ブログ

F5 Advanced WAF による SAP Fiori HTTP バッチ リクエスト (OData) の保護

ナオールザグサムネイル
ナオルザグ
2021年8月30日公開

Web の大部分は HTTP プロトコルによって実行されます。 これは、ほとんどのインターネット トラフィックを駆動する通信プロトコルです。 UDP または TCP 経由の暗号化、エンコード、またはクリア テキストによる、インターネット通信を最適化するネットワークの新しい方法が登場しています。 その中には、複数の HTTP リクエストを 1 つのリクエストにまとめてバッチ処理する機能があります。 複数の HTTP リクエストをバッチ処理すると、ペイロードのオーバーヘッドと新しいリクエストのラウンドトリップ時間 (RTT) が制限されるため、時間とコストを節約できます。

複数の HTTP リクエストのバッチ処理は、主に、複数のプロトコルやベンダーによるさまざまな Representational State Transfer (REST) API 呼び出しをグループ化するために使用されます。その中には、Open Data Protocol (OData) も含まれます。 相互運用性とクエリが可能な REST API を簡単に作成および使用できるようにするオープン スタンダードである OData プロトコルは、2007 年に Microsoft によって開発され、Microsoft、SAP、およびその他のベンダーのアプリケーションで使用され、活用されています。

OData 仕様の一部として、HTTP 経由の複数の REST API 呼び出しを 1 つの HTTP リクエストにバッチ処理できるため、貴重でコストのかかるネットワーク時間を節約し、アプリケーションが割り当てられた帯域幅をより有効に活用できるようになります。

HTTP リクエストをバッチ処理するアプリケーションを保護しようとすると、攻撃シグネチャの適用に関して課題が生じます。

攻撃シグネチャには、リクエストの関連する部分に応じて 3 つの異なるタイプがあります。

  • ヘッダー署名
  • URL 署名
  • ペイロード署名

このようなリクエストの例を次に示します。

攻撃署名リクエストの例

最初のリクエストには、ヘッダーや URL などの他の HTTP リクエストが含まれます。

ただし、Web アプリケーション ファイアウォール (WAF) が、ペイロードの一部として複数のバッチ リクエストを含む HTTP リクエストを処理する場合、すべてのバッチ リクエストを 1 つのペイロードとして扱います。 したがって、ペイロード関連のシグネチャのみが使用されるため、誤検知や検出されない攻撃が発生する可能性があります。

F5 Advanced WAF v16.1 では、ネイティブ解析と HTTP バッチ リクエストのサポートが追加されました。 これにより、Advanced WAF は各 HTTP リクエストをバッチでまとめて区別するのではなく、個別に区別できるため、各リクエストの適切な部分に対して適切な署名を実行できます。

F5 Advanced WAF は、攻撃を見逃したり、多くの誤検知を発生させるリスクなしに、HTTP バッチ リクエストを使用してすべての OData またはその他のトラフィックを保護します。

SAP は OData プロトコルを活用して、SAP 製品ではないアプリケーション、ソフトウェア、デバイスと通信し、相互運用します。 OData は HTTPS に基づいているため、あらゆるプログラミング言語 (そしてあらゆる開発者) が OData メッセージを使用して通信できます。 これにより、OData へのインターフェースは XML または JSON に基づいているため、SAP オファリングではないオファリングでも HTTPS を使用して SAP に接続できるようになります。

SAP Fiori は、デザイナーと開発者がプラットフォーム間で一貫性のある革新的なユーザーエクスペリエンスを提供するネイティブモバイルアプリと Web アプリを作成および最適化できるようにするツールを提供します。 SAP Fiori は、あらゆるデバイスとすべてのユーザーに最新のユーザーエクスペリエンスを提供します。 SAP Fiori は、どこからでもシンプルで生産性の高い作業環境をユーザーに提供します。 OData を使用すると、SAP Fiori で作成された環境で非 SAP アプリを統合し、相互運用できるようになります。

相互運用性と容易な通信は不可欠ですが、特にインターネットに接続して分析アプリケーションを使用したり、インターネット経由の検索を使用したりしている SAP Fiori 展開では、セキュリティも重要です。

SAP が公開したブログ「インターネットに接続する Fiori アプリに関する考慮事項と推奨事項」では、WAF は「SAP Web ディスパッチャの前に配置し、すべての受信 HTTP リクエストを監視および制御する必要がある」こと、また「信頼できる内部ネットワークと信頼できないインターネットの間」に WAF を展開する必要があることが述べられています。 ブログではさらに、WAF で利用できるセキュリティ機能の中で、分散型サービス拒否 (DDoS) 攻撃を阻止し、特に「攻撃が SAP S/4HANA システムに到達できないようにする」必要があると指摘しています。

F5 Advanced WAF による OData プロトコルのサポートにより、顧客は SAP アプリケーションをより効率的に保護し、誤検知を減らすことができます。

SAP Fiori および S/4 HANA 向けの F5 ソリューションの詳細については、以下をご覧ください。

迅速かつ安全: SAP のクラウドへの移行 (F5.com)
ミッションクリティカルな SAP アプリケーションに対するアクティブなサイバー攻撃の軽減 | DevCentral (f5.com)

SAP Fiori と、SAP Fiori およびその OData と HTTP バッチ要求の使用に関連するセキュリティを確保し誤検知を削減するための WAF の適用に関する詳細については、以下を参照してください。 インターネット向け Fiori アプリに関する考慮事項と推奨事項 | SAP ブログ
イントラネットまたはインターネットでの導入 | SAP ヘルプポータル

関連コンテンツ 

OData – 知っておくべきことすべて: パート 1 | SAP ブログ

OData – 知っておくべきことすべて: パート 2 | SAP ブログ

OData – 知っておくべきことすべて: パート 3 | SAP ブログ