Glossar: Begriffe und Definitionen zur Cybersicherheit

Was ist Web-App- und API-Schutz (WAAP)?

Web-App- und API-Schutz (WAAP) bezieht sich auf einen integrierten Satz von Sicherheitsdiensten, die zusammenarbeiten, um Sicherheitsrisiken von APIs und Webanwendungen zu mindern.

WAAP-Bedeutung

WAAP-Lösungen schützen vor Anwendungssicherheitsrisiken durch Ausnutzung von Sicherheitslücken, Bots, automatisierte Angriffe, Denial-of-Service-Angriffe, Betrug und Missbrauch sowie unsichere API-Integrationen von Drittanbietern. 

Durch integrierte Sicherheitskontrollen können Unternehmen ihre Transparenz durch umsetzbare Erkenntnisse verbessern, mit denen sie bestimmte Angriffe stoppen und koordinierte Bedrohungskampagnen identifizieren können, die sich über mehrere Bedrohungsvektoren erstrecken.

Buu Lam hält diese Brightboard-Lektion darüber, was ein WAAP ist, welche Probleme es löst und wie man es zu seinen Gunsten nutzt.

Was sind APIs und API-Gateways?

Anwendungsprogrammierschnittstellen (APIs) sind in einer modernen IT-Umgebung die gängigste Methode, um Benutzer, Anwendungen und Dienste miteinander zu verbinden. Die meisten modernen Apps werden mithilfe von APIs erstellt – Softwareschnittstellen, die die Kommunikation zwischen Anwendungen oder Diensten ermöglichen und Interaktivität zwischen Produkten und Diensten in Form von Anfragen und Antworten zulassen. Mehr APIs bedeuten jedoch eine größere Angriffsfläche. Da APIs immer häufiger verwendet werden und über Microservices-Architekturen verteilt werden, ist zusätzliche Infrastruktur erforderlich, um Skalierbarkeit und Sicherheit zu gewährleisten.

Bei auf Microservices basierenden Anwendungen fungiert ein API-Gateway als einziger Einstiegspunkt in das System und ist für die Anforderungsweiterleitung, -zusammenstellung und -durchsetzung verantwortlich. Einige Anfragen werden von ihm einfach durch Weiterleitung an den entsprechenden Backend-Dienst bearbeitet. Andere werden von ihm durch Aufrufen mehrerer Backend-Dienste und Zusammenfassen der Ergebnisse bearbeitet.

API-Gateways verfügen außerdem über integrierte Sicherheitsfunktionen zum Schutz der APIs vor gängigen Bedrohungen und bieten wichtige Sicherheitsfunktionen, darunter die Verwaltung der Zugriffskontrolle, Authentifizierung und Autorisierung für Ihre APIs. So wird sichergestellt, dass nur authentifizierte und autorisierte Benutzer auf sie zugreifen können.

Ein API-Gateway kann vor einem Kubernetes-Cluster als Load Balancer (Multi-Cluster-Ebene), an dessen Rand als Ingress-Controller (Cluster-Ebene) oder innerhalb des Clusters als Service Mesh (Service-Ebene) bereitgestellt werden. Für API-Gateway-Bereitstellungen am Edge und innerhalb des Kubernetes-Clusters empfiehlt es sich, ein Kubernetes-natives Tool als API-Gateway zu verwenden. Solche Tools sind eng in die Kubernetes-API integriert, unterstützen YAML und können über die standardmäßige Kubernetes-CLI konfiguriert werden.

Die Verwendung eines API-Gateways zusammen mit einer WAAP-Lösung kann zusätzliche, sich gegenseitig ergänzende Sicherheitsebenen bereitstellen.  Ein API-Gateway beispielsweise konzentriert sich in erster Linie auf die Verwaltung und Sicherung des Zugriffs auf APIs, während eine WAAP-Lösung Webanwendungen und APIs vor einer breiten Palette von Sicherheitsbedrohungen schützt, darunter OWASP Top 10-Schwachstellen, DDoS-Angriffe und Bot-Verkehr, und erweiterte Funktionen wie Bedrohungsinformationen und verhaltensbasierte Anomalieerkennung bietet.  

Warum ist der Schutz von Web-Apps und APIs wichtig?

Die Einbindung von Kunden durch überzeugende und sichere digitale Erlebnisse ist eine geschäftliche Notwendigkeit und ein zentraler Schwerpunkt für Führungskräfte in den Bereichen Sicherheit und Risiko. Die Risiko-Nutzen-Abwägung, bei der Sicherheit und Benutzerfreundlichkeit ins Gleichgewicht gebracht werden sollen, war noch nie so schwierig, wichtig oder lukrativ wie heute in der modernen digitalen Wirtschaft. 

Eine beispiellose Auswahl, eine geringe Toleranz der Kunden gegenüber Reibungsverlusten oder Ausfällen sowie zunehmende regulatorische Auswirkungen verändern die Perspektive der Sicherheit von einem Kostenfaktor zu einem wettbewerbsfähigen digitalen Differenzierungsmerkmal. Darüber hinaus werden Anwendungen zunehmend dezentralisiert und verteilt, über heterogene und Multi-Cloud-Architekturen bereitgestellt und in komplexe Software-Lieferketten und CI/CD-Pipelines integriert. 

WAAP-Diagramm 1

Abbildung 1: Apps werden zunehmend dezentralisiert und verteilt

Die zunehmende Komplexität von Bots und automatisierten Angriffen sowie die Verbreitung von API-Endpunkten durch die zunehmende Nutzung mobiler Apps und die Entwicklung moderner Apps vergrößert die Bedrohungsfläche dramatisch und bringt unvorhergesehene Risiken durch Integrationen von Drittanbietern mit sich.

Der industrialisierte Angriffslebenszyklus beginnt mit der Automatisierung und endet mit der Übernahme von Konten und Betrug.

WAAP-Diagramm 1

Abbildung 2: Anwendungsangriffe sind hartnäckig und ausgefeilt

 

Eine WAAP-Lösung stellt die Weiterentwicklung des WAF -Marktes in angrenzende Bereiche dar, insbesondere Bot-Management , API-Sicherheit und DDoS- Minderung.

Eine WAF, die sich in Cloud-basierte DDoS-Scrubbing-Center integrieren lässt, wurde früher als WAAP bezeichnet, unabhängig davon, ob es sich bei der WAF um eine Hardware- oder virtuelle Appliance in einem Rechenzentrum, einer privaten oder öffentlichen Cloud handelte. Der Markt befindet sich jedoch an einem Wendepunkt, an dem viele Unternehmen Cloud-basierte WAAP-Plattformen in Form von „as-a-Service“-Sicherheit bevorzugen werden.

Es gibt mehrere Gründe, die das Interesse an Cloud-basierten WAAP-Plattformen steigern:

  1. Die Notwendigkeit einer speziellen Bot-Management-Technologie zur Verhinderung von Betrug und Missbrauch
  2. API-Erkennungs- und Durchsetzungskontrollen, die das Risiko von Integrationen von Drittanbietern mindern können
  3. Kontinuierliche Richtlinienwartung über APIs, Entwicklungsframeworks und CI/CD-Pipelines
  4. Automatisierter Schutz und Korrektur falscher Positivmeldungen durch künstliche Intelligenz

Appliance-basierte WAFs, die sich in Cloud-basierte Sicherheitsdienste integrieren lassen, deren Schwerpunkt auf Geschäftsergebnissen liegt, werden in stark regulierten Branchen wie dem Bank- und Finanzdienstleistungssektor (BFSI) weiterhin eine praktikable, wenn nicht gar bevorzugte Option bleiben.

So bewerten Sie einen Cloud-WAAP-Dienst

Wirksamkeit und Benutzerfreundlichkeit werden oft als wichtige Kaufkriterien für WAAP genannt.

Mit dem erstklassigen WAAP können Unternehmen ihre Sicherheitslage im Einklang mit dem Geschäftstempo verbessern, Kompromisse ohne Reibungsverluste oder übermäßige Fehlalarme eindämmen und die betriebliche Komplexität verringern, um hybride Multi-Cloud-Architekturen konsistent vor kritischen Schwachstellen, Missbrauch der Geschäftslogik und unvorhergesehenen Risiken zu schützen. 

Zu den wichtigsten Funktionen gehören:

  • Universelle Beobachtbarkeit über die gesamte Cloud-native Infrastruktur und den gesamten Anwendungsstapel hinweg
  • Dynamische API-Erkennung und -Durchsetzung
  • Widerstandsfähigkeit bei Umrüstung, Eskalation und Umgehung durch Angreifer

Wie funktioniert der Schutz von Web-Apps und APIs?

WAAP-Lösungen verringern das Risiko von Kompromittierung, Datenexfiltration, Kontoübernahme und Anwendungsausfallzeiten durch die Integration verschiedener Sicherheitskontrollen zum Schutz von Anwendungen, darunter:

  • Web Application Firewall (WAF)
  • Bot-Verwaltung
  • API-Sicherheit
  • DDoS-Abwehr

WAAP-Lösungen sind in mehreren Formfaktoren verfügbar:

  1. Physische/virtuelle WAF-Geräte, die sich in Cloud-basierte Sicherheitsdienste integrieren lassen
  2. Auf Microservices basierende WAF-Instanzen, die sich in Cloud-basierte Sicherheitsdienste integrieren lassen
  3. Cloudbasierte WAAP-Plattformen mit integrierten WAF-, Bot-, API- und DDoS-Sicherheitskontrollen

WAAP-Lösungen umfassen außerdem clientseitige Sicherheit zum Erkennen bösartiger Skripte/Skimming (wie etwa Magecart-Angriffe ), Sicherheitskontrollen zum Verhindern von Angriffen durch bösartige Aggregatoren und einen Kontoschutz, der die Übernahme von Konten durch manuellen Betrug verhindert.

Lösungen zum Schutz der Anwendungsinfrastruktur (AIP) stärken die App-Sicherheit zusätzlich und verbessern die Behebung durch dynamische Schwachstellenerkennung und Cloud-Workload-Sicherheit. Durch die Integration mit WAAP-Kontrollen wird die Ausnutzung und der Missbrauch der zugrunde liegenden Infrastruktur verhindert.

Wie handhabt F5 den Schutz von Web-Apps und APIs?

F5 WAAP-Lösungen passen nativ in jede Architektur, Cloud und jedes Betriebsmodell und bieten Sicherheits- und Risikoteams universelle Transparenz und konsistente Richtliniendurchsetzung, um ältere und moderne Apps vom Kern über die Cloud bis zum Rand zu schützen. F5 WAAP-Lösungen bieten Flexibilität und Auswahl hinsichtlich Bereitstellungsmodell und Betriebsmodell.

F5 Distributed Cloud WAAP bietet beispiellose Beobachtbarkeit gepaart mit einem großen realen Datensee und Algorithmen des maschinellen Lernens ermöglicht es F5-Kunden, KI-basierte Mehrwertdienste (VAS) einzuführen, zum Beispiel Authentication Intelligence, das legitime Kundentransaktionen durch verbesserte Personalisierung und Beseitigung von Reibungspunkten optimiert und so die Kundenbindung, Konversion und Loyalität erhöht.

WAAP-Diagramm 1

Abbildung 3: F5 Distributed Cloud Web App und API-Schutzplattform

F5 NGINX bietet je nach Anwendungsfall und Bereitstellungsmuster auch mehrere Optionen für die Bereitstellung und den Betrieb eines API-Gateways. Zu den universellen Tools gehört F5 NGINX Plus , das als leichtes, leistungsstarkes API-Gateway in Cloud-, lokalen und Edge-Umgebungen eingesetzt werden kann.

Zu den Kubernetes-nativen Tools gehört der NGINX Ingress Controller , der die App-Konnektivität am Rand eines Kubernetes-Clusters mit API-Gateway-, Identitäts- und Beobachtungsfunktionen verwaltet.