Was ist Webanwendung und API Protection (WAAP)?

WAAP: Funktionsweise und Kernkomponenten

Das soll nicht heißen, dass WAF überholt ist – im Kern von WAAP steht eine Web Application Firewall. WAAP folgt ebenfalls dem gleichen Architekturdesign, da es auch als Reverse-Proxy fungiert, der zwischen Benutzern und Backend-Diensten vermittelt.

Anstatt sich ausschließlich auf WAF-Funktionen zu verlassen, profitiert WAAP jedoch von mehreren weiteren Komponenten. Beachten Sie, dass Gartner WAAP als Cloud-basiert definiert, da es nicht nur die Integration mit den bereits vorhandenen Netzwerk-Tools einer Organisation erfordert, sondern auch ein Backbone von Bedrohungsinformationen, das kontinuierlich aktualisiert wird.

Web Application Firewall (WAF)

Die WAF dient weiterhin als effiziente und hochgradig skalierbare Verteidigungsebene. Es prüft den gesamten HTTP/S-Datenverkehr, der zur Anwendung und von ihren Benutzern fließt – eine grundlegende Voraussetzung für die Absicherung einer Webanwendung. Moderne WAF-Module basieren auf einem kontinuierlich aktualisierten Regelsatz, der virtuelles Patching ermöglicht, sobald neue Bedrohungen entdeckt werden. Echtzeit-Bedrohungsfeeds können die gesamte Bandbreite der Schwachstelle-Intelligence-Feeds eines Anbieters einbeziehen und so einen Schutz nahezu in Echtzeit ermöglichen.

Darüber hinaus kann eine fortschrittliche WAF Deep Packet Inspection (DPI) anbieten. Traditionelle WAFs untersuchen die Paket-Header der Benutzeranfragen – diese zeigen, wohin das Paket gesendet und von wo es gesendet wird, sowie wie es dorthin geroutet wird. DPI geht noch einen Schritt weiter, indem es den gesamten Inhalt von Datenpaketen und deren Nutzdaten untersucht, während diese ein Netzwerk durchlaufen.

Diese detailliertere Analyse ermöglicht es einer WAF-Engine, nicht nur einzelne gefährliche Pakete zu blockieren, sondern auch komplexere Angriffe, wie beispielsweise eine kompromittierte Anwendung, die beginnt, Verbindungen zu Command-and-Control-Servern anzufordern. Kontextgesteuerte Protokolle können daher den umfassenderen Kontext jeder Anfrage berücksichtigen, wie z. B. die Identität des Benutzers, den Standort, die Zeit, das Gerät und die Stelle, an der die Daten innerhalb der Anfrage erscheinen.

Schließlich werden all diese HTTPS-Verkehrsdaten in Echtzeit in eine Verhaltensanalyseplattform eingespeist. Dadurch kann die WAF ein Profil darüber erstellen, wie die einzelnen Anwendungen im Laufe der Zeit aufgerufen werden und wie sich verschiedene Benutzer verhalten.

API-Gateway

API-Sicherheit ist ein Kernbestandteil von WAAP. Der WAAP ist als API-Gateway konzipiert und fungiert als zentraler Eingangspunkt, der jede Anfrage entgegennimmt, bevor er sie entweder an den entsprechenden Backend-Dienst weiterleitet oder angeforderte Backend-Dienste aufruft und deren Ergebnisse zusammenführt.

Aus Sicht der Sicherheitstransparenz ermöglicht dies eine deutlich bessere API-Transparenz. API -Erkennung kann halbautomatisch erfolgen, da die WAAP-Lösung den Datenverkehr und die zugehörigen Endgeräte scannt, um die aktuell verwendete API zu ermitteln. Sobald eine API in ein Inventar aufgenommen wurde, erfolgt eine manuelle Überprüfung. Verifizierte APIs werden in ein Basisinventar verschoben, während unerwartete Entdeckungen als Schatten-APIs gekennzeichnet und zur weiteren Überprüfung aufgelistet werden.

Zu diesem Prozess gehört auch die Überprüfung, an welches Schema sich jede API hält. Sobald eine API erkannt wurde, erfasst das WAAP-Tool die Stichprobendaten der Anfragen und Antworten und gleicht sie mit einer internen Liste gängiger Schemata ab. Jedes ungewöhnliche Schema kann manuell überprüft werden. Neben dem Schema umfasst diese WAAP-Erkennung auch die Authentifizierungselemente jeder API.

Die erlernten oder importierten API-Schemas ermöglichen die Validierung eingehender und ausgehender Anfragen. Dadurch wird sichergestellt, dass auch Drittanbieter-APIs bewährte Verfahren wie OAuth 2.0-Authentifizierung, Eingabebereinigung und Ratenbegrenzung einhalten. Moderne WAAP-Plattformen integrieren häufig API Gateway für Echtzeit-Transparenz des Datenverkehrs und automatisiertes API Inventarmanagement.

Bot-Management

Während die Sicherheit der API und einzelner Benutzer wichtig ist, gibt es bei der Absicherung von Anwendungen noch einen weiteren Akteur zu berücksichtigen: Bots. Zum Glück verhalten sich Bots oft so, dass sie sich von echten Benutzern und API-Aufrufen unterscheiden – zum Beispiel bewegen Menschen ihre Mauszeiger auf zufällige, organische Weise, während Bots entweder Mausbewegungen in mechanischen geraden Linien simulieren oder gar nicht. WAAP erfasst clientseitige Aktivitäten sowie Parameter wie Gerät, Browser und Netzwerk.

Die Best Practices von WAAP sehen vor, dass einem verdächtigen Bot eine Herausforderung gestellt werden muss, beispielsweise durch JavaScript oder CAPTCHA. Sobald er als Bot verifiziert wurde, kann er blockiert oder mit sinnvollen Ratenbegrenzungen versehen werden.

Zugriffsverwaltung

Wir haben bereits die Bedeutung einer sicheren API-Authentifizierung angesprochen. WAAP sorgt für Transparenz und Durchsetzung, indem es sich in den bereits bestehenden Identity and Access Management (IAM)-Anbieter einer Organisation integriert.

Nach der Integration kann WAAP alle im Rahmen der API-Authentifizierung ausgegebenen Zugriffstoken erfassen und validieren – und sicherstellen, dass jeder API-Aufruf über gültige, nicht abgelaufene Anmeldeinformationen verfügt. Dies bietet einen Rahmen, mit dem eine Organisation gestohlene Zugriffstoken erkennen und entfernen kann, während gleichzeitig die regelmäßige Tokenerneuerung innerhalb ihrer aktiven API erzwungen wird.

Aus Sicht des Endbenutzers können WAAP-Tools den Authentifizierungsprozess beschleunigen, da sie föderierte Identitäten und SSO-Integrationen unterstützen. Dies bedeutet, dass die Authentifizierung für vertrauenswürdige Geräte im Hintergrund erfolgen kann.