Synit WAF

Deployment

Vergleich der Synit WAF Deployment-Modelle: Managed Service, Self-Hosted-Betrieb, Datenpfad, DNS, TLS, Observability, Skalierung und Rollback.

Deployment

Synit WAF kann als Managed Service oder Self-Hosted betrieben werden. In beiden Modellen läuft Traffic zuerst durch eine zentrale Schutzschicht und danach zum jeweiligen Upstream-Service.

Managed Service

Im Managed Service betreibt synit.io die WAF-Infrastruktur. Ihr Team stellt Domains, Zielsysteme und fachliche Anforderungen bereit.

Passt für:

  • schnelle Absicherung von Websites, APIs und Portalen
  • Teams ohne eigenen WAF-Betrieb
  • SaaS-Produkte mit wiederkehrenden Kundendomains
  • Agenturen und Dienstleister mit vielen Webprojekten

Typischer Ablauf:

  • Domains, Upstreams und Schutzbedarf klären.
  • Sicherheitsprofil und Audit-Zeitraum festlegen.
  • DNS-Umstellung planen.
  • Traffic im Audit Mode prüfen.
  • Blocking schrittweise aktivieren.
  • Betrieb, Monitoring und Eskalation übergeben.

Kundenverantwortung:

  • DNS-Freigabe und Testfenster
  • fachliche Prüfung betroffener Nutzer-Workflows
  • Freigabe für Blocking
  • Ansprechpartner bei Sicherheitsereignissen

synit.io Verantwortung:

  • WAF-Betrieb
  • Updates und Profilpflege gemäß Vereinbarung
  • Rollout-Begleitung
  • Tuning und technische Übergabe

Self-Hosted

Im Self-Hosted-Modell läuft Synit WAF in Ihrer Infrastruktur. Traffic und Logs bleiben in Ihrem Verantwortungsbereich, soweit keine optionalen Integrationen anders vereinbart sind.

Passt für:

  • Private Cloud
  • On-Prem-Systeme
  • regulierte Branchen
  • Unternehmen mit eigener Plattform- und Security-Organisation
  • Umgebungen mit strengen Datenhaltungsanforderungen

Typischer Ablauf:

  • Laufzeitumgebung vorbereiten.
  • Handoff-Paket und Produktzugangsdaten sicher hinterlegen.
  • Erste Konfiguration im Audit Mode starten.
  • Logs, Metriken und Health Checks anbinden.
  • Regelprofil und Ausnahmen abstimmen.
  • Weitere Tenants, Domains oder Replikas ergänzen.

Vergleich der Betriebsmodelle

Thema Managed Service Self-Hosted
Betrieb durch synit.io durch Ihr Team
Updates durch synit.io über Ihren Betriebsprozess
Datenpfad abgestimmt im Managed Setup in Ihrer Infrastruktur
DNS/TLS gemeinsam geplant durch Ihre Plattform oder abgestimmtes Setup
Skalierung durch synit.io durch Ihre Plattform
Geeignet für schnelle Entlastung maximale Kontrolle

Laufzeitoptionen

Häufige Self-Hosted-Varianten:

  • einzelner Container für Pilot oder kleine Umgebung
  • Docker Swarm für einfache horizontale Skalierung
  • Kubernetes für Plattformbetrieb
  • bestehender Load Balancer vor mehreren WAF-Replikas

Synit WAF kann horizontal skaliert werden, wenn Konfiguration, Logs, Metriken und optionale Sicherheitsdienste konsistent angebunden sind.

Docker Swarm als Self-Hosted-Muster

Ein Swarm-Setup kann für kleine bis mittlere Self-Hosted-Umgebungen reichen, wenn ein bestehendes Plattformteam Docker Swarm betreibt.

Wichtige Punkte:

  • mehrere WAF-Replikas hinter einem externen Load Balancer oder Swarm-Ingress
  • gleiche Konfigurations- und Regelversion auf allen Replikas
  • /etc/waf/config.yml, /etc/waf/rules, GeoIP-Daten und Zertifikate kontrolliert bereitstellen
  • Health Checks auf /healthz und, wenn möglich, Readiness auf /readyz
  • rolling updates mit kleiner Schrittweite
  • feste Image-Tags statt latest für reproduzierbare Rollouts

Beispielauszug:

services:
  synit-waf:
    image: <container-image>
    ports:
      - target: 80
        published: 80
        protocol: tcp
        mode: ingress
    volumes:
      - /etc/waf/config.yml:/etc/waf/config.yml:ro
      - /etc/waf/rules:/etc/waf/rules:ro
      - /etc/waf/geoip:/etc/waf/geoip:ro
    deploy:
      replicas: 3
      update_config:
        parallelism: 1
        order: start-first
      rollback_config:
        parallelism: 1
        order: stop-first

Skalierung bleibt nur dann sauber, wenn Logs, Metriken und optionale Abhängigkeiten wie CrowdSec oder Lizenzprüfung außerhalb einzelner Replikas stabil erreichbar sind.

Traffic-Fluss

Nutzer ruft app.example.test auf. DNS leitet Traffic zur WAF. Synit WAF erkennt Domain oder Wildcard. Das passende Profil prüft Anfrage, Auth, Rate Limits und optionale Sicherheitsdienste. Erlaubter Traffic geht zum Upstream. Auffälliger Traffic wird je nach Modus geloggt oder blockiert.

DNS und TLS

TLS hängt vom Modell ab:

Managed Service: Teil des Onboardings. Self-Hosted: über Ihre Plattform, Ihren Load Balancer oder das abgestimmte WAF-Setup.

Ändern Sie DNS erst, wenn Testfenster, Rollback und Zertifikatsstrategie klar sind.

Observability

Für Produktion empfehlen sich:

  • Health Checks im Load Balancer
  • Readiness-Prüfung für WAF und Abhängigkeiten
  • Metriken für Traffic, Blocks und Fehler
  • strukturierte Logs
  • definierte Alarmierung bei erhöhter Blockrate oder Upstream-Problemen

Typische Endpunkte:

Pfad Zweck
/healthz Liveness des WAF-Prozesses
/readyz Readiness mit Abhängigkeiten
/metrics Prometheus-Metriken, wenn aktiviert

Rollback

Jeder Rollout sollte enthalten:

  • letzte bekannte gute Konfiguration
  • Möglichkeit, einzelne Tenants zurück in Audit Mode zu setzen
  • klaren Freigabeverantwortlichen
  • Rückweg auf vorherigen Traffic-Pfad
  • Zeitfenster für verstärkte Beobachtung
United in Diversity