技术简报:Citrix Web 应用程序和 API 保护服务

简介

在疫情的推动下,企业继续将其 Web 应用程序和 API 迁移到云端,以更好地支持在家办公的员工。同时,它们仍然支持在本地或私有云中托管的业务关键型 Web 应用程序。随着这些面向互联网的服务的增长,互联网传播的威胁也在增加。

不良行为者继续开发新的方法来妥协他们,以支持他们的非法活动。保护应用程序免受攻击需要快速识别威胁并启动对策。Citrix Web 应用程序和 API 保护 (CWAAP) 服务为内部部署的整体式应用程序或云中的微服务提供一致的安全态势和全面的保护。

概述

CWAAP 服务可防止他们泄露、操纵或破坏在线企业 Web 应用程序、API 和数据的企图。它包括一套全面的技术,可降低业务关键型运营的风险。

  • Web 应用程序防火墙-Web 应用程序防火墙的缩写,“WAF” 源于保护本地托管的网站。但是,在云时代,WAF 的范围已扩展到混合云或公共云环境,需要保护的攻击面更广。保护还扩展到云原生系统使用的 API,用于在容器中独立运行的分布式函数之间进行通信。也称为微服务,这种开发形式在许多方面比传统的整体架构更有效,但本质上主要托管在云中,因此,API 容易受到攻击。
  • DDOS 防护-分布式拒绝服务 (DDOS) 防护可防止因特网发起的旨在中断对云服务的访问的攻击。DDOS 攻击通常由不良行为者通过 BOT 军队发起,其重点是消耗可用资源,直至客户访问被中断或被拒绝。

CWAAP

WAF 保护

托管在云端或本地 Citrix WAF 可抵御已知和未知攻击,包括应用层和零日威胁。它的核心是针对十大 Web 应用程序安全风险的保护,这些风险由 OWASP 基金会定义,并扩展了来自多个威胁研究来源的安全定义和对策不断增长的风险。

大型企业可能有数百或数千个需要保护的在线应用程序。因此,匹配攻击,大规模针对不同应用程序的独特 Web 应用程序流是一项挑战。Citrix WAF 可自动抵御互联网传播的攻击,从而将流量保持在云端或本地边缘。它可以全天候检测和缓解持续不断的在线威胁。这使得安全运营能够更加专注于战略安全活动,并解决基础架构中其他地方的漏洞。

Citrix WAF 同时适用于正面和负面攻击模型。积极模型通过寻找异常活动模式来识别零日威胁。否定模型识别以前记录的攻击特征。

负面安全模型

注入漏洞(例如 SQL 和 LDAP 注入)与跨站点脚本攻击一样,一直是黑客最喜欢的。其他 Web 攻击保护措施包括:

核心

  • HTML SQL 注入-提供防御措施,防止注入可能破坏安全性的未经授权的 SQL 代码。
  • HTML 跨站点脚本-检查用户请求的标头和 POST 主体是否存在可能的跨站点脚本攻击。
  • 跨站点请求伪造 (CSRF) 表单标记-使用唯一且不可预测的 FormID 标记受保护网站发送给用户的每个 Web 表单,然后检查用户返回的 Web 表单,以确保所提供的 FormID 正确无误。
  • 缓冲区溢出检查-检测导致缓冲区溢出的企图,例如长度超过配置长度的 URL、Cookie 或标头。

Advanced

  • Cookie一致性-检查用户返回的cookie,以验证它们是否与受保护网站为该用户设置的cookie相匹配。如果找到修改过的 cookie,则会在请求转发到 Web 服务器之前将其从请求中删除。
  • 字段一致性-检查用户在响应 HTML 请求时返回的 Web 表单,并验证未对结构进行未经授权的更改。
  • 字段格式-验证用户发送的数据,包括长度和类型。
  • 内容类型-确保内容类型标头为任一 “application/x-www-form-urlencoded”, “multipart/form-data,” or “text/x-gwt-rpc” 类型。任何指定了其他内容类型的请求都将被阻止。
  • HTTP RFC-检查传入流量是否符合 HTTP RFC 协议,并丢弃任何违反 RFC 的请求。
  • 拒绝 URL-检查并阻止黑客和恶意代码经常访问的 URL 的连接。
  • POST 正文限制-限制检查签名的请求负载(以字节为单位)。

XML

  • XML SQL 注入-检查并阻止在 XML 有效负载中注入 SQL 的用户请求。
  • XML XSS-通过 XML 有效负载中的跨站脚本攻击检查和阻止用户请求。
  • XML 格式-检查并阻止格式不正确或不符合格式正确的 XML 文档规范的传入请求。
  • XML SOAP 错误-检查来自受保护的 Web 服务的响应并过滤掉 XML SOAP 错误。这样可以防止敏感信息泄露给攻击者。
  • Web 服务互操作性-检查并阻止不符合 WS-I 标准且可能无法与 XML 应用程序进行适当交互的请求和响应。

积极的安全模型

Citrix WAF 支持积极保护模型,其学习规则基于负面模型,创建允许的流量配置文件。高级启发式分析法可分析流量以识别标准行为并提出调整对策的建议。这有助于确保抵御现有特征码中未解决的零日攻击。

DDOS 管理

DDOS 攻击的重点是通过消耗资源造成中断。DDOS 攻击主要分为三类:

  1. 基于容量的攻击-试图通过大量流量压倒站点来中断常规服务。其中包括试图超出可用带宽的 UDP 或 ICMP 泛洪,从而拒绝合法用户请求到达目标站点。
  2. 基于协议的攻击-集中在传输层并利用协议操作。数据包通常是 “欺骗” 的,或者使用虚假的 IP 标头信息发送,以非法响应消耗站点资源。一个典型的例子是 “SYN” 攻击。通过这种类型的攻击,恶意行为者的主机或 BOT 会发送建立 TCP 层会话的请求。合法用户最终需要一个 TCP 会话才能建立 HTTP 会话来使用 Web 服务。但是,发起方的主机从不响应站点的 SYN ACK,而是发送更多的 SYN,从而在等待建立 TCP 会话时持续消耗 Web 服务上的内存。
  3. 应用层攻击-这些攻击集中在应用层,旨在克服资源或利用 Web 服务器漏洞。这些攻击通过操纵与精心制作的 GET 或 POSTs 的协议通信,试图对站点做出非法的过度响应。

Citrix DDoS 解决方案为 DDOS 保护购买者提供了一个全面的解决方案。它是一项永远在线的 DDoS 攻击管理服务。它拥有世界上最大的清理网络之一,具有 14 个 POP 和 12 Tbps 的容量,可保护应用程序免受大规模的 DDoS 攻击。

管理

CWAAP 通过灵活的 SaaS 门户进行配置和管理。可通过浏览器访问的 CWAAP 服务门户使安全管理员能够配置攻击防护、通过仪表板监控攻击活动或报告事件。

设置

CWAAP 是在 Citrix 的帮助下使用以下两种方法之一进行设置的:

  • DNS-使用DNS是最常见和最简单的方法。客户将其站点 A 记录定向到其站点的 Citrix CWAAP 域设置。通过这种方法,客户可以保持控制,并可以使用较低的 TTL 设置来安排快速过渡。
  • BGP-使用 BGP 要求客户将其相关路由块的控制权转移给 Citrix。然后,Citrix 代表客户宣布路由,没有封锁的目标站点的流量将被定向到 CWAAP 进行检查。

配置

CWAAP WAF 策略和自定义规则可通过 SaaS 门户进行配置:

  • WAF 策略-主要有三组策略,当检测到策略时,管理员可以将其配置为阻止、记录或两者兼而有之。核心策略是最常见的攻击类型,包括 SQL 注入、跨站点脚本和缓冲区溢出。高级攻击是使用 Cookie 或试图利用 HTTP 协议的更复杂的攻击,而最后一组则是针对 XML 的攻击。用于识别攻击的签名由 Citrix 研究团队持续开发,并在发布后自动更新。
  • 响应方策略-管理员可以配置自定义规则,根据主机名、源 IP 地址或目标端口等特定参数删除、记录或重定向连接。
  • 网络控制-管理员可以配置 ACL 来阻止特定 IP 地址范围或来自特定国家/地区的流量。
  • 警报-当特定参数(如同一 ASN、国家/地区或用户代理)超过特定时间间隔内的流量时,管理员可以配置自定义警报。
  • 可信来源-管理员可以配置绕过检查策略的可信源的允许列表。
  • 资产-管理员配置这些配置的策略应应用到的一个或多个目标站点。

CWAAP

监视

CWAAP 门户使 Citrix 管理员能够集中监控 CWAAP 保护。主仪表板提供了网站流量的汇总视图,包括按干净流量和缓解流量细分的总流量。

它还包括攻击的详细日志,包括攻击的数量、持续时间和部署的对策。

CWAAP

摘要

企业对云服务和移动应用程序的使用继续推动云原生 Web 和 API 流量的增长,同时在本地维护一些业务关键型 Web 应用程序。随着在线应用程序和API的增长,它们越来越容易受到托管在公共互联网上的持续攻击。Citrix Web 应用程序和 API 安全服务不断发展,以防范这些复杂的攻击。它包括一套基于机器学习和人工智能的高级技术,可保护云端和本地部署中的这些关键企业服务。

引用

Citrix® Web 应用程序和 API 保护™上了解更多信息

技术简报:Citrix Web 应用程序和 API 保护服务