The web application firewall (WAF) is a security tool used to guard against unwanted access to web applications. It is often a security device that sits on top of a web server and guards against threats from the internet or from beyond the network perimeter.

Unlike Layer 3 (Network) and Layer 4 (Transport) firewalls, which are unable to identify malicious application layer queries, WAF is a Layer 7 firewall that can see past encrypted packets. Using a WAF enables organizations to defend their online presence against numerous internet-based web attacks, including cross-site scripting (XSS), SQL injections, and cross-site request forgery (CSRF). These attacks can give attackers the ability to steal critical information, take over web servers, or launch assaults against other systems, which can be disastrous to web applications.

Problems

1. Cloud-native micro-services and WAF

WAFs are less effective within cloud-native web applications and inside cloud environments. One reason is that the security rules that traditional web applications were bound by within on-premises environments are not applicable inside the cloud.

In traditional data centers, web application firewalls are typically installed at the edge of the network to protect applications running within the perimeter of the internal network. However, in cloud environments, applications are often deployed in virtual machines or containers that are flexible and can be turned on and off as demand changes. This means that traditional perimeter-based approaches to security can be less effective in cloud environments, gdzie aplikacje mogą znajdować się w dowolnym miejscu w sieci i są trudniejsze do monitorowania i kontrolowania.

Kolejnym wyzwaniem związanym z natywnymi aplikacjami webowymi w chmurze jest to, że są one często bardziej rozproszone i bardziej skomplikowane niż tradycyjne aplikacje webowe. Aplikacje natywne dla chmury zazwyczaj składają się z mikrousług, które komunikują się między sobą za pomocą API i mogą korzystać z wielu magazynów danych oraz usług zewnętrznych. To może utrudniać identyfikowanie i łagodzenie zagrożeń bezpieczeństwa, ponieważ ataki mogą wystąpić w dowolnym punkcie architektury aplikacji.

2. Wyzwania związane z WAF i API

API (interfejsy programowania aplikacji) są głównymi metodami łączności między mikrousługami i są również używane do umożliwienia komunikacji między usługami zewnętrznymi a aplikacjami. APIs use different communication protocols and traffic patterns than traditional web applications, which makes it more difficult for WAFs to accurately identify and protect API traffic. This can lead to false positives or false negatives, weaken security, or block legitimate traffic unnecessarily.

One of the challenges with API traffic is that it can use different protocols such as HTTP, HTTPS, and Web-Sockets, which can contain different types of payloads and headers that make it difficult for the WAF to accurately identify the traffic. For example, some APIs can use binary payloads or encryption, which is difficult for WAFs to interpret and parse.

Another challenge is that APIs can have different traffic patterns than traditional web applications. APIs typically have a high volume of traffic with many requests per second, making it difficult for the WAF to keep up with the pace of traffic. Additionally, compared to web applications, APIs often have more predictable and consistent traffic patterns, making it easier for attackers to identify vulnerabilities and launch attacks.

Recently, a security research group published a new method for bypassing multiple web application firewalls, including Palo Alto, F5, Amazon Web Services, Cloudflare, and Imperva. The specified vendors acknowledged (according to the researchers) the disclosure and made changes to their products’ SQL inspection processes to support JSON syntax.

Solutions

1. API Specified Anomalies

To overcome the challenges mentioned above, a WAF should be specifically designed to handle API traffic. Może to obejmować identyfikowanie i ochronę ruchu API przy użyciu różnych technik, w tym analizę opartą na sygnaturach lub algorytmy uczenia maszynowego, które mogą wykrywać anomalie w wzorcach ruchu. WAF może również wymagać integracji z innymi narzędziami bezpieczeństwa, takimi jak bramy API, aby zapewnić bardziej kompleksowe rozwiązanie bezpieczeństwa.

Ogólnie, zabezpieczanie ruchu API za pomocą WAF wymaga innego podejścia niż tradycyjne zabezpieczenia aplikacji webowych. WAF musi być specjalnie zaprojektowany do obsługi protokołów komunikacyjnych i wzorców ruchu specyficznych dla API, aby dokładnie identyfikować i bronić się przed zagrożeniami bezpieczeństwa.

2. Zintegrowane WAF

Aby sprostać tym wyzwaniom, WAF powinien być zbudowany specjalnie dla aplikacji webowych opartych na chmurze. Może to obejmować wdrożenie WAF jako części architektury aplikacji, a nie jako rozwiązania opierającego się na obwodzie sieciowym. Additionally, WAF-y mogą wymagać integracji z innymi natywnymi dla chmury narzędziami bezpieczeństwa, takimi jak platformy bezpieczeństwa kontenerów i bramy API, aby zapewnić bardziej kompleksowe rozwiązanie bezpieczeństwa.

WAF-y mogą nadal odgrywać istotną rolę w zabezpieczaniu chmurowych aplikacji webowych, ale mogą wymagać dostosowania i wzmocnienia, aby sprostać wyjątkowym wyzwaniom bezpieczeństwa środowisk natywnych dla chmury.

3. WAF i obrona w głębi

WAF powinien być traktowany jako jedna warstwa wielowarstwowego podejścia do bezpieczeństwa, wraz z innymi narzędziami bezpieczeństwa, takimi jak systemy wykrywania i zapobiegania włamaniom, bezpieczne bramy API, ochrona punktów końcowych, zapory sieciowe, i kontrole dostępu. Poprzez wdrożenie wielu warstw kontroli bezpieczeństwa, organizacje mogą budować bardziej solidną postawę bezpieczeństwa i lepiej bronić się przed różnymi zagrożeniami.

Wykorzystanie WAF jako części strategii obrony w głębi może pomóc zapobiegać szerokiej gamie ataków na aplikacje webowe oraz zmniejszyć ryzyko naruszeń danych i innych incydentów bezpieczeństwa. WAF pomaga zapewnić wgląd w ruch aplikacji webowych, umożliwiając organizacjom monitorowanie i analizę wzorców ruchu oraz identyfikację potencjalnych zagrożeń bezpieczeństwa. Jest to szczególnie ważne w środowiskach chmurowych, gdzie aplikacje webowe i API mogą stać się bardziej rozproszone i złożone.

poprzez integrację WAF z innymi narzędziami bezpieczeństwa, takimi jak bramki API oraz Security Information and Event Management (SIEM) systemy, organizations can create a more comprehensive security solution that gives them greater visibility and control over their cloud environment.

4. Distributed WAFs

A distributed WAF (web application firewall) is the answer to the challenge of securing distributed cloud-based micro-services. For traditional monolithic applications, a single WAF can be deployed at the network edge to protect the entire application. However, in cloud-based distributed microservices environments, applications are split into smaller, modular components, each with its own API and security requirements. This can make it difficult to protect all components with a single WAF, as each component may require different security policies and configurations.

Rozproszony WAF został opracowany w celu sprostania temu wyzwaniu, poprzez zapewnienie rozproszonego i skalowalnego rozwiązania bezpieczeństwa dla mikroserwisów opartych na chmurze. Rozproszony WAF składa się z wielu instancji WAF wdrożonych w różnych lokalizacjach, takich jak centra danych i regiony chmurowe. Każda instancja WAF może być skonfigurowana z własną polityką bezpieczeństwa i konfiguracją dostosowaną do specyficznych potrzeb mikroserwisów, które chroni.

Poprzez wdrożenie wielu instancji WAF w różnych lokalizacjach, organizacje mogą wdrożyć bardziej kompleksowe i skalowalne rozwiązanie bezpieczeństwa, które może dostosowywać się do zmieniających się potrzeb środowisk mikroserwisowych. Rozproszony WAF może również poprawić odporność i dostępność, ponieważ może nadal działać, nawet jeśli jedna lub więcej instancji ulegnie awarii.

Additionally, rozproszone WAFy mogą być zintegrowane z innymi narzędziami bezpieczeństwa, takimi jak bramy API i systemy SIEM, aby zapewnić bardziej kompleksowe rozwiązanie bezpieczeństwa dla mikrousług opartych na chmurze. For example, brama API może być używana do zarządzania dostępem do mikrousług, rozproszony WAF może być używany do ochrony przed atakami na aplikacje internetowe, i można uzyskać wgląd w ruch aplikacji internetowych.

Wnioski

Zapory aplikacji internetowych (WAFy) odgrywają istotną rolę w obronie aplikacji internetowych przed atakami pochodzącymi z internetu, w tym wstrzyknięciami SQL, skryptami między stronami (cross-site scripting) (XSS), and cross-site request forgery (CSRF). However, aplikacje natywne dla chmury i interfejsy API stanowią szczególne wyzwania dla WAFów z powodu ich złożonego i rozproszonego charakteru, utrudniając WAFom prawidłowe wykrywanie i łagodzenie ryzyk bezpieczeństwa.

Aby sprostać tym wyzwaniom, WAF-y muszą być specjalnie zaprojektowane dla natywnych aplikacji webowych w chmurze i integrowane z innymi natywnymi narzędziami bezpieczeństwa w chmurze, w tym platformy bezpieczeństwa kontenerów i bramki API. Additionally, WAF-y powinny być traktowane jako jedna warstwa w wielowarstwowym podejściu do bezpieczeństwa, w tym inne narzędzia bezpieczeństwa, takie jak systemy wykrywania i zapobiegania włamaniom, zabezpieczone bramki API, ochrona punktów końcowych, zapory sieciowe, i kontrole dostępu.

Poprzez integrację WAF-ów z innymi narzędziami bezpieczeństwa i wdrażanie wielu warstw kontroli bezpieczeństwa, organizacje mogą stworzyć bardziej kompleksowe rozwiązanie bezpieczeństwa, które zapewnia większą widoczność i kontrolę nad ich środowiskiem chmurowym.