Sicherung von SAP Fiori HTTP Batched Requests (OData) mit F5 Advanced WAF
Das HTTP-Protokoll betreibt den größten Teil des Webs. Es ist das Kommunikationsprotokoll, das den größten Teil des Internetverkehrs steuert. Es entstehen neue Möglichkeiten zur Netzwerkoptimierung der Internetkommunikation, entweder verschlüsselt, kodiert oder als Klartext über UDP oder TCP. Hierzu gehört die Möglichkeit, mehrere HTTP-Anfragen zu einer einzigen Anfrage zusammenzufassen. Durch die Stapelverarbeitung mehrerer HTTP-Anfragen können der Nutzlastaufwand und die Roundtrip-Zeit (RTT) einer neuen Anfrage begrenzt werden – das spart Zeit und Kosten.
Die Stapelverarbeitung mehrerer HTTP-Anfragen wird in erster Linie zum Gruppieren verschiedener REST-API-Aufrufe (Representational State Transfer) durch mehrere Protokolle und Anbieter verwendet, darunter auch das Open Data Protocol (OData). Das OData-Protokoll ist ein offener Standard, der die einfache Erstellung und Verwendung interoperabler und abfragbarer REST-APIs ermöglicht. Es wurde 2007 von Microsoft entwickelt und wird in Anwendungen von Microsoft, SAP und anderen Anbietern verwendet und genutzt.
Als Teil der OData-Spezifikation können mehrere REST-API-Aufrufe über HTTP zu einer einzigen HTTP-Anfrage zusammengefasst werden. Dies spart wertvolle Netzwerkzeit und ermöglicht der Anwendung eine bessere Nutzung der zugewiesenen Bandbreite.
Beim Versuch, Anwendungen zu sichern, die HTTP-Anfragen stapelweise verarbeiten, entsteht durch die Anwendung von Angriffssignaturen eine Herausforderung.
Es gibt drei verschiedene Arten von Angriffssignaturen, abhängig davon, für welchen Teil der Anfrage sie relevant sind:
- Header Signaturen
- URL-Signaturen
- Nutzlastsignaturen
Hier ist ein Beispiel für eine solche Anfrage:
Die erste Anfrage enthält andere HTTP-Anfragen, einschließlich deren Header und URLs.
Wenn jedoch eine Web Application Firewall (WAF) eine HTTP-Anforderung mit mehreren Batch-Anforderungen als Teil der Nutzlast verarbeitet, betrachtet sie alle Batch-Anforderungen als eine einzige Nutzlast. Daher werden nur Nutzlast-bezogene Signaturen verwendet, was zu Fehlalarmen und unerkannten Angriffen führen kann.
In F5 Advanced WAF v16.1 hat F5 natives Parsing und Unterstützung für HTTP-Batchanforderungen hinzugefügt. Dadurch kann Advanced WAF zwischen den einzelnen HTTP-Anfragen unterscheiden (und nicht alle gemeinsam in einem Stapel verarbeiten) und so die richtigen Signaturen für die richtigen Teile jeder Anfrage ausführen.
F5 Advanced WAF schützt den gesamten OData- oder sonstigen Datenverkehr mit HTTP-Batchanfragen, ohne dass das Risiko besteht, Angriffe zu übersehen oder viele Fehlalarme zu erzeugen.
SAP nutzt das OData-Protokoll für die Kommunikation und Interoperabilität mit allen Anwendungen, Softwareprogrammen und Geräten, die nicht von SAP angeboten werden. Da OData auf HTTPS basiert, kann jede Programmiersprache – und im Übrigen jeder Entwickler – eine OData-Nachricht verwenden und mit ihr kommunizieren. Dadurch kann jedes Angebot, das kein SAP-Angebot ist, über HTTPS eine Verbindung mit SAP herstellen, da die Schnittstelle zu OData auf XML oder JSON basiert.
SAP Fiori bietet Tools, mit denen Designer und Entwickler native Mobil- und Web-Apps erstellen und optimieren können, die plattformübergreifend ein konsistentes, innovatives Benutzererlebnis bieten. SAP Fiori bietet ein modernes Benutzererlebnis für jedes Gerät und jeden Benutzer. SAP Fiori bietet Benutzern eine einfache und produktive Arbeitserfahrung von überall aus. OData ermöglicht die Integration und Interoperabilität von Nicht-SAP-Apps in einer mit SAP Fiori erstellten Umgebung.
Interoperabilität und einfache Kommunikation sind zwar von entscheidender Bedeutung, aber auch die Sicherheit ist wichtig, insbesondere bei SAP-Fiori-Bereitstellungen mit Internetzugriff, die Analyseanwendungen nutzen oder die Suche über das Internet verwenden.
In einem von SAP veröffentlichten Blog mit dem Titel „Überlegungen und Empfehlungen für internetbasierte Fiori-Apps“ heißt es, dass eine WAF „vor dem SAP Web Dispatcher platziert werden sollte, um alle eingehenden HTTP-Anfragen zu überwachen und zu steuern“ und dass eine WAF „zwischen einem vertrauenswürdigen internen Netzwerk und dem nicht vertrauenswürdigen Internet“ eingesetzt werden sollte. Im Blog wird weiter darauf hingewiesen, dass eine WAF neben den verfügbaren Sicherheitsfunktionen auch Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe) stoppen sollte, insbesondere „damit diese Ihr SAP S/4HANA-System nicht erreichen können“.
Die Unterstützung des OData-Protokolls durch F5 Advanced WAF ermöglicht es Kunden, SAP-Anwendungen wirksamer zu schützen und die Zahl falscher Positivmeldungen zu verringern.
Weitere Informationen zu F5-Lösungen für SAP Fiori und S/4 HANA finden Sie hier:
Schnell und sicher: SAP-Migration in die Cloud (F5.com)
Eindämmung aktiver Cyberangriffe auf unternehmenskritische SAP-Anwendungen | DevCentral (f5.com)
Weitere Informationen zu SAP Fiori und zur Anwendung einer WAF zur Gewährleistung der Sicherheit und Reduzierung von Fehlalarmen im Zusammenhang mit SAP Fiori und der Verwendung von OData- und HTTP-Batchanforderungen finden Sie hier: Überlegungen und Empfehlungen für internetbasierte Fiori-Apps | SAP-Blogs
Bereitstellung im Intranet oder Internet | SAP Help Portal
Verwandte Inhalte
OData – Alles was Sie wissen müssen: Teil 1 | SAP Blogs