Qualys integriert Web Application Scanning 5.0 mit Web Application Firewall 2.0
Cloud-Plattform soll Web-Anwendungen und APIs schützen
Der Anbieter von Cloud-basierten Sicherheits- und Compliance-Lösungen Qualys hat seine Dienste für Web-Anwendungssicherheit um weitere Funktionen ergänzt. Anwender sollen mit Web Application Scanning (WAS) 5.0 Web-Anwendungen und APIs scannen und über die Web Application Firewall (WAF) 2.0 virtuelle Patches auf erkannte Schwachstellen anwenden und Vorgänge über eine zentrale Cloud-Plattform verwalten können.
Um die vielfältigen Web-Applikationen, mobilen Apps und IoT-Anwendungen vor den sich wandelnden Bedrohungen abzusichern, hat Qualys nach eigenen Angaben die automatisierten Schwachstellenscans für Web-Anwendungen und APIs ausgedehnt und die WAF mit zusätzlichen Anpassungsmöglichkeiten, vereinfachten Kontrollmechanismen und leistungsfähigeren Sicherheitsregeln optimiert.
Nutzer sollen somit eine einheitliche Cloud-Plattform zur Verfügung haben, um Browser-basierte, mobile und IoT-Services programmgesteuert zu scannen, Schwachstellen in Web-Anwendungen zu patchen und die Schutzwirkung mit simulierten Angriffen zu überprüfen.
Außerdem versetze die Lösung Devops-Teams in die Lage, die Web-Anwendungssicherheit als integralen Bestandteil in ihre Prozesse integrieren zu können. Dadurch lassen sich Sicherheitslücken schon in einem frühen Stadium des Entwicklungszyklus erkennen und beheben, um mögliche kostspielige Sicherheitsprobleme im Produktivbetrieb zu vermeiden, so Qualys.
WAS 5.0 bietet laut Hersteller ein programmgesteuertes Scannen von SOAP- (Simple Object Access Protocol) und REST- (Representational State Transfer) basierten APIs. Dazu müssen Nutzer auf der WAS-Benutzeroberfläche nur noch angeben, wo die Dienste liegen, damit diese anschließend vom Scanner in der Anwendungssicherheit getestet werden. Um die Scans effizient durchzuführen, verteile WAS bei Scans an mehrere Anwendungen die Lasten automatisch auf die verfügbaren Scanner-Appliances. Des Weiteren sollen Verbesserungen beim progressiven Scannen es ermöglichen, große Sites Stück für Stück zu scannen. Dadurch könne man auch umfangreiche Anwendungen abdecken, die sich in einem kurzen Zeitfenster nur schwer scannen lassen, so der Hersteller.
Zudem ist laut Qualis die Funktion zur One-Click-Bereitstellung virtueller Patches in die Lösungen WAF und WAS integriert. Diese adressiere sowohl das Problem der False Positives als auch die Schwierigkeit, Sicherheitslücken schnell zu patchen. Dazu ermittele WAS kritische Sicherheitslücken in Web-Anwendungen, während WAF den Sicherheitsteams ermögliche, diese Lecks mit einem Klick zu patchen und gezielte Angriffe zu blocken. Durch dieses Verfahren sollen Sicherheitsteams Web-Anwendungen schützen und Fehlalarme minimieren können.
Des Weiteren verfüge WAF über Sicherheitsvorlagen für gängige Plattformen wie WordPress, Joomla, Drupal und Outlook. Diese sind laut Qualys auf den neuesten Sicherheitsstand und enthalten vollständig anpassbare Sicherheitsrichtlinien, um so die laufende Überwachung geschäftskritischer Web-Anwendungen zu erleichtern.
WAF ist für VMware, Hyper-V und Amazon Web Services verfügbar, so der Hersteller. Die Lösung umfasse Lastenausgleich für Web-Server, Checks für geschäftskritische Web-Anwendungen, spezifische Sicherheitsregeln auf Basis von HTTP-Request-Attributen, wiederverwendbare SSL-Profile sowie detaillierte Informationen zu protokollierten Ereignissen und ein zentralisiertes WAF-Management.
Weitere Informationen finden sich unter www.qualys.com.
Lesen Sie mehr zum Thema
