Überprüfung und Alternativen zur Sucuri-Website-Firewall
Säfteverfügt über eine starke Präsenz auf dem Cybersicherheitsmarkt, ist jedoch nicht so bekannt wie größere Marken wie z Imperva oder NGINX . Die von Sucuri angebotenen Edge-Services sind von sehr hoher Qualität und eine Untersuchung wert.
Saftangebote ein cloudbasierter Dienst Dieser fungiert als Proxy und leitet den gesamten Datenverkehr in und aus Ihrem Webserver. Die Tatsache, dass sich dieser Dienst außerhalb Ihres Netzwerks befindet, bedeutet, dass bösartiger Datenverkehr abgewehrt wird, bevor er Ihre Ressourcen beeinträchtigen kann.
Der Standort eines Webanwendungsservers ist nur eine der Optionen, die Websitebesitzern zur Verfügung stehen. Werfen wir einen Blick auf Webanwendungsserver und deren Funktionsweise, bevor wir die Dienste von Sucuri im Detail untersuchen.
Was ist eine Webanwendungs-Firewall?
Eine typische Firewall für ein Netzwerk sitzt an der Systemgrenze, empfängt den gesamten eingehenden Datenverkehr und prüft auf Malware. Mittlerweile gibt es viel mehr Bedrohungen für Netzwerke durch eingehenden Datenverkehr aus dem Internet. Malware ist nicht das einzige Problem, über das sich ein Netzwerkbesitzer Sorgen machen muss. Webserver sind verletzlich zu noch mehr Bedrohungen, da ein Hacker den Zugriff auf eine Website blockieren oder alle Ressourcen eines Servers verbrauchen kann, ohne überhaupt schädliche Software zu installieren.
Die von Sucuri angebotene Proxy-Server-Strategie hat sich zu einer sehr beliebten Lösung für die Gefahren entwickelt, die für Websites entstehen. Cloud-Services werden in allen Aspekten der Unternehmenssoftware immer häufiger eingesetzt, einschließlich Produktivitäts- und Kollaborationssuiten und Netzwerküberwachungssystemen. Es ist sinnvoll, den Schutz von Webanwendungsservern über die Grenzen des Netzwerks hinaus auszuweiten.
Web Application Firewalls (WAF) können mit anderen Diensten kombiniert werden, wie z eine Reverse-Firewall um den Schutz vor Datenverlust durchzusetzen. Zu den Webanwendungsdiensten, die in die Firewall integriert werden können, gehören a Website-Beschleuniger Und Content-Delivery-Netzwerke , die Inhalte zwischenspeichern, sei es auf dem Cloud-WAF-Server oder auf vielen Servern auf der ganzen Welt. Caches decken auch Ausfallzeiten von Webservern ab und sorgen so für eine ständige Verfügbarkeit. Ein weiterer Dienst, den Proxy-Firewalls ausführen können, ist DDoS-Schutz Dadurch werden große Mengen an Angriffsverkehr absorbiert und die Website bleibt verfügbar.
Proxy-Firewalls können viele verschiedene Aspekte einer Website schützen. Aufgrund der Ende-zu-Ende-Verschlüsselung zwischen dem Browser des Kunden und dem Webanwendungsserver kann es jedoch schwierig sein, in Felder auf der Website eingegebene Daten zu scannen. Es gibt viele Hackerangriffe, beispielsweise SQL-Injection, die durch die Eingabe verwirrender Textzeichenfolgen in Eingabefelder durchgeführt werden können.
Damit ein Proxyserver diese schädlichen Hackerversuche herausfiltern kann, bevor sie den Webserver erreichen, muss der Proxyserver die Kontrolle über das Verschlüsselungssystem haben. Dadurch kann der gesamte Inhalt entschlüsselt und gescannt werden, bevor die unverschlüsselten Daten an den Webserver weitergeleitet werden. Bei dieser Verbindung handelt es sich normalerweise um ein VPN, das gesichert ist und die entschlüsselten Antworten sicher hält.
Einige Websitebesitzer empfinden den Gedanken nicht, die gesamte Verantwortung für die Verbindungssicherheit einem Dienstleister zu übertragen. Für diese Unternehmen gibt es Webanwendungs-Firewalls, die darauf funktionieren ein Netzwerkgerät . Diese Lösung hält die Lastsicherheitsprüfungen vom Webserver fern, ist jedoch eine teurere Lösung als ein Cloud-basiertes System. Eine dritte Möglichkeit besteht darin, die WAF-Software auf einem Server zu hosten – vorzugsweise einem separaten Server neben dem Server, auf dem die Websites gehostet werden. Auch das ist eine teure Lösung.
Ein großer Vorteil von Proxy-Diensten wie dem Website-Firewall-Safts Der Vorteil besteht darin, dass die Gebühr im Abonnement erhoben wird und die gesamte erforderliche Hardware zur Unterstützung der WAF enthalten ist. Das bedeutet, dass es welche gibt Keine Vorabkosten für die Ausrüstung und der Kunde einer Sucuri WAF benötigt kein IT-Supportteam.
Über Säfte
Sucuri ist ein privates Unternehmen im Besitz von Los Papa , der größte Webhosting-Dienst der Welt. Das Unternehmen wurde gegründet von Daniel B. Cid , der das geschaffen hat OSSEC Open-Source-Projekt. OSSEC ist eines der weltweit führenden hostbasierten Systeme zur Erkennung von Eindringlingen und es ist kostenlos. Hostbasierte Systeme überprüfen Protokolldateien auf Anzeichen verdächtiger Aktivitäten. Webanwendungs-Firewalls arbeiten jedoch mit Live-Daten und verwenden andere Strategien als hostbasierte IDSs. Daher ist es Cid gelungen, zwei außergewöhnliche Sicherheitssysteme in unterschiedlichen Einsatzbereichen zu entwickeln.
Sucuri begann mit ein Schwachstellenscanner und wurde dann in eine breitere Liste von Diensten verschoben, die alle um eine Webanwendungs-Firewall gebündelt sind. Sucuri nahm 2010 den Betrieb auf und wurde 2017 von GoDaddy gekauft. Das Geschäfts-Know-how von GoDaddy hat Sucuri zu kommerziellem Erfolg verholfen. Als weltweit größter Webhosting-Anbieter verfügt GoDaddy außerdem über einen großen Kundenpool, den er Sucuri mit sehr geringem Marketingaufwand präsentieren kann.
Sucuri-Website-Firewall-Optionen
Die Sucuri-Website-Firewall ist ein Abonnementdienst, der neben einer einfachen Firewall auch andere Web-Schutzsysteme umfasst. Es ist auch ein höherer Plan verfügbar, der so genannte Plattformsäfte . Dies wird auch als vermarktet Fachmann Plan des Firewall-Systems. Der Professional-Service kostet etwa 100 US-Dollar pro Jahr mehr als das Basis-Firewall-Paket. Da ist auch ein Geschäft Plan, der über dieselben Dienstprogramme wie der Basic-Plan verfügt.
Alle Pläne können entweder monatlich oder jährlich bezahlt werden. Im Jahresplan ist der Service günstiger, allerdings muss der gesamte Servicezeitraum im Voraus bezahlt werden.
Der Basic Das Paket kostet 19,99 $ pro Monat oder 199,99 $ pro Jahr. Es schützt eine Website und umfasst:
- Systemscans
- Webanwendungs-Firewall
- Content Delivery Network (CDN)
- Virus-Entfernung
- Lastverteilung
Die Tarife Professional und Business kosten 299,99 $ bzw. 399,99 $. Diese Pläne umfassen alle Dienstprogramme des Basic-Plans, bieten aber auch eine SSL-Zertifikatsverwaltung. Die Preise für diese Pläne gelten auch nur für eine Website. Der Business-Plan verfügt über häufigere Sicherheitsscans und reagiert schneller auf Angriffe als der Professional-Plan.
Bei allen Plänen gibt es keine Begrenzung für die Anzahl der Webseiten, die das System schützt, solange sie sich alle auf derselben Domain befinden.
Details zur Sucuri-Website-Firewall
Das Webanwendungs-Firewall-Element der Sucuri-Plattform umfasst die folgenden Elemente:
- Malware- und Hack-Schutz Die Firewall umfasst einen Anti-Malware-Scandienst. Die Häufigkeit von Malware-Scans nimmt mit höheren Tarifen zu. Beim Basic-Plan erfolgen Scans alle 12 Stunden. Die Scanhäufigkeit beträgt beim Professional-Tarif alle sechs Stunden und beim Business-Tarif alle 30 Minuten.
- Schutz vor On-Page-Angriffen Die WAF schützt vor SQL-Injection und Cross-Site-Scripting-Versuchen in den Eingabefeldern geschützter Webseiten. Potenziell schädliche Eingaben von Seitenbenutzern werden herausgefiltert, bevor sie den Webserver erreichen.
- Schutz vor Brute-Force-Angriffen Diese Funktion verhindert automatisierte Sequenzierungsversuche zum Knacken von Passwörtern auf Websites und Servern.
- Zero-Day-Exploit-Prävention Die WAF führt eine Verhaltensanalyse durch, sodass sie nicht auf Angriffssignaturen angewiesen ist, die nur auf zuvor versuchte Angriffsstrategien aufmerksam machen können.
- Maschinelles Lernen Die maschinelle Lernfunktion der Sucuri WAF korreliert Daten von allen Websites, die sie schützt. Dies ermöglicht es, Alarmstufen entsprechend den regelmäßigen Mustern typischer Websurfer festzulegen, die sich im Laufe der Zeit ändern.
- Besucherauthentifizierung Websitebesitzer können bestimmte Seiten ihrer Website zusätzlich schützen. Zu den über Sucuri verfügbaren Authentifizierungsfunktionen gehören Passwörter, CAPTCHA, 2FA (von Google Authenticator) und IP-Whitelisting.
- IP-Whitelisting Whitelisting kann sowohl auf ganze Bereiche einer Website als auch auf einzelne Seiten angewendet werden. Beispielsweise kann der Mitgliederbereich oder das Admin-System eines Mitglieds durch Whitelisting geschützt werden, sodass Hacker nicht einmal die Möglichkeit haben, Passwörter zu testen.
- Anwendungsprofilierung Versuche von Hackern, die Webseiten einer Website zu umgehen und direkt zu den Anwendungen und zugrunde liegenden Diensten zu gelangen, die die Website unterstützen, werden von der WAF blockiert.
- Signaturerkennung Die signaturbasierte Erkennung ist eine ältere Form des Sicherheitsschutzes. Sucuri nutzt dies, um nach bekannten Angriffsstrategien Ausschau zu halten.
- Bot-Blockierung Bots erzeugen einen sich wiederholenden Angriff, der einen Server überfordern kann. Die Sucuri WAF erkennt diese Aktivität und blockiert sie.
- Geoblocking Websitebesitzer haben die Möglichkeit, den gesamten Datenverkehr aus den drei Ländern mit den meisten Hackern zu blockieren oder auszuwählen, welche Länder blockiert werden sollen.
- Virtuelles Patchen und Härten Der Proxy übernimmt die Auslieferung einer Site, die zurückgesendet werden muss, um einen Patch anzuwenden. Der Sucuri-Dienst wendet auch alle erforderlichen Patches für die Software und Dienste an, die Ihre Website verwendet.
- Abwehr von DDoS-Angriffen DDoS-Angriffe sind eine besonders schädliche Form der Bot-Aktivität, da sie den Anschein erwecken, dass Ihre Website geschlossen wurde. Sucuri blockiert eine Reihe von DDoS-Strategien, die auf den Ebenen 3, 4 und 7 angreifen.
Dashboard der Juices-Website-Firewall
Das Sucuri-System ist einfach zu bedienen – es wurde für einen breiteren Kundenkreis konzipiert, nicht nur für Netzwerkspezialisten. Website-Manager greifen über jeden Standardbrowser auf den Dienst zu.
Beim ersten Dienstantritt muss der Manager eine Reihe von Aufgaben erledigen Holen Sie sich den vollen Sicherheitsdienst zum Laufen . Es gibt Elemente auf dem Host, die zum vollständigen Sicherheitspaket beitragen. Sucuri umfasst beispielsweise serverseitige Scans, die von a durchgeführt werden hostbasiertes Einbruchmeldesystem das Systemprotokolle nach Anzeichen bösartiger Aktivitäten durchsucht.
Der Bildschirm zum Einrichten des Scandienstes ist typisch für das übersichtliche Layout des gesamten Dashboards.
Sobald der Dienst eingerichtet und voll funktionsfähig ist, kann der Manager hauptsächlich über den Hauptüberwachungsbildschirm im Dashboard auf Informationen zur Sicherheitsleistung zugreifen.
Das System ist übersichtlich gestaltet und bietet ausreichend Abstände zwischen den Funktionen.
Juices Website-Firewall-Alternativen
Die Edge-Services-Pakete von Sucuri sind beeindruckend und durch die Integration weiterer Funktionen sowie der Webanwendungs-Firewall können Sie alle Ihre Anforderungen erfüllen Webserver-Schutz Und Website-Optimierung Bedürfnisse mit einem Abonnement. Es lohnt sich jedoch, sich ein paar andere WAFs anzusehen, bevor Sie sich für Sucuri entscheiden. Weitere Einzelheiten zu Webanwendungs-Firewalls finden Sie im Artikel: Kaufratgeber für die besten Webanwendungs-Firewalls . Nachfolgend haben wir jedoch unsere Empfehlungen für die zehn besten WAFs aufgeführt.
Hier ist unsere Liste der zehn besten Alternativen zu Sucuri:
- AppTrana verwaltete Webanwendungs-Firewall Ein Edge-Servicepaket, das Techniker für die Verwaltung des Systems umfasst. Experten analysieren die vom System erfassten Verkehrsdaten und kalibrieren die Einstellungen entsprechend neu. Es umfasst einen Anwendungsscanner und ein CDN sowie die WAF.
- StackPath-Webanwendungs-Firewall Ein Edge-Servicepaket, das aus der Cloud bereitgestellt wird und einen DNS-Server, ein Content-Delivery-Netzwerk und einen Leistungsmonitor sowie eine Webanwendungs-Firewall bereitstellt.
- Fortinet FortiWeb Eine Gruppe von Edge-Diensten, die auf eine Netzwerk-Appliance geladen werden. Zu den Einrichtungen gehören eine Webanwendungs-Firewall, ein Load Balancer und ein SSL-Offloader.
- BIG-IP iSeries-Plattform – Eine Netzwerk-Appliance, auf der die F5 Advanced Web Application Firewall vorinstalliert ist.
- F5 Essential App Protect – Eine cloudbasierte Webanwendungs-Firewall, die eine Online-Version der Appliance-basierten F5-Webanwendungs-Firewall ist.
- MS Azure Web Application Firewall Ein Webanwendungs-Firewall-Dienst, der über die Microsoft-Cloud-Plattform verfügbar ist. Es bedient Websites, die überall gehostet werden, nicht nur solche, die auf derselben Plattform gehostet werden.
- Imperva Cloud WAF Eine cloudbasierte Webanwendungs-Firewall mit verwalteter Sicherheitsoption. Dieses System ist PCI DSS-kompatibel.
- Barracuda Web Application Firewall Eine Gruppe von Web-Schutz- und Verbesserungsdiensten, die DDoS-Schutz, Caching und Site-Optimierung sowie eine WAF umfassen. Die Lieferung erfolgt als Netzwerk-Appliance.
- Citrix Netscaler Anwendungsfirewall Für diese Webanwendungs-Firewall mit Load-Balancer wird wahlweise eine Cloud-Bereitstellung oder eine Appliance angeboten.
- Radware AppWall Eine als Netzwerk-Appliance bereitgestellte Webanwendungs-Firewall mit signaturbasierten Erkennungsstrategien.