jedoch nicht auf diese Region für Daten beschränkt. Jede Oracle Cloud Infrastructure WAF-Konfiguration wird zur globalen „Edge“ hinzugefügt.

Oracle verfügt derzeit über insgesamt 22 Edge-Knoten mit folgenden globalen Standorten*:

• Vancouver
• Seattle
• Los Angeles
• Toronto
• Chicago
• Dallas
• Ashburn
• Miami
• São Paulo
• Dublin
• London
• Frankfurt
• Amsterdam
• Singapur
• Hongkong
• Tokio
• Sydney

*Beachten Sie, dass einige Standorte mehr als einen PoP haben.

Ja. Oracle Cloud Infrastructure bietet unbegrenzten DDoS-Schutz für Webanwendungen und -dienste.

Der DDoS-Schutz wird vom Oracle Cloud Infrastructure-Edge-Netzwerk bereitgestellt, das aus global verteilten PoPs (Points of Presence) mit hoher Kapazität besteht, die eine Vielzahl von Edge-Anwendungen unterstützen. Die Edge-PoPs von Oracle befinden sich in Oracle Cloud Infrastructure-Regionen und an eigenständigen Standorten weltweit. L7-DDoS-Angriffe werden spezifisch von der Oracle Web Application Firewall (WAF) verwaltet, die einen vollständigen Satz von Zugriffssteuerungs- und Bot-Verwaltungsfunktionen zur Abwehr von L7-DDoS-Bedrohungen enthält. Oracle WAF wurde zum Schutz gegen die meisten DDoS-Angriffe an jedem PoP entwickelt. Im Falle eines L7-DDoS-Angriffs mit extrem hohem Volumen verwendet Oracle DDoS-Scrubbing-Center, die global verteilt sind, um schnelle Reaktionszeiten zu ermöglichen.

Der Dienst ist über die Oracle Cloud Infrastructure-Konsole verfügbar. Der Kunde wählt den L7-DDoS-Schutz in der Konsole als Teil des WAF-Bot-Verwaltungsmenüs aus. Kunden können eine von zwei Optionen auswählen:

1. Jederzeit abrufbar: Der L7-DDoS-Schutz wird nach Ermessen des Kunden aktiviert.

2. Immer aktiviert: Der L7-DDoS-Schutz ist immer aktiviert und bietet automatischen Schutz.

Die L7-DDoS-Schadensbegrenzung ist Teil der Oracle Cloud Infrastructure WAF und wird aktiviert, wenn Nutzer eine Reihe von Richtlinienoptionen auswählen, mit denen sich anspruchsvolle L7-DDoS-Angriffe abwehren lassen. Zu den Richtlinienoptionen gehören unter anderem JavaScript-Interaktionen, IP-Ratenbegrenzung, Gerätefingerabdruck und menschliche Interaktionen. Diese Gegenmaßnahmen sind vollautomatisch, wenn die Option „Immer aktiviert“ ausgewählt ist. Die Nutzer können auch die Option „Jederzeit abrufbar“ auswählen, um den L7-DDoS-Schutz nach eigenem Ermessen manuell zu aktivieren.

Die L7-DDoS-Schadensbegrenzung ist Teil von Oracle Cloud Infrastructure WAF. Dies ist ein gemessenes Abonnement, das auf dem Datenverkehr und dem Anforderungsvolumen basiert. Weitere Informationen finden Sie auf der Preisseite von Oracle.

Der Datenverkehr wird über eine Reverse-Proxy-Architektur automatisch an das Oracle Cloud Infrastructure-Edge-Netzwerk weitergeleitet. Das Edge-Netzwerk umfasst global verteilte PoPs, die den gesamten HTTP- und HTTPS-Verkehr prüfen, bevor er bei der Webanwendung eintrifft. Die PoPs verwenden die aktivierten DDoS-Gegenmaßnahmen, um Datenverkehr, der als von böswilligen Bot-Netzen stammend identifiziert wird, automatisch zu entfernen.

Das Oracle Cloud Infrastructure-Portal enthält Konsolen mit Echtzeitberichten zu Warnungen, blockierten Anforderungen, Bot-Begrenzungen und Protokollen.

Konfigurieren Sie Ihre Ursprungseingangsregeln so, dass nur Verbindungen aus den folgenden CIDR-Bereichen akzeptiert werden:

130.35.0.0/20

130.35.112.0/22

130.35.120.0/21

130.35.128.0/20

130.35.144.0/20

130.35.16.0/20

130.35.176.0/20

130.35.192.0/19

130.35.224.0/22

130.35.232.0/21

130.35.240.0/20

130.35.48.0/20

130.35.64.0/19

130.35.96.0/20

138.1.0.0/20

138.1.104.0/22

138.1.128.0/19

138.1.16.0/20

138.1.160.0/19

138.1.192.0/20

138.1.208.0/20

138.1.224.0/19

138.1.32.0/21

138.1.40.0/21

138.1.48.0/21

138.1.64.0/20

138.1.80.0/20

138.1.96.0/21

147.154.0.0/18

147.154.128.0/18

147.154.192.0/20

147.154.208.0/21

147.154.224.0/19

147.154.64.0/20

147.154.80.0/21

147.154.96.0/19

192.157.18.0/23

192.29.0.0/20

192.29.128.0/21

192.29.144.0/21

192.29.16.0/21

192.29.32.0/21

192.29.48.0/21

192.29.56.0/21

192.29.64.0/20

192.29.96.0/20

192.69.118.0/23

198.181.48.0/21

199.195.6.0/23

205.147.88.0/21

Ja, aber dies ist keine Option, die sie selbst ändern können. Sie können ein Supportticket bei My Oracle Support einreichen, um eine Aktualisierung ihrer CAPTCHA-Seite anzufordern. Voraussetzung ist, dass es sich um ein HTML mit allen JavaScript-Inline-Dateien ohne externe Dateien handeln muss.

Oracle Cloud Infrastructure WAF unterstützt CRS 3.0.

Wir empfehlen die Verwendung von API, CLI, SDK oder Terraform, um dies zu skripten.