Synit WAF
Deployment
Vergleich der Synit WAF Deployment-Modelle: Managed Service, Self-Hosted-Betrieb, Datenpfad, DNS, TLS, Observability, Skalierung und Rollback.
Deployment
Synit WAF kann als Managed Service oder Self-Hosted betrieben werden. In beiden Modellen läuft Traffic zuerst durch eine zentrale Schutzschicht und danach zum jeweiligen Upstream-Service.
Managed Service
Im Managed Service betreibt synit.io die WAF-Infrastruktur. Ihr Team stellt Domains, Zielsysteme und fachliche Anforderungen bereit.
Passt für:
- schnelle Absicherung von Websites, APIs und Portalen
- Teams ohne eigenen WAF-Betrieb
- SaaS-Produkte mit wiederkehrenden Kundendomains
- Agenturen und Dienstleister mit vielen Webprojekten
Typischer Ablauf:
- Domains, Upstreams und Schutzbedarf klären.
- Sicherheitsprofil und Audit-Zeitraum festlegen.
- DNS-Umstellung planen.
- Traffic im Audit Mode prüfen.
- Blocking schrittweise aktivieren.
- Betrieb, Monitoring und Eskalation übergeben.
Kundenverantwortung:
- DNS-Freigabe und Testfenster
- fachliche Prüfung betroffener Nutzer-Workflows
- Freigabe für Blocking
- Ansprechpartner bei Sicherheitsereignissen
synit.io Verantwortung:
- WAF-Betrieb
- Updates und Profilpflege gemäß Vereinbarung
- Rollout-Begleitung
- Tuning und technische Übergabe
Self-Hosted
Im Self-Hosted-Modell läuft Synit WAF in Ihrer Infrastruktur. Traffic und Logs bleiben in Ihrem Verantwortungsbereich, soweit keine optionalen Integrationen anders vereinbart sind.
Passt für:
- Private Cloud
- On-Prem-Systeme
- regulierte Branchen
- Unternehmen mit eigener Plattform- und Security-Organisation
- Umgebungen mit strengen Datenhaltungsanforderungen
Typischer Ablauf:
- Laufzeitumgebung vorbereiten.
- Handoff-Paket und Produktzugangsdaten sicher hinterlegen.
- Erste Konfiguration im Audit Mode starten.
- Logs, Metriken und Health Checks anbinden.
- Regelprofil und Ausnahmen abstimmen.
- Weitere Tenants, Domains oder Replikas ergänzen.
Vergleich der Betriebsmodelle
| Thema | Managed Service | Self-Hosted |
|---|---|---|
| Betrieb | durch synit.io | durch Ihr Team |
| Updates | durch synit.io | über Ihren Betriebsprozess |
| Datenpfad | abgestimmt im Managed Setup | in Ihrer Infrastruktur |
| DNS/TLS | gemeinsam geplant | durch Ihre Plattform oder abgestimmtes Setup |
| Skalierung | durch synit.io | durch Ihre Plattform |
| Geeignet für | schnelle Entlastung | maximale Kontrolle |
Laufzeitoptionen
Häufige Self-Hosted-Varianten:
- einzelner Container für Pilot oder kleine Umgebung
- Docker Swarm für einfache horizontale Skalierung
- Kubernetes für Plattformbetrieb
- bestehender Load Balancer vor mehreren WAF-Replikas
Synit WAF kann horizontal skaliert werden, wenn Konfiguration, Logs, Metriken und optionale Sicherheitsdienste konsistent angebunden sind.
Docker Swarm als Self-Hosted-Muster
Ein Swarm-Setup kann für kleine bis mittlere Self-Hosted-Umgebungen reichen, wenn ein bestehendes Plattformteam Docker Swarm betreibt.
Wichtige Punkte:
- mehrere WAF-Replikas hinter einem externen Load Balancer oder Swarm-Ingress
- gleiche Konfigurations- und Regelversion auf allen Replikas
/etc/waf/config.yml,/etc/waf/rules, GeoIP-Daten und Zertifikate kontrolliert bereitstellen- Health Checks auf
/healthzund, wenn möglich, Readiness auf/readyz - rolling updates mit kleiner Schrittweite
- feste Image-Tags statt
latestfür reproduzierbare Rollouts
Beispielauszug:
services:
synit-waf:
image: <container-image>
ports:
- target: 80
published: 80
protocol: tcp
mode: ingress
volumes:
- /etc/waf/config.yml:/etc/waf/config.yml:ro
- /etc/waf/rules:/etc/waf/rules:ro
- /etc/waf/geoip:/etc/waf/geoip:ro
deploy:
replicas: 3
update_config:
parallelism: 1
order: start-first
rollback_config:
parallelism: 1
order: stop-first
Skalierung bleibt nur dann sauber, wenn Logs, Metriken und optionale Abhängigkeiten wie CrowdSec oder Lizenzprüfung außerhalb einzelner Replikas stabil erreichbar sind.
Traffic-Fluss
Nutzer ruft app.example.test auf. DNS leitet Traffic zur WAF. Synit WAF erkennt Domain oder Wildcard. Das passende Profil prüft Anfrage, Auth, Rate Limits und optionale Sicherheitsdienste. Erlaubter Traffic geht zum Upstream. Auffälliger Traffic wird je nach Modus geloggt oder blockiert.
DNS und TLS
TLS hängt vom Modell ab:
Managed Service: Teil des Onboardings. Self-Hosted: über Ihre Plattform, Ihren Load Balancer oder das abgestimmte WAF-Setup.
Ändern Sie DNS erst, wenn Testfenster, Rollback und Zertifikatsstrategie klar sind.
Observability
Für Produktion empfehlen sich:
- Health Checks im Load Balancer
- Readiness-Prüfung für WAF und Abhängigkeiten
- Metriken für Traffic, Blocks und Fehler
- strukturierte Logs
- definierte Alarmierung bei erhöhter Blockrate oder Upstream-Problemen
Typische Endpunkte:
| Pfad | Zweck |
|---|---|
/healthz |
Liveness des WAF-Prozesses |
/readyz |
Readiness mit Abhängigkeiten |
/metrics |
Prometheus-Metriken, wenn aktiviert |
Rollback
Jeder Rollout sollte enthalten:
- letzte bekannte gute Konfiguration
- Möglichkeit, einzelne Tenants zurück in Audit Mode zu setzen
- klaren Freigabeverantwortlichen
- Rückweg auf vorherigen Traffic-Pfad
- Zeitfenster für verstärkte Beobachtung