Welche WAF bietet den besten DDoS Protection?

Während alle drei L7 DDoS Protection mittels Rate Limiting und Signatur-basiertem Blocking anbieten, bietet Cloudflare WAF mit seinem massiven Anycast-Netzwerk und dedizierten DDoS Mitigation Services (Magic Transit, Spectrum) die umfassendste und leistungsstärkste DDoS Protection, die bis zu L3/L4 reicht. Cloud Armor und AWS WAF sind ausgezeichnet für L7 DDoS innerhalb ihrer jeweiligen Cloud-Perimeter, bieten aber nicht die gleiche Breite an L3/L4 Mitigation wie Cloudflares vollständige Suite.

Können diese WAFs Nicht-HTTP/S-Traffic schützen?

Nein, traditionelle WAFs wie Google Cloud Armor, Cloudflare WAF und AWS WAF sind speziell für HTTP/HTTPS (L7) Traffic zu Webanwendungen und APIs konzipiert. Sie schützen keine Nicht-Web-Protokolle (z. B. SSH, FTP, Custom TCP/UDP Services). Dafür benötigen Sie Network Firewalls (wie FortiGate 1800F, Palo Alto Networks PA-5440 oder Cloud-native Network Firewalls) oder spezialisierte Proxy-Lösungen.

Wie gehen diese WAFs mit False Positives um, und welche ist am einfachsten zu tunen?

Alle drei bieten Mechanismen zum Tuning von False Positives (Whitelisting von IPs/Pfaden, Deaktivieren von Regeln, Erstellen von Bypass-Regeln). Google Cloud Armors Adaptive Protection und reCAPTCHA Enterprise vereinfachen das Tuning, indem sie einzigartige Traffic-Muster lernen und verhaltensbasierte Analysen anwenden. Cloudflare WAF bietet umfangreiche Custom Rule-Fähigkeiten, die sehr granulare Bypässe ermöglichen, erfordert aber mehr manuellen Aufwand. Das Tuning von AWS WAF ist für AWS-native Benutzer unkompliziert, kann aber mit dem WCU-Modell für hochkomplexe Ausnahme-Logik komplex werden. Cloud Armor hat aufgrund seiner ML-Fähigkeiten oft den geringsten Betriebsaufwand für das Tuning von False Positives.

Welche Option ist die beste für eine Organisation mit begrenzten Security Engineering-Ressourcen?

Für eine primär auf Google Cloud basierende Organisation mit begrenzten Security-Ressourcen ist Google Cloud Armor aufgrund seiner engen Integration, Adaptive Protection und reCAPTCHA Enterprise, die einen Großteil der Arbeit übernehmen, oft am einfachsten zu verwalten. Für eine Multi-Cloud-Strategie bietet Cloudflare WAF (insbesondere Enterprise-Pläne) Managed Services und dedizierten Support, der ein schlankes Sicherheitsteam erweitern kann, indem er die Sicherheit über disparate Umgebungen hinweg konsolidiert.

Gibt es versteckte Kosten, die nicht im TCO-Abschnitt behandelt werden?

Ja. Über die direkten WAF-Kosten hinaus sind die Kosten für den Datentransfer (wenn die WAF Edge-basiert ist wie Cloudflare und der Origin sich in einem anderen Cloud-Provider befindet), die Kosten für die Protokollspeicherung und -verarbeitung (insbesondere für das Pushen an SIEMs über CloudWatch, Cloud Logging oder Cloudflare Logpush) sowie der technische Aufwand für die anfängliche Einrichtung, das laufende Regeln-Tuning und die Incident Response zu berücksichtigen. Für AWS WAF mit hoher WCU-Nutzung können sich die Kosten für die 'Regelkomplexität' summieren. Cloudflares Enterprise-Tier kann teuer sein, beinhaltet aber oft erheblichen Support, Professional Services und ein breiteres Spektrum an Sicherheitsprodukten, die Kosten anderer Anbieter ausgleichen können.

Welche WAF bietet die granularste Kontrolle über den Traffic?

Cloudflare WAF bietet mit seinen umfangreichen Custom Rule-Optionen und der Möglichkeit, mehrere logische Ausdrücke über verschiedene Request-Komponenten (Header, URI, Body, Query-Parameter, IP-Reputation, Bot-Score) zu kombinieren, im Allgemeinen die granularste Kontrolle über Traffic-Filterung und Antwortaktionen. Google Cloud Armor bietet eine gute Granularität, aber Cloudflares Rule Engine ist außergewöhnlich leistungsstark für komplexe, bedingte Logik. Die Granularität von AWS WAF ist gut, aber durch das WCU-Modell für sehr komplexe Regelwerke eingeschränkt.

Cloud Armor vs. Cloudflare WAF vs. AWS WAF: 2026 Enterprise WAF Shootout

Die Wahl einer Web Application Firewall (WAF) im Jahr 2026 geht über die reine OWASP Top 10 Abdeckung hinaus. Unternehmen benötigen fortschrittliche Bot-Mitigation, API-Schutz, niedrige False-Positive-Raten, präzise Tuning-Fähigkeiten und Kostenprognosen. Dieser Vergleich konzentriert sich auf Google Cloud Armor, Cloudflare WAF und AWS WAF, bewertet deren Stärken, Schwächen und optimale Einsatzszenarien für Organisationen, die im großen Maßstab operieren.

WAF-Erkennungseffizienz und Tuning

Die Erkennungseffizienz hängt von der Fähigkeit einer WAF ab, tatsächliche Bedrohungen zu blockieren, während legitimer Traffic zugelassen wird. Alle drei Plattformen bieten Managed Rulesets an. Google Cloud Armor nutzt seine Threat Intelligence und Adaptive Protection ML, um gezielte Angriffe zu identifizieren und benutzerdefinierte Regeln zu generieren. Diese proaktive ML-Fähigkeit wird oft unterschätzt; sie beobachtet Traffic-Muster, die für Ihre Anwendung einzigartig sind, und empfiehlt/implementiert Regeln zur Blockierung von Anomalien, wodurch die Abhängigkeit von generischem Regel-Tuning reduziert wird. Zum Beispiel kann sie langsame POST-Angriffe oder Anwendungs-Layer-DDoS-Versuche, die spezifisch für Ihren Endpunkt sind, erkennen und mitigieren, ohne manuelle Schwellenwerteinstellung. Das Tunes von False Positives mit Cloud Armor beinhaltet typischerweise das Whitelisting spezifischer IPs oder Pfade oder die Anpassung der Schweregrade bei Adaptive Protection-Empfehlungen. Der Performance-Impact ist vernachlässigbar, da die Regelauswertung am Netzwerk-Edge von Google läuft und eng mit dem Global Load Balancing integriert ist.

Cloudflare WAF bietet einen umfassenden Satz von Managed Rulesets, die bekannte Sicherheitslücken und gängige Angriffsmuster erkennen. Organisationen können benutzerdefinierte Regeln mit hoher Granularität erstellen, die Felder wie HTTP-Header, URI, Query-Strings und sogar Body-Inhalt nutzen. Diese Custom Rule-Fähigkeit ist äußerst leistungsstark, um Zero-Days oder anwendungsspezifische Sicherheitslücken zu mitigieren, die nicht von generischen Regeln abgedeckt werden. Das Tunes von False Positives beinhaltet das Deaktivieren spezifischer Managed Rules oder das Erstellen von Bypass-Regeln unter Verwendung verschiedener Kriterien. Cloudflares massives Netzwerk bietet eine kontinuierliche Feedback-Schleife für Regel-Updates, wobei Sicherheitslücken oft innerhalb von Minuten nach der Entdeckung global gepatcht werden. Ihre 'Skip'-Aktion in Regeln ermöglicht granulare Bypässe, wodurch die Auswirkungen auf legitimen Traffic minimiert werden. Eine umfangreiche Erstellung von Custom Rules erfordert jedoch ein tieferes Verständnis von Regex und Request-Komponenten.

AWS WAF verwendet Web ACLs (Access Control Lists) mit einem Rule Capacity Unit (WCU)-Modell. Managed Rule Groups, wie die von AWS oder Drittanbietern (Fortinet, F5, Imperva), verbrauchen WCUs. Custom Rules können unter Verwendung verschiedener Statement-Typen (IP-Sets, String Match, Regex, Size Constraints, SQLi, XSS Protections) erstellt werden. Das WCU-Modell erzwingt Optimierung; komplexe Regex-Regeln verbrauchen mehr WCUs. Dies kann fortgeschrittene Custom Logic teuer machen oder Kompromisse erzwingen. Das Tuning beinhaltet das Anpassen von Regel-Prioritäten, das Deaktivieren spezifischer Regeln innerhalb von Managed Rule Groups oder das Hinzufügen von Ausnahmeregeln. Die Integration von AWS WAF mit CloudFront und Application Load Balancers (ALB) ist nahtlos, was es zu einer natürlichen Wahl für Anwendungen macht, die primär auf AWS gehostet werden. Das WCU-Modell kann jedoch zu unerwarteten Kostensteigerungen führen, wenn es nicht sorgfältig verwaltet wird, insbesondere bei hohen Volumen und komplexen Regalanforderungen.

Bot Management und Rate Limiting

Effektives Bot Management ist entscheidend, um bösartige Crawler und Credential Stuffing-Versuche von legitimen Suchmaschinen-Bots und API-Clients zu trennen. Google Cloud Armor bietet reCAPTCHA Enterprise-Integration. Dies ist nicht nur ein einfaches CAPTCHA; reCAPTCHA Enterprise verwendet ein Scoring-System am Edge, um die Legitimität von Anfragen ohne Benutzerinteraktion zu bewerten, indem es Anfragen, die als hohes Risiko eingestuft werden, nahtlos abfragt oder blockiert. Dies geht über ein einfaches Rate Limiting hinaus und nutzt sophisticated Verhaltensanalyse. Rate Limiting in Cloud Armor ist über benutzerdefinierte Regeln basierend auf der IP-Adresse verfügbar und kann global oder pro Pfad angewendet werden. Die wahre Stärke liegt hier in der Kombination von Rate Limiting mit Adaptive Protection und reCAPTCHA für eine mehrschichtige Bot-Verteidigung.

Cloudflare zeichnet sich im Bot Management mit seinem fortschrittlichen Bot Management Angebot aus (ein Add-on zur Core WAF). Dies umfasst ML-gesteuerte Bot-Erkennung, JavaScript-Challenges, Browser-Fingerprinting und Verhaltensanalyse, um zwischen guten Bots, schlechten Bots und menschlichem Traffic zu unterscheiden. Kunden können benutzerdefinierte Antworten für verschiedene Bot-Scores definieren (z. B. blockieren, JS-Challenge, protokollieren). Rate Limiting Rules in Cloudflare sind äußerst granular und ermöglichen ein Throttling basierend auf HTTP-Methode, Pfad, Headern, User-Agent und Antwortcodes. Diese Regeln können so konfiguriert werden, dass sie blockieren, eine JS-Challenge ausführen oder eine benutzerdefinierte Fehlerseite anzeigen. Die Preisgestaltung für Bot Management ist normalerweise gestaffelt basierend auf Anfragen oder Funktionen, bietet aber oft einen besseren ROI als die manuelle Bewältigung von sophisticated Bot-Angriffen.

AWS WAF bietet grundlegende Rate-Based Rules innerhalb von Web ACLs, die es Benutzern ermöglichen, einen Schwellenwert zu definieren (z. B. 2000 Anfragen über 5 Minuten von einer einzelnen IP-Adresse), um nachfolgenden Traffic zu blockieren. Dies ist effektiv für einfachere DDoS- und Brute-Force-Angriffe. Für einen fortgeschritteneren Bot-Schutz bietet AWS AWS Bot Control als Managed Rule Group an. Diese verbraucht WCUs und identifiziert gängige Bot-Kategorien (Scanner, Scraper usw.), wodurch differenzierte Aktionen möglich sind. Obwohl funktionsfähig, ist AWS Bot Control weniger sophisticated als das dedizierte Bot Management von Cloudflare in Bezug auf Verhaltensanalyse und Challenge-Typen. Organisationen, die tiefe Bot-Einblicke und dynamische Challenges benötigen, könnten die nativen Bot-Funktionen von AWS WAF ohne erhebliche Custom Rule-Entwicklung oder Integrationen von Drittanbietern als weniger umfassend empfinden.

API Protection und Integration

API Protection geht über traditionelle OWASP-Anliegen hinaus und konzentriert sich auf Schema Enforcement, Rate Limiting pro Endpunkt/Key und die Durchsetzung von Authentifizierungs-/Autorisierungs-Layern. Die API Protection von Google Cloud Armor wird hauptsächlich über seine benutzerdefinierten Regeln und Adaptive Protection auf API-Endpunkten erreicht. Obwohl es keine native OpenAPI/Swagger-Schema-Enforcement bietet, kann seine Fähigkeit, Anomalien in Anfragemustern an bestimmte API-Pfade zu erkennen, Angriffe wie Forced Browsing oder Parameter Tampering mitigieren. Die Integration ist sehr eng mit Google Cloud Load Balancing (GCLB) und Apigee, wodurch eine nahtlose WAF-Bereitstellung ohne Proxy Chaining ermöglicht wird. Das Logging integriert sich in Cloud Logging und Security Command Center für zentralisierte Visibilität.

Cloudflare WAF ist aufgrund seiner Custom Rule-Granularität gut für API Protection geeignet. Benutzer können Regeln erstellen, um spezifische HTTP-Methoden für bestimmte Pfade zu erzwingen, Header (z. B. API-Keys) zu validieren oder Anfragen basierend auf spezifischem JSON/XML-Body-Inhalt mithilfe von Regex zu blockieren. Ihre API Gateway-Funktionen bieten fortgeschrittenere API Management-Funktionen, einschließlich Schema-Validierung und Authentifizierungs-Handling, die mit der WAF geschichtet werden können. Cloudflares globales Anycast-Netzwerk platziert die WAF am nächsten zum Benutzer, wodurch die Latenz für API-Aufrufe minimiert wird. Logging und Analytics sind robust, mit detaillierten Einblicken in blockierte Anfragen und Traffic-Muster, die über Logpush einfach an SIEMs exportiert werden können.

AWS WAF integriert sich direkt in AWS API Gateway, CloudFront und ALBs, was seine Bereitstellung für API Protection für AWS-native Anwendungen unkompliziert macht. Custom Rules können gängige API-Schwachstellen (z. B. ungültige Parameter, übermäßige Datenexposition) adressieren. Für eine strikte Schema-Validierung verlassen sich Kunden typischerweise auf die nativen Funktionen des API Gateways oder implementieren benutzerdefinierte Lambda-Authorizer. Managed Rule Groups speziell für API Protection sind von AWS und Partnern verfügbar. Obwohl effektiv für grundlegende API-Sicherheit, erfordern fortgeschrittene API-spezifische Funktionen wie Token-Validierung oder feingranulares Rate Limiting pro API-Key oft eine Custom Rule-Entwicklung oder die Integration mit anderen AWS-Diensten (z. B. Lambda, Cognito). Die Observability integriert sich mit CloudWatch Logs.

TCO, Logging und SIEM-Integration

Die Total Cost of Ownership (TCO) ist ein wesentlicher Faktor für Beschaffungsentscheidungen. Hier ist eine Aufschlüsselung:

Funktion/Plattform	Google Cloud Armor	Cloudflare WAF (Ent)	AWS WAF
Preismodell	Basis + Regeln + Anfragen	Subscription/Anfragen + Add-ons	Web ACLs + Regeln + Anfragen
Basis WAF-Preis¹	50 $/Monat pro Policy	Ent. Subscription variiert (ca. 2000+ $/Monat)	5 $/Web ACL + 1 $/Regel/Monat
Kosten für Managed Rules¹	0,70 $/1 Mio. erkannte Anfragen	In Ent. Subscription enthalten	6 $/Regelgruppe/Monat
Kosten für verarbeiteten Traffic¹	0,70 $/1 Mio. Anfragen (erste 100 Mio. kostenlos/Monat pro Projekt)	In Ent. Subscription bis zu Limits enthalten	0,60 $/1 Mio. Anfragen (bis zu 1 Mrd.)
Erweitertes Bot Mgmt	reCAPTCHA Enterprise Add-on (Scoring-basierte Preisgestaltung)	Separate Subscription/Tier	AWS Bot Control Managed Rule Group (10 $/Monat + WCU-Nutzung)
Beispiel: 500 Mio. Anfragen/Monat, 30 Regeln, Basis-Bot²	~350 $. Beinhaltet Cloud Armor Basis (50 $) + 500 Mio. Anfragen à 0,70 $/Mio. Geht von keinen Custom ML-Regeln aus.	Ent. Subscription-Kosten variieren stark. Könnten 5000+ $ sein, abhängig von Funktionen/Tier.	~370 $ (500 Mio. Anfragen à 0,60 $/Mio. + 5 $ Web ACL + 30 Regeln à 1 $ = 30 $ + 5 MRG à 6 $ = 30 $ + Bot Ctrl 10 $) = ca. 300 $ + 5 $ + 30 $ + 30 $ + 10 $ = 375 $

¹_Dies sind öffentliche Listenpreise Stand Ende 2025/Anfang 2026 und können sich ändern sowie von Enterprise-Rabatten abhängen. Die tatsächlichen Kosten hängen stark vom Traffic-Volumen, der Regelkomplexität und den ausgehandelten Verträgen ab._

²_Dies ist ein vereinfachtes Beispiel. Es wird von 1 Cloud Armor Policy, 1 AWS Web ACL und einer ähnlichen Regelanzahl ausgegangen._

Beim Logging integriert sich Cloud Armor direkt in Google Cloud Logging und bietet detaillierte Logs von WAF-Events (blockierte Anfragen, zugelassene Anfragen mit Regelmetadaten). Diese Logs können zur Analyse nach BigQuery exportiert oder über Pub/Sub an SIEM-Lösungen wie Splunk, DataDog oder Chronicle Security Operations weitergeleitet werden. Dieses zentralisierte Logging ist ein erheblicher Vorteil für Google Cloud-native Umgebungen, da es die Sicherheitsoperationen vereinfacht.

{
  "jsonPayload": {
    "enforcedSecurityPolicy": "my-app-policy",
    "enforcedSecurityPolicyConfiguredAction": "DENY",
    "evaluatedRule": {
      "priority": "2000",
      "action": "DENY",
      "outcome": "MATCH",
      "id": "owasp-xss-sqli-generic-rule-1",
      "expression": "request.headers['user-agent'].contains('BadBot')"
    },
    "outcome": "DENY"
  },
  "insertId": "...",
  "resource": {
    "type": "compute.googleapis.com/ForwardingRule",
    "labels": {
      "forwarding_rule_name": "my-https-lb-rule",
      "project_id": "my-gcp-project",
      "region": "global"
    },
    "type": "...
  },
  "timestamp": "2026-01-15T10:00:00.000000Z",
  "severity": "WARNING",
  "logName": "projects/my-gcp-project/logs/compute.googleapis.com%2Floadbalancer_usage",
  "receiveTimestamp": "2026-01-15T10:00:00.000000Z"
}

Cloudflare Logs bieten umfassende Einblicke in HTTP-Anfragen, einschließlich WAF-Events, Bot Management-Aktionen und DDoS Protections. Diese Logs sind über das Cloudflare Dashboard verfügbar und können über Logpush an verschiedene SIEMs (Splunk, Sumo Logic, Elastic usw.) oder Speicherlösungen wie AWS S3 oder Google Cloud Storage geschickt werden. Die Datenmenge kann erheblich sein, was eine sorgfältige Planung der Ingestions- und Speicherkosten auf der SIEM-Seite erfordert. Echtzeit-Analysen und Dashboards sind eine Stärke von Cloudflare, die eine schnelle Reaktion auf Vorfälle ermöglichen.

AWS WAF Logs integrieren sich in Amazon CloudWatch Logs und können an Amazon S3 oder Kinesis Firehose gestreamt werden, um in SIEMs aufgenommen zu werden. Dies bietet starke Logging-Fähigkeiten innerhalb des AWS-Ökosystems. Das WCU-Modell gilt auch etwas für die Logging-Ausführlichkeit; während alle blockierten Anfragen protokolliert werden, könnte ein sehr detailliertes forensisches Logging mehr Ressourcen verbrauchen oder eine tiefere Integration mit anderen AWS-Diensten wie Athena für das Abfragen von S3-Logs erfordern. Für Organisationen, die stark in AWS investiert sind, ist diese Integration unkompliziert und gut dokumentiert. Multi-Cloud-Deployments erfordern jedoch möglicherweise zusätzlichen Aufwand, um WAF-Logs von AWS WAF mit anderen Sicherheits-Logquellen zu zentralisieren.

Cloud-Native vs. Multi-Cloud Edge Strategy

Die Entscheidung hängt oft von Ihrer Cloud-Strategie ab. Für eine tief integrierte Google Cloud-native Bereitstellung ist Cloud Armor die logische Wahl. Seine enge Integration mit GCLB, Adaptive Protection und reCAPTCHA Enterprise bietet eine leistungsstarke, oft kostengünstige L7-Sicherheitsschicht mit minimalem Betriebsaufwand. Beispiel: Ein großes Unternehmen, das Anthos auf GKE betreibt, Cloud CDN nutzt und Global Load Balancing einsetzt, wird Cloud Armor als natürliche, hochleistungsfähige Erweiterung seiner bestehenden Netzwerkrichtlinien empfinden. Das Einrichten von Sicherheitspolicys für einen Dienst auf GKE ist so einfach wie das Anhängen einer Cloud Armor-Policy an den GCLB, der dem GKE-Ingress vorgelagert ist. Konfigurationsbeispiel für die Anwendung einer WAF-Regel:

gcloud compute security-policies rules update 2000 \
    --security-policy=my-owasp-policy \
    --expression="request.headers['User-Agent'].contains('Python-urllib')" \
    --action=deny-403 \
    --description="Block common Python bot user agents"

Cloudflare WAF ist der klare Gewinner für Multi-Cloud-, Hybrid- oder Edge-lastige Deployments. Sein globales Anycast-Netzwerk und seine Unabhängigkeit von einem einzelnen Cloud-Anbieter bedeuten, dass es Anwendungen unabhängig von ihrem Backend schützt. Ein Unternehmen mit Diensten auf AWS, Azure, Google Cloud und On-Premises-Rechenzentren kann den gesamten Traffic durch Cloudflare leiten, um konsistente WAF-, DDoS- und Bot-Protection-Policies zu erhalten. Dies vereinfacht das Security Posture Management und bietet eine einheitliche Kontrollebene. Betrachten Sie eine globale E-Commerce-Plattform mit regionalen Origin-Servern; Cloudflare bietet einen einzigen Punkt für Enforcement und Performance Optimization für den gesamten Traffic. Ihre Enterprise-Lösungen werden auch mit dedizierten Solution Engineers und Support geliefert, die komplexe, verteilte Architekturen verstehen.

AWS WAF ist die unumstrittene Wahl für AWS-exklusive, stark regulierte Workloads. Wenn 100 % der öffentlich zugänglichen Endpunkte Ihrer Anwendung innerhalb von AWS (CloudFront, ALB, API Gateway) liegen, bietet AWS WAF eine nahtlose Integration, native Protokollierung mit CloudWatch und ein vertrautes Betriebsmodell für AWS-Sicherheitsteams. Für ein Unternehmen, das kritische Regierungs- oder Finanzdienstleistungsanwendungen ausschließlich auf AWS betreibt, vereinfacht die tiefe Integration mit anderen AWS-Sicherheitsdiensten wie GuardDuty, Security Hub und Inspector die Compliance- und Bedrohungserkennungs-Workflows. Die Erweiterung von AWS WAF zum Schutz von Nicht-AWS-Origins erfordert jedoch erhebliche architektonische Änderungen oder die Verwendung von AWS Global Accelerator, um den Traffic zur WAF-Inspektion zurück nach AWS zu leiten, was Latenz und Komplexität einführen kann.

Urteil

Für große Organisationen hängt die Auswahl der richtigen WAF vollständig von der Architektur, dem Budget und den betrieblichen Fähigkeiten ab.

Google Cloud Armor gewinnt für Google Cloud-native, große Deployments, die eine nahtlose Integration, fortschrittlichen ML-gesteuerten Adaptive Protection und reCAPTCHA Enterprise für sophisticated Bot-Mitigation benötigen. Die Preisgestaltung pro Anfrage, mit den ersten 100 Mio. Anfragen pro Projekt kostenlos, macht es für bursty oder wachsende Workloads wettbewerbsfähig.
Cloudflare WAF (Enterprise) ist die überlegene Wahl für Multi-Cloud-, Hybrid- oder performance-kritische Edge-Deployments. Sein globales Anycast-Netzwerk, umfassendes Bot Management, hochgranulare Custom Rules und die unified Control Plane bieten beispiellose Flexibilität und konsistente Sicherheitspositionen über disparate Infrastrukturen hinweg. Erwarten Sie höhere feste Subscription-Kosten, aber oft mit einem besseren langfristigen TCO für wirklich globale, verteilte Anwendungen.
AWS WAF eignet sich am besten für AWS-exklusive Anwendungs-Stacks, bei denen eine tiefe Integration mit CloudFront, ALB und API Gateway von größter Bedeutung ist und das Sicherheitsteam bereits mit dem AWS-Ökosystem vertraut ist. Das WCU-Modell erfordert sorgfältiges Management, ermöglicht aber eine hochlokalisierte und integrierte Sicherheit innerhalb des AWS-Perimeters.