Fiche technique : Citrix Web App and API Protection Service

Introduction

Les entreprises continuent de migrer leurs applications Web et leurs API vers le cloud afin de mieux prendre en charge le travail à domicile, alimenté par la pandémie. Dans le même temps, ils prennent toujours en charge les applications Web stratégiques hébergées sur site ou dans des clouds privés. Parallèlement à la croissance de ces services connectés à Internet, il y a eu une augmentation des menaces transmises par Internet.

Les acteurs malveillants continuent de développer de nouvelles façons de les compromettre afin de soutenir leurs activités illicites. La protection des applications contre les attaques nécessite une identification rapide des menaces et le lancement de contre-mesures. Le service Citrix Web App and API Protection (CWAAP) fournit une posture de sécurité cohérente et une protection complète pour les applications monolithiques sur site ou les microservices dans le cloud.

Vue d’ensemble

Le service CWAAP protège contre les tentatives d’exfiltration, de manipulation ou de destruction des applications Web, des API et des données d’entreprise en ligne. Il comprend une suite complète de technologies destinées à atténuer les risques pour les opérations critiques de l’entreprise.

  • Web Application Firewall - abréviation de Web Application Firewall, les origines « WAF » sont destinées à la protection des sites Web hébergés sur site. Cependant, à l’ère du cloud, la portée des WAF est étendue aux environnements de cloud hybride ou de cloud public avec des surfaces d’attaque plus étendues à protéger. La protection s’étend également aux API utilisées par les systèmes natifs du cloud pour communiquer entre les fonctions distribuées qui fonctionnent indépendamment dans des conteneurs. Également connue sous le nom de microservices, cette forme de développement est plus efficace à bien des égards que l’architecture monolithique traditionnelle. Cependant, par nature, elle est principalement hébergée dans le Cloud, et par conséquent, les API sont vulnérables aux attaques.
  • Protection DDOS - La protection contre le déni de service distribué (DDOS) protège contre les attaques provenant d’Internet qui cherchent à perturber l’accès aux services cloud. Généralement lancées par des acteurs malveillants via des armées de BOT, les attaques DDoS se concentrent sur la consommation des ressources disponibles au point où l’accès du client est perturbé ou refusé.

CWAAP

Protection WAF

Hébergé dans le cloud ou sur site, Citrix WAF protège contre les attaques connues et inconnues, y compris les menaces zero-day et au niveau applicatif. Il inclut des protections contre les 10 principaux risques de sécurité des applications Web, définis par la Fondation OWASP, et étend ceux dont les définitions de sécurité et les contre-mesures de sécurité ne cessent de croître à partir de multiples sources de recherche sur les menaces.

Les grandes entreprises peuvent avoir des centaines ou des milliers d’applications en ligne qui doivent être sécurisées. Par conséquent, il est difficile de faire correspondre les attaques contre des flux d’applications Web uniques à différentes applications à grande échelle. Citrix WAF automatise la protection contre les attaques transmises par Internet en maintenant le trafic à la périphérie du Cloud ou sur site. Il détecte et atténue les menaces incessantes en ligne 24 heures sur 24. Cela permet aux opérations de sécurité de se concentrer davantage sur les activités de sécurité stratégiques et de traiter les vulnérabilités ailleurs dans l’infrastructure.

Citrix WAF fonctionne sur un modèle d’attaque positive et négative. Le modèle positif identifie les menaces « jour zéro » en recherchant des modèles d’activité anormaux. Le modèle négatif identifie les signatures d’attaque déjà documentées.

Modèle de sécurité négatif

Les failles d’injection, telles que l’injection SQL et LDAP, ont toujours été préférées des pirates informatiques, au même titre que les attaques par script intersite. Les autres protections contre les attaques Web incluent :

Cœur

  • Injection HTML SQL : fournit des défenses contre l’injection de code SQL non autorisé susceptible de compromettre la sécurité.
  • HTML Cross-Site Scripting - examine à la fois les en-têtes et les corps POST des requêtes utilisateur pour détecter d’éventuelles attaques par script intersite.
  • Cross-Site Request Forgery (CSRF) Form Tagging - balise chaque formulaire Web envoyé par un site Web protégé aux utilisateurs avec un FormID unique et imprévisible, puis examine les formulaires Web renvoyés par les utilisateurs pour s’assurer que le FormID fourni est correct.
  • Buffer Overflow Check : détecte les tentatives de dépassement de tampon telles que les URL, les cookies ou les en-têtes dont la longueur est supérieure à la longueur configurée.

Advanced

  • Cohérence des cookies - examine les cookies renvoyés par les utilisateurs afin de vérifier qu’ils correspondent aux cookies que le site Web protégé a définis pour cet utilisateur. Si un cookie modifié est trouvé, il est supprimé de la demande avant que la demande ne soit transmise au serveur Web.
  • Cohérence des champs - examine les formulaires Web renvoyés par les utilisateurs en réponse à des requêtes HTML et vérifie qu’aucune modification non autorisée n’a été apportée à la structure.
  • Format de champ : vérifie les données envoyées par les utilisateurs, y compris la longueur et le type.
  • Content-Type - garantit que les en-têtes Content-Type sont des “application/x-www-form-urlencoded”, “multipart/form-data,” or “text/x-gwt-rpc” types différents. Toute demande pour laquelle un autre type de contenu est désigné est bloquée.
  • HTTP RFC - inspecte le trafic entrant pour vérifier la conformité du protocole RFC HTTP et rejette toute demande présentant des violations RFC.
  • Refuser l’URL - examine et bloque les connexions aux URL fréquemment consultées par les pirates informatiques et les codes malveillants.
  • Limite du corps POST - Limite la charge utile de la requête (en octets) inspectée pour les signatures.

XML

  • Injection SQL XML : examine et bloque les demandes des utilisateurs avec du code SQL injecté dans les charges utiles XML.
  • XML XSS : examine et bloque les demandes des utilisateurs à l’aide d’attaques par script intersite dans les charges utiles XML.
  • Format XML - examine et bloque les demandes entrantes qui ne sont pas correctement formées ou qui ne répondent pas aux spécifications des documents XML correctement formés.
  • XML SOAP Fault - examine les réponses de vos services Web protégés et filtre les erreurs XML SOAP. Cela empêche la fuite d’informations sensibles vers des attaquants.
  • Interopérabilité des services Web : examine et bloque les demandes et les réponses qui ne respectent pas la norme WS-I et qui peuvent ne pas interagir correctement avec l’application XML.

Modèle de sécurité positif

Citrix WAF prend en charge un modèle de protection positif avec des règles d’apprentissage qui s’appuient sur le modèle négatif en créant un profil du trafic autorisé. L’heuristique avancée analyse le trafic afin d’identifier le comportement standard et de formuler des recommandations pour l’ajustement des contre-mesures. Cela permet de garantir la protection contre les attaques zero-day qui ne sont pas prises en compte dans les signatures existantes.

Gestion DDoS

Les attaques DDOS se concentrent sur les perturbations liées à la consommation de ressources Il existe trois principaux groupes d’attaques DDoS :

  1. Attaques basées sur le volume : tentative de perturber le service régulier en submergeant les sites avec un flot de trafic. Il s’agit notamment des inondations UDP ou ICMP qui tentent de dépasser la bande passante disponible, empêchant ainsi les demandes légitimes des utilisateurs d’atteindre le site cible.
  2. Attaques basées sur des protocoles : concentrez-vous sur la couche de transport et tirez parti des opérations de protocole. Les paquets sont généralement « usurpés » ou envoyés avec de fausses informations d’en-tête IP pour empêcher une réponse à la consommation de ressources du site. Un exemple typique est une attaque « SYN ». Avec ce type d’attaque, l’hôte du mauvais acteur, ou un BOT, envoie une demande d’établissement d’une session de couche TCP. Une session TCP est finalement requise pour que les utilisateurs légitimes puissent établir une session HTTP afin d’utiliser le service Web. Cependant, l’hôte initiateur ne répond jamais au SYN ACK du site, mais envoie davantage de SYN, consommant régulièrement de la mémoire sur le service Web pendant qu’il attend d’établir des sessions TCP.
  3. Attaques de la couche applicative : ces attaques se concentrent sur la couche application et visent à surmonter les ressources ou à tirer parti des vulnérabilités des serveurs Web. Les attaques tentent d’obtenir des réponses illicites et excessives sur le site en manipulant la communication protocolaire avec des GET ou des POST contrefaits.

La solution Citrix DDoS fournit une solution globale aux acheteurs de protection DDoS. Il s’agit d’un service permanent de gestion des attaques DDoS. Il dispose de l’un des plus grands réseaux de nettoyage au monde avec 14 points de présence et une capacité de 12 Tbit/s qui protège les applications contre les attaques DDoS volumétriques à grande échelle.

Direction

Le CWAAP est configuré et géré via un portail SaaS flexible. Le portail de services CWAAP, accessible via un navigateur, permet aux administrateurs de sécurité de configurer des protections contre les attaques, de surveiller l’activité des attaques via un tableau de bord ou de créer des rapports sur les événements.

Installation

Le CWAAP est configuré à l’aide de Citrix à l’aide de l’une des deux méthodes suivantes :

  • DNS - L’utilisation du DNS est la méthode la plus courante et la plus simple. Les clients dirigent les enregistrements A de leur site vers un domaine Citrix CWAAP configuré pour leur site. Grâce à cette méthode, les clients gardent le contrôle et peuvent planifier une transition rapide à l’aide d’un paramètre TTL faible pour l’enregistrement.
  • BGP : l’utilisation de BGP oblige les clients à transférer le contrôle de leur bloc de routage pertinent à Citrix. Citrix annonce ensuite l’itinéraire au nom du client, et le trafic vers les sites cibles sans blocage est dirigé vers le CWAAP pour inspection.

Configuration

Les stratégies WAF et les règles personnalisées du CWAAP sont configurables via le portail SaaS :

  • Stratégies WAF : il existe trois principaux ensembles de stratégies. Lorsqu’ils sont détectés, les administrateurs peuvent les configurer pour bloquer, consigner ou les deux. Les stratégies de base sont les types d’attaques les plus courants, notamment l’injection SQL, les scripts intersites et le dépassement de tampon. Les attaques avancées sont plus complexes utilisant des cookies ou essayant de tirer parti du protocole HTTP, tandis que le dernier groupe concerne les attaques spécifiques au XML. Les signatures permettant d’identifier les attaques sont développées en permanence par une équipe de recherche Citrix et sont mises à jour automatiquement lors de leur publication.
  • Stratégies de répondeur : les administrateurs peuvent configurer des règles personnalisées pour supprimer, consigner ou rediriger les connexions en fonction de paramètres spécifiques tels que le nom d’hôte, l’adresse IP source ou le port de destination.
  • Contrôles réseau : les administrateurs peuvent configurer des listes ACL pour bloquer des plages d’adresses IP spécifiques ou le trafic provenant de pays spécifiques.
  • Alertes : les administrateurs peuvent configurer des alertes personnalisées lorsque la quantité de trafic dans un certain intervalle est dépassée à partir d’un paramètre spécifique tel que le même ASN, le même pays ou le même agent utilisateur.
  • Sources fiables : les administrateurs peuvent configurer une liste d’autorisation de sources fiables qui contournent les stratégies d’inspection.
  • Ressources : les administrateurs configurent le ou les sites cibles auxquels ces stratégies configurées doivent s’appliquer.

CWAAP

Surveillance

Le portail CWAAP permet aux administrateurs Citrix de surveiller les protections CWAAP de manière centralisée. Le tableau de bord principal fournit une vue globale du volume du site, y compris le trafic total, ventilé par trafic propre et trafic atténué.

Il inclut également un journal détaillé des attaques, y compris le volume, la durée et les contre-mesures déployées.

CWAAP

Résumé

L’utilisation par les entreprises des services cloud et des applications mobiles continue de stimuler la croissance du trafic Web et API natif du cloud, tout en maintenant certaines applications Web stratégiques sur site. Avec cette croissance des applications et des API en ligne, elles sont de plus en plus vulnérables aux attaques persistantes qui accompagnent leur hébergement sur Internet public. Le service Citrix Web App and API Security est en constante évolution afin de garder une longueur d’avance sur ces attaques complexes. Il inclut une suite technologique avancée basée sur l’apprentissage automatique et l’intelligence artificielle pour protéger ces services d’entreprise critiques dans le cloud et sur site.

Références

En savoir plus sur Citrix® Web App and API Protection™

Fiche technique : Citrix Web App and API Protection Service