Ein Jahr nach den letzten Ausbauten in der Version 6 der Web Application Firewall (WAF) Airlock hat der Softwareentwickler Ergon sein Security-Flaggschiff nun runderneuert. Auf der Basis einer neuen Linux-Version sind bei Airlock WAF 7 insbesondere für das hauseigene Logging-System (Authentifizierung) und das Reporting die Möglichkeiten zur Visualisierung erheblich verbessert worden, erklärt der Airlock-Marketingverantwortliche Gernot Bekk-Huber. Wie er gegenüber inside-channels.ch weiter ausführt sind bei diesem Release drei Novitäten zu vermelden.

Da ist einmal ein Tool für Geo-IP-Informationen. Das erkennt die geographische Herkunft aller Anfragen anhand der IP-Adresse, was beispielsweise bei DDoS-Attacken erlaubt, Zugriffe aus wichtigen Regionen zuzulassen und den Rest der Welt aber temporär auszuschliessen. Man könne aber auch beim Client-Fingerprinting auf plötzlichen Länderwechsel innerhalb einer Benutzersession reagieren.

Neu ist zudem das sogenannte Whitelist-Learning. Das funktioniert über eng formulierte Regeln, die die gesamte Applikation abdecken und aktuell gehalten werden, so Ergon. Die Airlock WAF 7 übernimmt diesen Teil und macht automatisch Vorschläge für die Whitelist-Regeln im Policy Learning-Dashboard. Diese Vorschläge basieren auf tatsächlichem Traffic, seien hochsicher und lassen sich durch zukünftige Vorschläge aktualisieren, wie es heisst.

Schliesslich adressiert Airlock WAF 7 zusätzlich zu den bisherigen "hauseigenen" Datenaustauschformaten nun auch die am weitesten verbreiteten Logformate JSON (Java Script Object Notation) und CEF (Common Event Format), wie Bekk-Huber erklärt. Das sei deshalb ein wichtiger Schritt, weil damit nun der direkten Weiterleitung von relevanten Informationen an alle möglichen Umsysteme und SIEM-Lösungen (Security Information and Event Management) nichts mehr im Wege stehe.

Ergon betrachtet die Summe der vorgestellten Neuerungen als Major Release. Zentrale Neuerung sei, dass Anwender die Sicherheit nun selbst sehen. Das war laut Bekk-Huber bisher erst rudimentär möglich. Das Reporting-System sei nun viel granularer geworden, zeige jedes Detail und schaffe gleichzeitig eine Übersicht über das grosse Ganze. Damit biete man den Nutzern nun beispielsweise auch eine Basis für möglicherweise nötige Anpassungen der Infrastruktur.

Unter anderem versprechen die Novitäten des Reportings aber auch, man könne für Statistiken respektive Auswertungen die Grafiken dynamisch aus den Logs generieren. In der Folge könne bei der Suche (Drilldown) vom unerwarteten Ausschlag bis zu den ursächlichen Logzeilen zwischen Logviewer und Reporting hin- und hergewechselt werden. Dabei liessen sich die Filterkriterien verfeinern, wie Ergon mitteilt. (vri)

(Interessenbindung: Ergon ist als Technologie-Partner ein wichtiger Sponsor unseres Verlags.)