Hebben we een WAF nodig en welke (AWS WAF, Application Gateway WAF, Cloud Armor)?
Heeft je app een publiek formulier, login, of API? Dan een WAF, ja. De cloud-native varianten zijn voor de meeste MKB's voldoende, een derde-partij-WAF (Cloudflare, Fastly) als je global edge nodig hebt.
Probeer dit eerst zelf
- 1AWS: zet AWS WAF voor de ALB of CloudFront, met de Managed Rules Core Rule Set en Known Bad Inputs. Dat dekt OWASP Top 10 op basis-niveau.
- 2Azure: Application Gateway met WAF v2 of Front Door met WAF. OWASP CRS 3.2 als baseline. Houd Detection-mode 2 weken voor Prevention-mode aan.
- 3GCP: Cloud Armor met de OWASP rules. Combineer met Identity-Aware Proxy voor interne apps.
- 4Bot-bescherming en DDoS layer-7 zit niet altijd in basis. Voor login-forms en betaalstromen overweeg AWS Shield Advanced of Cloudflare.
- 5Run de WAF eerst in count/detect-mode, kijk naar false-positives, en zet pas daarna in block. Anders blokkeer je legitieme klanten op dag één.
Wanneer ons inschakelen
Verwerken jullie betalingen of patiënt-data, dan is een WAF-tuning-traject met iemand die OWASP-fingerprints leest meestal de moeite waard.
Zie ook
- Iedereen logt in met het root-account van AWSHet root-account is voor noodgevallen en facturatie. Dagelijks werk hoort via IAM-users of SSO.
- Iedere developer heeft AdministratorAccessAdministratorAccess overal is gemak nu, drama later. Begin met rolgebaseerde policies.
- Iedereen heeft losse IAM-users met eigen wachtwoordIdentity Center (voorheen AWS SSO) koppelt aan je IdP en geeft tijdelijke credentials per sessie.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.