Umgang mit den OWASP-Top-10-Risiken

OWASP Top 10 ist ein Standarddokument zur Sensibilisierung von Entwicklern bezüglich der Sicherheit von Webanwendungen. Das Dokument stellt einen breiten Konsens über die größten Sicherheitsrisiken für Webanwendungen dar. Die von AWS bereitgestellten Tools und Anleitungen ermöglichen den Umgang mit den OWASP-Top-10-Risiken. Zum Beispiel hilft die Säule „Sicherheit“ des Well Architected Framework Unternehmen dabei, sichere Designs zu erstellen. AWS WAF ist ein wichtiges Tool, das als erste Brandmauer gegen einige der in den OWASP Top 10 aufgeführten Risiken eingesetzt wird.

Der erste Schritt zur Bekämpfung der OWASP-Top-10-Risiken besteht darin, die Bedrohungen zu modellieren, denen Ihre Anwendung ausgesetzt ist. Beispielsweise müssen Sie die Bedrohungen identifizieren, die für Ihre Anwendung relevant sind. SQLi-Bedrohungen sind vor allem für Anwendungen mit einer SQL-Datenbank relevant. Überlegen Sie dann für jede Bedrohung, wie sie abgewehrt werden kann (z. B. mit welchem Tool, auf welcher Ebene usw.). Zu den OWASP Top 10 gehören Bedrohungen, die innerhalb der Anwendung adressierbar sind, wie die CORS-Konfiguration und andere Sicherheitsheader, die Authentifizierungs- und Rechteverwaltung, die Datenintegrität in CI/CD-Pipelines usw. Auch Bedrohungen, die mithilfe von AWS WAF behoben werden können, zählen dazu.

Durch regelmäßige Penetrationstests Ihrer Anwendung können Sie den Sicherheitsstatus besser beurteilen und Möglichkeiten zur Optimierung aufdecken. Sie können automatische Penentrationstests verwenden oder mit AWS-Partnern zusammenarbeiten, die diese Tests für Ihre Anwendung durchführen können. Entsprechende Tools und Services finden Sie im AWS Marketplace.

AWS WAF kann Ihnen helfen, einige der Risiken anzugehen, die bei einer Bedrohungsmodellierung identifiziert wurden. In Broken Access Control wird beispielsweise empfohlen, Anfragen standardmäßig abzulehnen, mit Ausnahme von öffentlichen Ressourcen. Dies kann in AWS WAF implementiert werden, indem Sie die Standardaktion auf „Blockieren“ setzen und URLs, die auf öffentliche Ressourcen zeigen, explizit zulassen.

Zusätzlich zu den benutzerdefinierten Regeln, die Sie in AWS WAF konfigurieren, wird empfohlen, Amazon Managed Rules (AMR) zu verwenden. Die AMR sind Regeln, die sich speziell auf die OWASP-Top-10 beziehen und vom AWS Threat Research Team verwaltet werden. Sie wurden entwickelt, um Anwendungen vor den häufigsten und schwerwiegendsten Bedrohungen zu schützen und gleichzeitig eine sehr niedrige Fehlalarmquote bei allen Kunden zu gewährleisten. Das AWS Threat Research Team führt routinemäßige Tests der AMR-Regeln durch, um sicherzustellen, dass sie wirksam und auf dem neuesten Stand sind, und arbeitet direkt mit Kunden zusammen, um die AMR zu verbessern. Die AMR umfassen Baseline-Regelgruppen und anwendungsfallspezifische Regelgruppen (z. B. für SQL, Linux usw.). Die AMR helfen Ihnen, Ihre Abdeckung der OWASP-Top-10-Risiken zu verbessern, sie sind jedoch kein Ersatz für die Bedrohungsmodellierung.

Im AWS Marketplace finden Sie auch verwaltete Regeln, die ebenfalls an die OWASP-Top-10 angelehnt sind. Dazu gehören das HighSecurity OWASP Set von CSC, die Web Exploits OWASP-Regeln von F5 und die Complete OWASP Top 10 Rulegroup von Fortinet.

• AWS Summit ANZ 2021 – Vorgehensweise bei der Bedrohungsmodellierung
• AWS-WAF-Bereitstellungspartner finden