Tech Brief: Dienst für Citrix Web App und API-Schutz

Einführung

Unternehmen migrieren ihre Web-Apps und APIs weiterhin in die Cloud, um die von der Pandemie angeheizten Mitarbeiter bei der Arbeit von zu Hause aus besser zu unterstützen. Gleichzeitig unterstützen sie weiterhin geschäftskritische Web-Apps, die vor Ort oder in Private Clouds gehostet werden. Zusammen mit dem Wachstum dieser mit dem Internet verbundenen Dienste haben die Bedrohungen durch das Internet zugenommen.

Schlechte Akteure entwickeln weiterhin neue Wege, um sie zu kompromittieren, um ihre illegalen Aktivitäten zu unterstützen. Der Schutz von Anwendungen vor Angriffen erfordert eine schnelle Identifizierung von Bedrohungen und die Einleitung von Gegenmaßnahmen. Der Citrix Web App and API Protection (CWAAP) -Service bietet eine konsistente Sicherheitslage und umfassenden Schutz für monolithische Anwendungen vor Ort oder Microservices in der Cloud.

Übersicht

Der CWAAP-Dienst schützt vor Versuchen, Online-Unternehmens-Web-Apps, APIs und -Daten zu exfiltrieren, zu manipulieren oder zu zerstören. Es umfasst eine umfassende Technologiesuite zur Minderung des Risikos für geschäftskritische Abläufe.

  • Web Application Firewall - Abkürzung für Web Application Firewall, “WAF” -Ursprünge dienen dem Schutz von Websites, die vor on-premises gehostet werden. Im Cloud-Zeitalter wird der Umfang von WAFs jedoch auf Hybrid Cloud- oder Public-Cloud-Umgebungen mit breiteren Angriffsflächen zum Schutz erweitert. Der Schutz erstreckt sich auch auf APIs, die von Cloud-nativen Systemen zur Kommunikation zwischen verteilten Funktionen verwendet werden, die unabhängig in Containern arbeiten. Diese Form der Entwicklung, die auch als Microservices bekannt ist, ist in vielerlei Hinsicht effizienter als die herkömmliche monolithische Architektur, wird jedoch von Natur aus hauptsächlich in der Cloud gehostet, und in der Folge sind APIs anfällig für Angriffe.
  • DDOS Protection — Distributed Denial of Service (DDOS) Schutz schützt vor Angriffen aus dem Internet, die den Zugriff auf Cloud-Dienste unterbrechen sollen. In der Regel von bösartigen Akteuren über BOT-Armeen initiiert, konzentrieren sich DDOS-Angriffe darauf, verfügbare Ressourcen zu verbrauchen, bis der Kundenzugriff unterbrochen oder verweigert wird.

CWAAP

WAF-Schutz

Citrix WAF wird in der Cloud oder lokal gehostet und schützt vor bekannten und unbekannten Angriffen, einschließlich Bedrohungen auf Anwendungsebene und Zero-Day-Bedrohungen. Es umfasst Schutzmaßnahmen gegen die 10 wichtigsten Sicherheitsrisiken für Webanwendungen, die von der OWASP Foundationdefiniert wurden, und erweitert diejenigen mit ständig wachsenden Sicherheitsdefinitionen und Gegenmaßnahmen aus mehreren Bedrohungsforschungsquellen.

Große Unternehmen haben möglicherweise Hunderte oder Tausende von Online-Anwendungen, die gesichert werden müssen. Daher ist es eine Herausforderung, Angriffe gegen einzigartige Web-App-Flows auf verschiedene Anwendungen in großem Maßstab abzugleichen. Citrix WAF automatisiert den Schutz vor Angriffen aus dem Internet und hält den Datenverkehr in der Cloud oder am lokalen Rand. Es erkennt und mindert unaufhörliche Online-Bedrohungen rund um die Uhr. Dadurch kann sich der Sicherheitsbetrieb stärker auf strategische Sicherheitsaktivitäten konzentrieren und Schwachstellen an anderen Stellen in der Infrastruktur beheben.

Citrix WAF arbeitet sowohl an einem positiven als auch an einem negativen Angriffsmodell. Das positive Modell identifiziert Zero-Day-Bedrohungen, indem es nach abnormalen Aktivitätsmustern sucht. Das negative Modell identifiziert zuvor dokumentierte Angriffssignaturen.

Negatives Sicherheitsmodell

Einschleusungsschwachstellen wie die SQL- und LDAP-Einschleusung waren neben Cross-Site-Scripting-Angriffen ein ständiger Favorit unter Hackern. Andere Schutzmaßnahmen gegen Webangriffe umfassen:

Kern

  • HTML SQL-Einschleusung - bietet Schutz vor der Einschleusung von nicht autorisiertem SQL-Code, der die Sicherheit beeinträchtigen könnte.
  • HTML Cross-Site Scripting - untersucht sowohl die Header als auch die POST-Texte von Benutzeranfragen auf mögliche Cross-Site-Scripting-Angriffe.
  • Cross-Site Request Forgery (CSRF) Formular-Tagging — kennzeichnet jedes Webformular, das von einer geschützten Website an Benutzer gesendet wird, mit einer eindeutigen und unvorhersehbaren FormID und untersucht dann die von Benutzern zurückgegebenen Webformulare, um sicherzustellen, dass die angegebene FormID korrekt ist.
  • Buffer Overflow Check - erkennt Versuche, einen Pufferüberlauf zu verursachen, z. B. URLs, Cookies oder Header, die länger als die konfigurierte Länge sind.

Erweitert

  • Konsistenz von Cookies — prüft die von Benutzern zurückgegebenen Cookies, um sicherzustellen, dass sie mit den Cookies übereinstimmen, die die geschützte Website für diesen Benutzer gesetzt hat. Wenn ein modifiziertes Cookie gefunden wird, wird es aus der Anfrage entfernt, bevor die Anfrage an den Webserver weitergeleitet wird.
  • Feldkonsistenz — prüft die Webformulare, die von Benutzern als Antwort auf HTML-Anfragen zurückgegeben werden, und stellt sicher, dass keine unbefugten Änderungen an der Struktur vorgenommen wurden.
  • Feldformat — überprüft die Daten, die Benutzer senden, einschließlich Länge und Typ.
  • Content-Type - stellt sicher, dass die Content-Type-Header beide “application/x-www-form-urlencoded”, “multipart/form-data,” or “text/x-gwt-rpc” Typen sind. Jede Anfrage, für die ein anderer Inhaltstyp festgelegt wurde, wird blockiert.
  • HTTP-RFC — prüft den eingehenden Datenverkehr auf Einhaltung des HTTP-RFC-Protokolls und verwirft alle Anfragen mit RFC-Verstößen.
  • URL verweigern — untersucht und sperrt Verbindungen zu URLs, auf die häufig von Hackern zugegriffen wird, und bösartigem Code.
  • POST Body Limit - Beschränkt die auf Signaturen überprüfte Anforderungsnutzlast (in Byte).

XML

  • XML SQL Injection - untersucht und blockiert Benutzeranforderungen mit injiziertem SQL in XML-Payloads.
  • XML XSS - untersucht und blockiert Benutzeranfragen mit Cross-Site-Scripting-Angriffen in XML-Nutzlasten.
  • XML-Format — prüft und blockiert eingehende Anforderungen, die nicht wohlgeformt sind oder die Spezifikation für ordnungsgemäß formatierte XML-Dokumente nicht erfüllen.
  • XML-SOAP-Fehler — untersucht Antworten von Ihren geschützten Webdiensten und filtert XML-SOAP-Fehler heraus. Dadurch wird verhindert, dass vertrauliche Informationen an Angreifer weitergegeben werden.
  • Webservice-Interoperabilität — prüft und blockiert Anfragen und Antworten, die nicht dem WS-I-Standard entsprechen und möglicherweise nicht ordnungsgemäß mit der XML-Anwendung interagieren.

Positives Sicherheitsmodell

Citrix WAF unterstützt ein positives Schutzmodell mit Lernregeln, die auf dem negativen Modell aufbauen, indem ein Profil des erlaubten Datenverkehrs erstellt wird. Fortschrittliche Heuristiken analysieren den Verkehr, um Standardverhalten zu identifizieren und Empfehlungen für die Abstimmung von Gegenmaßnahmen abzugeben. Dies trägt dazu bei, den Schutz vor Zero-Day-Angriffen sicherzustellen, die in vorhandenen Signaturen nicht behandelt werden.

DDOS-Verwaltung

DDOS-Angriffe konzentrieren sich auf Störungen durch Ressourcenverbrauch. Es gibt drei Hauptgruppen von DDOS-Angriffen:

  1. Volumen-basierte Angriffe - versuchen, den regulären Dienst zu stören, indem Websites mit einer Flut von Datenverkehr überfordert werden. Dazu gehören UDP- oder ICMP-Floods, die versuchen, die verfügbare Bandbreite zu überschreiten und legitime Benutzeranfragen daran zu hindern, jemals den Zielstandort zu erreichen.
  2. Protokollbasierte Angriffe — konzentrieren Sie sich auf die Transportschicht und nutzen Sie die Vorteile von Protokolloperationen. Pakete werden in der Regel “gefälscht” oder mit gefälschten IP-Header-Informationen gesendet, um eine Reaktion auf den Verbrauch von Site-Ressourcen zu illegal zu machen. Ein typisches Beispiel ist ein “SYN” -Angriff. Bei dieser Art von Angriff sendet der Host des schlechten Akteurs oder ein BOT eine Anfrage zum Aufbau einer TCP-Layer-Sitzung. Eine TCP-Sitzung ist letztendlich erforderlich, damit legitime Benutzer eine HTTP-Sitzung einrichten können, um den Webdienst verwenden zu können. Der initiierende Host reagiert jedoch nie auf das SYN-ACK der Site, sendet jedoch mehr SYNs und verbraucht ständig Speicher im Webservice, während er auf den Aufbau von TCP-Sitzungen wartet.
  3. Angriffe auf Anwendungsebene — Diese Angriffe konzentrieren sich auf die Andwendungslayer und zielen darauf ab, Ressourcen zu überwinden oder Schwachstellen auf Webservern auszunutzen. Die Angriffe versuchen, unerlaubte, übermäßige Site-Reaktionen zu verursachen, indem sie die Protokollkommunikation mit handgefertigten GETs oder POSTs manipulieren.

Die Citrix DDoS-Lösung bietet eine ganzheitliche Lösung für Käufer von DDOS-Schutz. Es ist ein ständig verfügbarer DDoS-Angriffsverwaltungsdienst. Es verfügt über eines der weltweit größten Scrubbing-Netzwerke mit 14 POPs und einer Kapazität von 12 Tbit/s, das Anwendungen vor großflächigen volumetrischen DDoS-Angriffen schützt.

Verwaltung

CWAAP wird über ein flexibles SaaS-Portal konfiguriert und verwaltet. Das CWAAP-Serviceportal, auf das über einen Browser zugegriffen werden kann, ermöglicht es Sicherheitsadministratoren, Angriffsschutz zu konfigurieren, Angriffsaktivitäten über ein Dashboard zu überwachen oder Ereignisse zu melden.

Einrichtung

CWAAP wird mit Hilfe von Citrix mit einer von zwei Methoden eingerichtet:

  • DNS - Die Verwendung von DNS ist die gebräuchlichste und einfachste Methode. Kunden leiten ihre Site-A-Datensätze an ein Citrix CWAAP-Domänen-Setup für ihre Site weiter. Mit dieser Methode behalten Kunden die Kontrolle und können einen schnellen Übergang mit einer niedrigen TTL-Einstellung für den Datensatz planen.
  • BGP — Die Verwendung von BGP erfordert, dass Kunden die Kontrolle über ihren entsprechenden Routingblock an Citrix übertragen. Dann kündigt Citrix die Route im Namen des Kunden an, und der Datenverkehr zu Zielstandorten ohne die Sperre wird zur Überprüfung an die CWAAP weitergeleitet.

Konfiguration

CWAAP WAF-Richtlinien und benutzerdefinierte Regeln können über das SaaS-Portal konfiguriert werden:

  • WAF-Richtlinien — Es gibt drei primäre Richtliniensätze, und wenn sie erkannt werden, können Administratoren sie so konfigurieren, dass sie blockiert, protokolliert oder beides werden. Kernrichtlinien sind die häufigsten Arten von Angriffen, einschließlich SQL-Injection, Cross-Site Scripting und Pufferüberlauf. Fortgeschritten sind komplexere Angriffe, die Cookies verwenden oder versuchen, das HTTP-Protokoll auszunutzen, während sich die letzte Gruppe auf XML-spezifische Angriffe bezieht. Signaturen zur Identifizierung der Angriffe werden kontinuierlich von einem Citrix-Forschungsteam entwickelt und bei der Veröffentlichung automatisch aktualisiert.
  • Responder-Richtlinien — Administratoren können benutzerdefinierte Regeln konfigurieren, um Verbindungen basierend auf bestimmten Parametern wie dem Hostnamen, der Quell-IP-Adresse oder dem Zielport zu löschen, zu protokollieren oder umzuleiten.
  • Netzwerksteuerung — Administratoren können ACLs konfigurieren, um bestimmte IP-Adressbereiche oder Datenverkehr aus bestimmten Ländern zu blockieren.
  • Alerts - Administratoren können benutzerdefinierte Alerts konfigurieren, wenn die Menge des Datenverkehrs innerhalb eines bestimmten Intervalls von einem bestimmten Parameter wie derselben ASN, demselben Land oder Benutzeragenten überschritten wird.
  • Vertrauenswürdige Quellen — Administratoren können eine Zulassungsliste mit vertrauenswürdigen Quellen konfigurieren, die Inspektionsrichtlinien Bypass.
  • Assets — Administratoren konfigurieren die Ziel-Site oder die Zielsites, für die diese konfigurierten Richtlinien gelten sollen.

CWAAP

Überwachen

Das CWAAP-Portal bietet Citrix-Administratoren die Möglichkeit, den CWAAP-Schutz zentral zu überwachen. Das Haupt-Dashboard bietet eine aggregierte Ansicht des Site-Volumens, einschließlich des Gesamtverkehrs, aufgeschlüsselt nach sauberem Verkehr und vermindertem Verkehr.

Es enthält auch ein detailliertes Protokoll der Angriffe, einschließlich Umfang, Dauer und eingesetzter Gegenmaßnahmen.

CWAAP

Zusammenfassung

Die Nutzung von Cloud-Diensten und mobilen Anwendungen durch Unternehmen treibt das Wachstum des Cloud-nativen Web- und API-Datenverkehrs weiter voran, während einige geschäftskritische Webanwendungen vor Ort verwaltet werden. Mit diesem Wachstum von Apps und APIs im Internet sind sie zunehmend anfällig für die anhaltenden Angriffe, die mit dem Hosten im öffentlichen Internet einhergehen. Der Citrix Web App and API Security Service wird ständig weiterentwickelt, um diesen komplexen Angriffen immer einen Schritt voraus zu sein. Es umfasst eine fortschrittliche Technologiesuite, die auf maschinellem Lernen und künstlicher Intelligenz basiert, um diese kritischen Unternehmensdienste in der Cloud und vor Ort zu schützen.

Referenzen

Erfahren Sie mehr unter Citrix® Web App und API Protection™

Tech Brief: Dienst für Citrix Web App und API-Schutz