F5 Advanced WAF를 사용하여 SAP Fiori HTTP 배치 요청(OData) 보안
웹은 대부분 HTTP 프로토콜로 실행됩니다. 이는 대부분의 인터넷 트래픽을 유도하는 통신 프로토콜입니다. UDP나 TCP를 통한 암호화, 인코딩 또는 일반 텍스트를 사용하여 인터넷 통신을 네트워크 최적화하는 새로운 방법이 등장하고 있습니다. 그중 하나는 여러 HTTP 요청을 하나의 요청으로 묶어 처리하는 기능입니다. 여러 HTTP 요청을 일괄 처리하면 페이로드 오버헤드와 새 요청의 왕복 시간(RTT)을 제한하는 데 도움이 되므로 시간과 비용을 절약할 수 있습니다.
여러 HTTP 요청을 일괄 처리하는 것은 주로 여러 프로토콜과 공급업체의 다양한 REST(표현 상태 전송) API 호출을 그룹화하는 데 사용되며, 그 중 하나가 OData(오픈 데이터 프로토콜)입니다. 상호 운용되고 쿼리가 가능한 REST API를 만들고 사용하는 간단한 방법을 가능하게 하는 개방형 표준인 OData 프로토콜은 2007년 Microsoft에서 개발되었으며 Microsoft, SAP 및 기타 공급업체의 애플리케이션에서 사용되고 활용됩니다.
OData 사양의 일부로, HTTP를 통한 여러 REST API 호출을 하나의 HTTP 요청으로 일괄 처리하여 귀중하고 값비싼 네트워크 시간을 절약하고 애플리케이션이 할당된 대역폭을 보다 효과적으로 활용할 수 있습니다.
HTTP 요청을 일괄 처리하는 애플리케이션을 보호하려고 할 때 공격 시그니처를 적용하는 데 문제가 발생합니다.
요청의 어떤 부분에 관련이 있는지에 따라 공격 시그니처에는 세 가지 유형이 있습니다.
- 헤더 서명
- URL 서명
- 페이로드 시그니처
다음은 이러한 요청의 예입니다.
첫 번째 요청에는 헤더와 URL을 포함한 다른 HTTP 요청이 포함되어 있습니다.
하지만 웹 애플리케이션 방화벽(WAF)이 페이로드의 일부로 여러 개의 일괄 요청을 포함하는 HTTP 요청을 처리하는 경우 모든 일괄 요청을 단일 페이로드로 간주합니다. 그러므로 페이로드 관련 시그니처만 사용하게 되어, 거짓 긍정 및 탐지되지 않은 공격이 발생할 수 있습니다.
F5 Advanced WAF v16.1에서 F5는 기본 파싱 기능과 HTTP 배치 요청에 대한 지원을 추가했습니다. 이를 통해 Advanced WAF는 일괄적으로가 아닌 개별적으로 각 HTTP 요청을 구별하고, 따라서 각 요청의 올바른 부분에 적절한 시그니처를 실행할 수 있습니다.
F5 Advanced WAF는 공격을 놓치거나 많은 오탐지를 발생시킬 위험 없이 HTTP 배치 요청을 통해 모든 OData 또는 기타 트래픽을 보호합니다.
SAP는 OData 프로토콜을 활용하여 SAP에서 제공하지 않는 모든 애플리케이션, 소프트웨어 또는 장치와 통신하고 상호 운용할 수 있습니다. OData는 HTTPS 기반이므로 모든 프로그래밍 언어와 모든 개발자가 OData 메시지를 사용하고 통신할 수 있습니다. OData에 대한 인터페이스는 XML이나 JSON 기반이므로, SAP 서비스가 아닌 모든 서비스도 HTTPS를 사용하여 SAP에 연결할 수 있습니다.
SAP Fiori는 디자이너와 개발자가 플랫폼 전반에 걸쳐 일관되고 혁신적인 사용자 경험을 제공하는 기본 모바일 및 웹 앱을 만들고 최적화할 수 있는 도구를 제공합니다. SAP Fiori는 모든 기기와 모든 사용자에게 현대적인 사용자 경험을 제공합니다. SAP Fiori는 사용자에게 언제 어디서나 간편하고 생산적인 작업 환경을 제공합니다. OData를 사용하면 SAP Fiori에서 만든 환경에서 SAP가 아닌 앱을 통합하고 상호 운용할 수 있습니다.
상호 운용성과 편리한 커뮤니케이션이 필수인 것과 마찬가지로 보안도 중요합니다. 특히 인터넷에 연결되어 분석 애플리케이션을 사용하거나 인터넷을 통한 검색을 사용하는 SAP Fiori 배포의 경우 보안이 더욱 중요합니다.
SAP에서 게시한 블로그 "인터넷 연결 Fiori 앱에 대한 고려 사항 및 권장 사항"에서는 WAF가 "SAP 웹 디스패처 앞에 배치되어 모든 수신 HTTP 요청을 모니터링하고 제어해야 하며" WAF가 "신뢰할 수 있는 내부 네트워크와 신뢰할 수 없는 인터넷 사이"에 배치되어야 한다고 명시되어 있습니다. 블로그에서는 WAF에서 사용 가능한 보안 기능 중 분산 서비스 거부(DDoS) 공격을 차단해야 하며, 특히 "SAP S/4HANA 시스템에 도달할 수 없도록" 해야 한다고 지적합니다.
F5 Advanced WAF의 OData 프로토콜 지원을 통해 고객은 더 높은 효율성과 낮은 오탐지로 SAP 애플리케이션을 보호할 수 있습니다.
SAP Fiori 및 S/4 HANA용 F5 솔루션에 대한 자세한 내용은 다음을 검토하세요.
빠르고 안전합니다: SAP 클라우드로의 마이그레이션(F5.com)
미션 크리티컬 SAP 애플리케이션에 대한 활성 사이버 공격 완화 | DevCentral(f5.com)
SAP Fiori와 WAF를 적용하여 보안을 보장하고 SAP Fiori와 OData 및 HTTP 일괄 요청 사용과 관련된 오탐지를 줄이는 방법에 대한 자세한 내용은 다음을 참조하세요. 인터넷 연결 Fiori 앱에 대한 고려 사항 및 권장 사항 | SAP 블로그
인트라넷 또는 인터넷에서의 배포 | SAP 도움말 포털
관련 콘텐츠
OData – 알아야 할 모든 것: 1부 | SAP 블로그