Ja, ich wünsche eine Beratung

Ja, ich wünsche eine Präsentation

An welchem Modul sind Sie interessiert?

Autor: Redakteur, Erstellt am:

Eine möglichst störungsfreie und sichere Praxissoftware dank einer Web Application Firewall (WAF)

Philipp Dubach, Abteilungsleiter der IT Platform Services bei Axonlab, sorgt dafür, dass Axenita immer verfügbar ist. In diesem Interview erzählt er uns, was eine Web Application Firewall (WAF) ist und wie er dafür sorgt, dass Axenita störungsfrei läuft.  

Was ist eine WAF (Web Application Firewall)? 

Philipp Dubach: Vereinfacht gesagt ist die WAF ein Schutzschild zwischen Internet und dem Rechenzentrum, in welchem Webapplikationen wie beispielsweise Axenita betrieben werden. Die WAF ist der einzige Zugriffspunkt aus dem öffentlichen Internet für die Applikationen, welche auf den isolierten Cloud-Servern laufen. Die WAF untersucht alle eingehenden Anfragen an den Web-Server. Falls verdächtige Anfragen darunter sind, werden diese geblockt. 

Dabei werden diverse Arten von Angriffen abgewehrt: 

  • DDOS (Distributed Denial of Service): die Applikation wird durch eine Überflutung von automatisch generierten Anfragen verlangsamt und im schlimmsten Fall blockiert.
  • SQL-Injektion: Ausnützen einer Sicherheitslücke in einer Applikation, die auf eine Datenbank zugreift
  • Cross Site Scripting (XSS):  XML-Dateien werden eingeschleust, die darin enthaltenen Befehle werden vom Server ausgeführt
  • API Calls (GET, PUT, POST, DELETE): Nahezu jede Webapplikation nutzt API-Calls zum Lesen, Manipulieren oder Löschen von Daten. Zum Schutz der Applikation muss jeder «API Call» validiert und berechtigt sein. Die WAF stellt sicher, dass diese API Calls geschützt sind.

Die wichtigsten 10 Bedrohungen werden alle paar Jahre neu publiziert unter dem Namen «OWASP Top Ten». Die Hersteller von WAF-Produkten müssen diesen neuen Bedrohungen stets neu gerecht werden.  Zu den Top 10 Bedrohungen für Webapplikationen:

 

Funktionsweise Web Application Firewall 

Bietet Axonlab auch WAFs an? 

Philipp Dubach: Nein, wir beziehen diesen Service von spezialisierten Firmen, um Axenita im Rechenzentrum zu betreiben. 

Welche Aufgaben hat eine WAF neben dem bereits genannten Schutz vor unberechtigten Zugriffen? 

Philipp Dubach: Die WAF übernimmt das Mapping: Das heisst, sie legt fest, auf welche Applikation auf welchem Server mit der entsprechenden Webadresse gezeigt werden muss. Im Fall von Axenita hat jedes medizinische Zentrum eine eigene Datenbank und eine eigen Applikation (auch Instanz genannt), auf welche im externen Rechenzentrum zugegriffen wird.

Eine weitere Aufgabe ist die Datentransport-Verschlüsselung: Ab Internet bis hin zur WAF ist die Kommunikation mit einem HTTPS-TLS Zertifikat verschlüsselt. Hinter der WAF, also im privaten Netzwerk ist der Datentransport durch eine Festplattenverschlüsselung und durch stark beschränkten Zugang gesichert. 

Welche Herausforderungen stellen sich beim Thema WAF für Axenita? 

Philipp Dubach: Die grösste Herausforderung ist die Skalierung. Wöchentlich kommen neue Kundeninstanzen dazu, welche angesteuert werden möchten. 
Die WAF muss entsprechend dem zunehmenden Datenverkehr sowie aktuellen Sicherheitsregeln laufend angepasst und erweitert werden.

Scheinbar ist die WAF eine wichtige Komponente. Was passiert, wenn sie nicht funktioniert? 

Philipp Dubach: Richtig, die WAF ist eine zentrale Komponente für den Zugriff und somit das Funktionieren von Axenita in der Praxis. Deshalb ist die WAF mittels Redundanz als hochverfügbare Komponente ausgelegt, was Ausfälle in den meisten Fällen verhindern kann. Wenn eine WAF ausfällt, übernimmt eine andere, bis dahin passive, den Betrieb. 

Vergangenes Jahr gab es kurze Ausfälle, welche durch die WAF verursacht waren. Was ist da genau passiert? 

Philipp Dubach: Das Problem ist, dass Axenita eine sehr leistungsstarke und mittlerweile weit verbreitete Praxissoftware ist. Hierzu ein paar Zahlen: die WAF verarbeitet durchschnittlich 50'000 Anfragen pro Minute, das sind 1'000 pro Sekunde. Jeder Klick auf der Benutzeroberfläche von Axenita geht durch die WAF und weiter auf die Datenbank im Rechenzentrum.  

Je mehr Personen in Arztpraxen also gleichzeitig mit Axenita arbeiten, desto mehr Anfragen muss die WAF verarbeiten. Dies führte in der Vergangenheit zu vereinzelten Überlastungen   

Und welche Lösungsansätze verfolgt Axonlab, um solche Störungen zu vermeiden? 

Phil Dubach: Aktuell arbeiten wir an einem «active-active» WAF-Cluster Setup mit mindestens 5 aktiven WAFs. In diesem Setup gibt es keine passive WAF mehr. Mittels einem Loadbalancing wird die Last sauber über die jeweiligen Zugriffspunkte verteilt. So kann das System auch hohe Zugriffsraten verarbeiten. Fällt in diesem Cluster eine WAF aus, übernehmen die restlichen den Überschuss an Anfragen und eine zusätzliche WAF wird automatisiert hochgefahren. Diese wird danach in dem Cluster eingebunden und nimmt den Regelbetrieb wieder auf. Das System ist so ausgelegt, dass der Cluster die gesamte Last tragen kann, auch wenn eine WAF ausfällt. 

Eine noch höhere Absicherung der Verfügbarkeit wäre mit einer sogenannten Georedundanz möglich. Das heisst, dass der WAF-Cluster an zwei oder mehreren Standorten bereitsteht. Diese Variante ist allerdings mit sehr hohen Kosten verbunden. 

Ein anderer Ansatz könnte mit einer Mini-WAF sichergestellt werden. In dieser Variante wäre jede Instanz mit einer eigenen WAF geschützt. Der grosse Vorteil bei diesem Ansatz wäre, dass das Klumpenrisiko eines globalen Ausfalls wegfällt. Ausserdem könnte jeder Kunde eigene Feinjustierungen vornehmen und spezialisierte Einschränkungen vornehmen.  

Der grosse Nachteil dieser Lösung ist der riesige Zusatzaufwand für den Betrieb dieser zahlreichen Mini-WAFs, was zu unverhältnismässig hohen Kosten führen würde.

Wir sind stetig daran, die verschiedenen Vor- und Nachteile gegeneinander abzuwägen und so die sichersten und finanziell vertretbarsten Lösungen für unsere Kundinnen und Kunden zu finden. 

Wie stellst du sicher, dass Axenita jederzeit funktioniert? 

Phil Dubach: Die Überwachung der Performance ist ein wichtiger Teil meines Teams. Alle Zugriffe auf die WAF, die sogenannten Logs, werden in Echtzeit verfolgt und grafisch dargestellt. Wenn wir zum Beispiel feststellen, dass plötzlich weniger Satelliten aus den Arztpraxen mit den Servern im Rechenzentrum kommunizieren, deutet dies auf ein mögliches WAF-Problem hin. Dieses wird dann sofort gemeinsam mit unserem externen Spezialisten analysiert und die nötigen Massnahmen eingeleitet.

Wenn die WAF viele Anfragen blockiert, erhalten wir eine Warnung. Ich analysiere dann anhand der IP-Adressen, ob es sich um einen Angriff handelt. Ein Indiz dafür ist beispielsweise, dass alle Zugriffe aus dem Ausland stammen. 

Auch die Server im Rechenzentrum werden ständig überwacht. Wir werden benachrichtigt, wenn Axenita langsame Antwortzeiten hat, ein Server überlastet ist oder zu viele Error Logs hat. Wir handeln sehr proaktiv und präventiv. Bei Problemen wird schnellstmöglich ein Workaround gesucht und angewendet, damit die Praxis weiterarbeiten kann. Das Problem wird dann analysiert und die beste Lösung implementiert. So können wir einen möglichst effizienten Ablauf im Praxisalltag garantieren. 

 

Danke Phil für deine Ausführungen und deinen Einsatz für optimale Lösungen und einen möglichst störungsfreien Betrieb von Axenita.