Fachartikel

Webanwendungen und APIs in verteilten Umgebungen schützen

Moderne Microservices werden mit verteilten Anwendungsarchitekturen entwickelt. Steigende Komplexität und Dynamik erschweren jedoch das Gewährleisten von konsistenter und effektiver Sicherheit. Einen mehrschichtigen, modularen Ansatz zum Schutz von Webanwendungen und APIs über alle Umgebungen hinweg – on-premises, in Clouds und am Edge – bieten verteilte, cloudnative Sicherheitsdienste. Die SaaS-Werkzeuge mit zentralem Dashboard umfassen Web Application Firewall, API Security, Bot Defense und DDoS-Abwehr.
Gerade in verteilten Umgebungen bieten sich cloudbasierte Sicherheitserkzeuge an.
Unternehmen benötigen eine umfassende Sicherheitsinfrastruktur, die sich anpassen und skalieren lässt sowie maschinelles Lernen und globale Daten zu aktuellen Bedrohungen nutzt. Diese steht nun über verteilte cloudnative Sicherheitsservices zur Verfügung. Durch ein SaaS-Werkzeug lassen sich über ein zentrales Dashboard die benötigten Kontrollen innerhalb weniger Minuten nutzen. Sie umfasst dabei mehrere Komponenten.

Web Application Firewall
Die SaaS-basierte Web Application Firewall (WAF) schützt Webanwendungen, indem sie als zwischengeschalteter Proxy fungiert. Sie überprüft Anwendungsanfragen und -antworten, um sich gegen eine Vielzahl von Bedrohungen abzusichern. Dazu gehören Hackerangriffe, Zero-Day-Exploits, L7-Denial-of-Service-Attacken und zahlreiche weitere Gefahren.

Dabei kombiniert die WAF signatur- und verhaltensbasierte Funktionen. Anhand von Übereinstimmungen mit einer oder mehreren Signaturen in einer Datenbank identifiziert sie fehlerhafte oder bösartige Anfragen, um bekannte Angriffsmuster abzuwehren. Ein Live-Signatur-Feed aktualisiert laufend die Informationen, wobei auch Daten zu aktuellen Malwarekampagnen ergänzt werden. Zusätzlich hilft das Entdecken von Ausweichmanövern bei der Abwehr von Attacken, die von Signaturen nicht erkannt werden.

Verhaltensbasierte Funktionen identifizieren unbekannte Angriffsmuster. Über die Verhaltensanalyse eines Clients decken sie Anomalitäten auf und blockieren bösartige Aktivitäten. Sie erkennen potenziell schädliche automatisierte Anfragen und reduzieren zusätzlich den Zeitaufwand für die Behebung von Fehlalarmen. Zum Beispiel wird geprüft, ob die Anfragemuster im normalen Bereich liegen und es eine ungewöhnlich hohe Anzahl von Fehlerantworten für diesen Client gibt. Auch die Geschwindigkeit, mit der Anfragen gestellt werden, ermöglicht eine Unterscheidung zwischen Mensch und Maschine.

Eine Next-Generation-WAF sollte mehrere tausend Signaturen für Exploits enthalten und die Erstellung benutzerdefinierter Regeln erlauben. Eine Advanced Behaviour Engine untersucht Clientinteraktionen etwa nach Anzahl der missachteten WAF-Regeln, verbotenen Zugriffsversuchen, Loginfehlern, Anfragen oder Fehlerraten. Dabei hilft maschinelles Lernen, eindeutig verdächtiges Verhalten und die Risiken mit der höchsten Priorität schneller zu identifizieren, um geeignete Maßnahmen ergreifen zu können. Die Service-Policy-Engine mit IP-Reputation und Allow-/Deny-Listen blockiert Clients mit bekannten bösartigen TLS-Fingerprints, Ursprung aus verdächtigen Ländern oder ASNs. Zudem stellt eine automatische False-Positive-Unterdrückung fest, ob ein durch eine Signatur identifizierter Angriff wirklich bedrohlich ist.
API-Security
Der cloudbasierte Schutz von Schnittstellen erkennt automatisch API-Endpunkte und ordnet sie der jeweiligen Anwendung zu. Er kann dabei ein API-Schema und Swagger-Dateien erzeugen, um die manuelle Nachverfolgung zu minimieren. Ein Schema-Lernmodus beobachtet hierfür API-Aufrufe vom Client, um Methoden wie Post, Get oder Patch sowie das Verhalten – etwa welche Endpunkte verwendet werden – und gültige Werte zu ermitteln. Er erstellt ein visuelles Rendering der APIs und der Verwendung jedes API-Endpunkts. Aus den Lernergebnissen bildet er eine Swagger-Definition der APIs. Dieser maschinelle Lernmodus ist besonders nützlich für häufig wechselnde APIs, da er manuelle Prozesse minimiert.

Weitere Automatisierungen erleichtern die Erkennung von Gefahren und das Richtlinienmanagement. So ermöglicht eine automatische Aktualisierung die vollständige Abdeckung aller OWASP-API-Top-10-Schwachstellen. Durch den Swagger-Import und die Integration mit der CI/CD-Pipeline weiß die Lösung bei einer API-Änderung genau, welche Endpunkte, Methoden und Nutzdaten gültig sind, um die Sicherheit zu verbessern. Der Clouddienst analysiert, wie der Server auf Anfragen reagiert, und identifiziert hartnäckige Ausreißer, die permanent bösartige Anfragen senden. Sobald ein Angreifer identifiziert ist, lassen sich seine Aktivitäten über Forensik verfolgen, um geeignete Abwehrmaßnahmen zu ergreifen.

APIs ändern sich häufig. Der SaaS-Service bestimmt ihr normales Verhalten, ihre Nutzung und Methoden und entdeckt automatisch Anomalien, die auf Schatten-APIs hinweisen. Das Unternehmen kann einem Client auf Basis der von ihm ausgehenden Bedrohungsstufe die Nutzung der API erlauben, beschränken oder verweigern. Zudem lässt sich eine eingehende forensische Untersuchung von verdächtigem und bösartigem Datenverkehr einleiten. Durch die Verhaltens- und Zeitanalyse, welche Endpunkte in welcher Reihenfolge und mit welcher Häufigkeit verwendet werden, kann API Security bösartige Akteure identifizieren und entsprechende Maßnahmen empfehlen. Zudem lassen sich über Visualisierung Nutzungsmuster für APIs identifizieren. Dies dient zur Korrelation der Aktivitäten legitimer und bösartiger Nutzer, um die Kundenerfahrung zu optimieren.

Diese Funktionen reduzieren die Zeit zur Konfiguration und Bereitstellung von Sicherheitsrichtlinien für APIs. So lassen sich verdächtige Anfragen deutlich effizienter blockieren. Unternehmen verhindern somit Vorfälle, die möglicherweise zu einem Ausfall ihrer Anwendungen oder zu Datendiebstahl führen.



Seite 1 von 2 Nächste Seite >>
21.12.2022/ln/Frank Thias, Principal Solutions Engineer bei F5

Nachrichten

Hackern auf die Finger geschaut [1.02.2023]

Jamf hat eine Reihe neuer Updates für die speziell für macOS-Geräte entwickelte Sicherheitssoftware Jamf Protect vorgestellt. Dieses verfügt künftig über eine leistungsstärkere Telemetrie und einen Offlinemodus für nicht in der Cloud abgebildete Security-Workflows. [mehr]

Schneller ans Ziel [31.01.2023]

NetKnights bringt Version 3.8 der Multifaktor-Authentifizierungs-Software privacyIDEA auf den Markt. Mit der neuen Version können sich Benutzer mit dem Yubikey als Smartcard an Windows-Systemen anmelden. Ebenfalls an Bord ist ein flexibler Rollout-Mechanismus. [mehr]

Tipps & Tools

Jetzt vorbestellen: Sonderheft I/2023 "Cloud Security" [16.01.2023]

Der Gang in die Cloud bringt für Unternehmen ganz neue Anforderungen an die IT-Sicherheit mit sich. In unserem neuen Sonderheft Cloud Security zeigt das Autorenteam daher Wege auf, AWS, Azure, GCP und lokale Clouds vor unbefugten Zugriffen und Datenverlust zu schützen. Auf 180 Seiten stellt das Sonderheft praxisnahe Vorgehensweisen zur Absicherung von Infrastruktur, Applikationen und Identitäten vor. [mehr]

Online-Intensivseminar "Azure-Administration" [28.11.2022]

Das neue Intensivseminar "Azure-Administration" vermittelt an drei Tagen online, wie Sie Ihre Azure-Abonnements verwalten, Identitäten sichern, die Infrastruktur administrieren sowie virtuelle Netzwerke konfigurieren. Daneben zeigen wir, auf welchem Weg Sie Azure- und lokale Standorte richtig verbinden, den Netzwerkverkehr verwalten, Speicherlösungen implementieren, virtuelle Maschinen erstellen, Managed Services in Anspruch nehmen, Daten sichern und Ihre Umgebung überwachen. Sichern Sie sich rasch Ihren Platz für das Intensivseminar, das vom 29. bis zum 31. März 2023 stattfindet – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Anzeigen