Web-Applikationen und APIs schützen
Sicherheit für die hybride Multi-Cloud
Fortsetzung des Artikels von Teil 1
WAF der nächsten Generation
Als zwischengeschalteter Proxy überprüft der WAF-Service Anwendungsanfragen und -antworten. Er schützt damit vor Hackerangriffen, Zero-Day-Exploits oder Denial-of-Service-Attacken. Dazu nutzt er sowohl signatur- als auch verhaltensbasierte Funktionen. Während sich über Signaturen bekannte Angriffsmuster abwehren lassen, entdecken Verhaltensanalysen unbekannte Bedrohungen. Sie prüfen, ob Anfragen im normalen Bereich liegen oder Indizien wie etwa viele Anmeldefehler auf Attacken hinweisen. Automatische Angriffe durch Bots erzeugen auch häufig Anfragen mit sehr hoher Geschwindigkeit.
Eine Next-Generation WAF berücksichtigt mehrere tausend Signaturen und ermöglicht benutzerdefinierte Regeln. Sie enthält eine Methodik zur Verhaltensanalyse, mit der sich Client-Interaktionen auf missachtete WAF-Regeln, verbotene Zugriffsversuche oder Login-Fehler hin überprüfen lassen. ML kann dabei verdächtiges Verhalten eindeutig identifizieren und mögliche Abwehrmaßnahmen priorisieren. Eine Service-Policy-Engine mit IP-Reputation und Allow-/Deny-Listen blockiert Clients mit bekannten bösartigen TLS-Fingerprints sowie aus verdächtigen Ländern oder ASNs (Autonomous System Number). Dabei unterdrückt die WAF Fehlalarme.
Sicherheit für Schnittstellen
Ein Cloud-basierter API-Security-Service erkennt Schnittstellen automatisch und ordnet sie der jeweiligen Applikation zu. Dabei erstellt der Service eine Swagger-Definition der APIs. Durch den Swagger-Import und die Integration mit der CI/CD-Pipeline kann er bei einer API-Änderung genau nachvollziehen, welche Endpunkte, Methoden und Nutzdaten gerade gültig sind. Vor allem bei häufig wechselnden APIs ist ein ML-Modus wichtig, da er manuelle Prozesse minimiert. Zudem entdeckt er Anomalien, die auf Schatten-APIs hinweisen.
Weitere Automatisierungen ermöglichen eine aktuelle Abdeckung der Owasp API Top 10 Exploits. Bei Bedarf lässt sich eine eingehende forensische Analyse von verdächtigem und bösartigem Datenverkehr durchführen. Wenn bekannt ist, welche Endpunkte in welcher Reihenfolge und mit welcher Häufigkeit zum Einsatz kommen, lassen sich Hackerangriffe erkennen und nachverfolgen. Eine Visualisierung und Gegenüberstellung von bösartigen und legitimen Nutzungsmustern für APIs dient zur Vermeidung von Fehlarmen sowie zur Optimierung der User Experience.
Abwehr bösartiger Bots
Eine bessere Unterscheidung von bösartigen und legitimen Nutzungsmustern ermöglicht Bot Defense im Bereich der Maschine-zu-Maschine-Kommunikation. Dieser Service erkennt automatisierte Angriffe, selbst wenn sie menschliche Verhaltensweisen nachahmen. Dazu kombiniert er vereinheitlichte Telemetrie, Erkenntnisse aus Netzwerkdaten und KI/ML mit menschlicher Analyse und einer kuratierten Datenbank mit bekannten Bedrohungen. Dies ermöglicht präzise und valide Ergebnisse.
Das Funktionsprinzip umfasst dabei vier Bereiche: Der Service sammelt Netzwerksignale aus Betriebssystemen, Browsern, VPNs, Hosting-ASNs und WebGL-VMs. Er prüft die digitale Identität anhand von Geräte-ID, Zeitzone, Umgebungsdaten und Nutzeragenten. Auf Basis von Geräteaktivität, Kaufverhalten, User Journey, Login, Zahlungsvorgängen und Kontoänderungen erzeugt er Verhaltensprofile. Zusätzlich erfasst er Biometriken wie Bediengeschwindigkeit, Mausbewegungen, Tippmuster sowie die Verwendung von Tastaturkürzeln und automatischen Funktionen.
Vor anwendungsbasierten DoS-Attacken bis hin zu volumetrischen Distributed-Denial-of-Service-Angriffen auf Netzwerkebene schützt L3-L7 DDoS Mitigation: Der Service blockiert bösartigen Datenverkehr, der auf einzelne Applikationen und Infrastrukturen abzielt, ebenso wie massenhafte Anfragen zur Überlastung von Websites. Mittels eines globalen Backbones und verteilter Sicherheitstechnik wehrt er dabei die Angriffe in der Nähe ihres Ursprungsorts ab.
Schutz vor DDoS-Angriffen
Ein solcher verteilter Cloud-Service identifiziert, kategorisiert und entschärft die meisten DDoS-Angriffe in wenigen Sekunden. Dies schließt dank Deep Packet Inspection und DDoS-Scrubbing auch fortschrittliche Angriffe ein. Zugleich überprüfen Firewall-Regeln für den Edge den Datenverkehr, bevor er Netzwerke und Anwendungen erreicht. Ein Highspeed Full Proxy schützt Dienste und Applikationen vor Protokollangriffen, L7-DoS und verschlüsselten Bedrohungen. Besonders sensible Anlagen und Unternehmensbereiche lassen sich durch benutzerdefinierte Regeln noch stärker vor gezielten DoS-Angriffen abschotten. Die Management-Oberfläche zeigt eine integrierte Übersicht mit automatisch erstellten Grundlinien des Anwendungsverhaltens, Echtzeit-Hinweise auf ungewöhnliches Verhalten sowie mögliche Abwehrmaßnahmen. Dadurch kann das Security-Team schnell erkennen, warum ein Ereignis als DDoS eingestuft wird und mit welcher Priorität es zu behandeln ist.
Monolithische und Micro-Services-basierte Anwendungen lassen sich mit verteilten Cloud-Services für WAAP über Rechenzentren, Colocation-Standorte, Multi-Cloud- und Edge-Umgebungen hinweg schützen. Mit einem zentralen Dashboard erstellen Verantwortliche detaillierte Security-Richtlinien und setzen sie nach dem Prinzip „Write once, run anywhere“ in allen Umgebungen durch. So profitieren Unternehmen von höherer Effizienz und Skalierbarkeit, geringeren Kosten, schlankeren Support und verbesserten KPIs (Key Performance Indicators).
Frank Thias ist Principal Solutions Engineer bei F5.
- Sicherheit für die hybride Multi-Cloud
- WAF der nächsten Generation
Lesen Sie mehr zum Thema
