Da immer mehr Teams für Anwendungsentwicklung Sicherheit in ihre Workflows integrieren, untersuchen sie die Auswirkungen der Sicherheit auf ihre Anwendung – aus der Sicht der Anwendungs-Pipeline, des Workflows und der Performance.
Aufgrund von Compliance-Anforderungen werden Web-Anwendungs- und API-Schutz (WAAP) in der Regel in einem Anwendungs-Stack bereitgestellt. Doch während Unternehmen ihre Workloads in die Cloud verlagern und damit beginnen, die Sicherheit in die Struktur ihrer Anwendungen einzubetten, entwickelt sich die Rolle des WAAP weiter. Unternehmen benötigen WAAP-Plattformen, die sich skalieren und an die sich wandelnden Cloud-Architekturen und wachsenden Sicherheitsbedrohungen anpassen lassen.
In diesem artikel erfahren Sie, wie die WAAP-Engine – und insbesondere ein Regelsatz, der speziell für die Verwendung mit dieser Engine erstellt wurde – angepasst werden kann, um in Cloud-Workflows zu skalieren und die Performance Ihrer Webanwendung zu verbessern und gleichzeitig einen starken Schutz vor Online-Bedrohungen zu gewährleisten.
Berücksichtigen Sie sowohl die WAAP-Engine als auch ihre ruleset
WAAP sollte ein wichtiger Bestandteil Ihres Anwendungs- und Netzwerksicherheitsprogramms sein. Bisher waren WAAPs von der Anwendungsentwicklung getrennt und wurden als Sicherheitsebene außerhalb der Anwendung angesehen. Aber moderne WAAP-Architekturen und -Tools haben SecOps bei der Zusammenarbeit mit DevOps entlang des CI/CD-Prozesses unterstützt, einschließlich der Erstellung und Prüfung von Regeln während der Entwicklung einer Anwendung. Bei korrekter Verwendung zur Analyse des Datenverkehrs, der Ihre Anwendungsinfrastruktur durchläuft, spielen die WAAP-Engine und ihr Regelset eine wichtige Rolle dabei, wie schnell die Analyse abgeschlossen ist und wie gut die resultierenden Audit- und Blockentscheidungen als Teil der gesamten Anwendungsarchitektur funktionieren.
Wie der Motor, der Computer und der Antriebsstrang eines Autos sollten auch ein WAAP-Motor, seine Regelsätze und die Anwendung, die er schützt, so konzipiert und optimiert werden, dass sie zusammenarbeiten. Ein Automobilhersteller konstruiert keinen Motor in einer Blase. Er muss für den Rest des Rahmens und der Komponenten des Fahrzeugs optimiert werden, um eine Höchstleistung und Effizienz in allen Bereichen zu erreichen. Dasselbe gilt für die WAAP-Engine und deren Regelset. Ein WAAP, das diese Variablen nicht berücksichtigt, kann überlastet und überlastet werden und letztendlich die Performance und Benutzererfahrung der Webanwendung beeinträchtigen.
Reduzieren Sie die WAAP-Workload, um Geschwindigkeit und effectiveness zu verbessern
Der Edgio WAAP verwendet eine Kombination aus Open Source-, Industrie- und proprietären Signaturen, um seinen Regelsatz zu informieren. Wir bewerten sorgfältig die Auswirkungen jeder Unterschrift auf die Leistung des Gesamtregelsatzes.
Bei der Entwicklung und Optimierung unserer WAAP-Engine haben wir festgestellt, dass durch die Erfassung und Nutzung der Open Source- und Branchenregelsätze ohne jegliche Änderungen (fast) jede Regel analysiert werden muss, wenn der Datenverkehr das Kabel überquert. Dieses Modell ist bei WAAPs ziemlich häufig und macht es „einfach“ zu sehen, was mit dem Datenverkehr passiert. Sie zwingt den WAAP jedoch auch, jede Regel durchzulaufen, um das mit dem Datenverkehr verbundene Risiko zu bewerten. Dies führt zu einer unnötig hohen Arbeitsbelastung für das WAAP, die sich mit zunehmendem Regelsatz noch verschärft.
Natürlich geht es nicht immer um Geschwindigkeit. Ein Schlüsselelement in einem WAAP ist seine Fähigkeit, das Risiko (Kompromittierung) im Vergleich zur Belohnung (erfolgreiche Transaktionen) im Zusammenhang mit dem Traffic zu bestimmen und zu entscheiden, ob der Traffic als bösartig, verdächtig oder gutartig gekennzeichnet werden soll. Der WAAP würde entweder eine Warnung an das Team senden (Audit-/Warnungsmodus) und den Datenverkehr blockieren oder umleiten, wenn er als zu riskant erachtet wird, um ihn durchzulassen (Produktions-/Blockmodus).
Diese Analyse wird zu einer größeren Herausforderung bei der Untersuchung der eingeführten Open Source- und Branchenregeln. Es ist unwahrscheinlich, dass sie mit Blick auf Geschwindigkeit und Effizienz für jede mögliche WAAP-Engine auf dem Markt entwickelt wurden. Das bedeutet nicht, dass sie schlecht sind, sondern dass sie sich zuerst auf das Risiko konzentrieren und Leistung als Nachdenken hinterlassen. Mit anderen Worten, es gibt Raum für Verbesserungen.
Da Regelsätze zuerst für Vollständigkeit und Genauigkeit erstellt wurden, stellen viele WAAPs fest, dass sie den analysierten Datenverkehr in beiden Modi (Audit und Block) nicht verarbeiten können. InfoSec-Teams müssen einen Modus wählen: Beginnen Sie mit dem Auditmodus, und verschieben Sie ihn in den Produktionsmodus, oder wechseln Sie direkt in den Produktionsmodus, ohne dass reale Tests durchgeführt werden, wodurch sie ausgelassen werden können und Fehlalarmen.
Wie Edgio sein WAAP rulesets verbessert
Das Open-Source-OWASP ModSecurity-Modell für Regelsätze bietet eine standardmäßige, konsistente Methode, mit der WAAP-Regelsätze entwickelt und implementiert werden können. Um dies zu ergänzen, bietet OWASP ein branchenspezifisches Regelset an, das von einem WAAP übernommen werden kann, das diesem Modell folgt.
Als unser Team jedoch den Regelsatz implementierte, erkannte es, dass die eingenommenen Regelsätze – obwohl sie vollständig und genau sind – die WAAP-Engine tatsächlich zurückhalten. Das Team beschloss daher, zu untersuchen, wie Regelsätze strukturiert und verarbeitet werden. Wir haben herausgefunden, was keinen WAAP-Administrator überraschen sollte, dass viele Regeln immer wieder dieselben Daten durchlaufen, um die Prüfungen durchlaufen zu können, die notwendig sind, um das Risiko des Datenverkehrs zu ermitteln, der durch den WAAP fließt.
Einige Vorschriften zur Durchsetzung von Protokollen sind recht einfach und müssen nicht innerhalb des Regelsystems „leben“. Um dies zu beheben, haben wir zuerst den Regelsatz entwickelt, der den OWASP-Regelsatz effektiv abgeschnitten hat, indem er ihn direkt in die WAAP-Engine in einem nicht-ModSecurity-Format implementiert hat. Dies führt zu einer frühzeitigen Ausführung und einer schnelleren Erkennung.
Als Nächstes haben wir Regeln zur Analyse von Anforderungskörpern ins Visier genommen. Wir haben eine Caching-Ebene erstellt, die den Performance-Overhead bei der Neuberechnung derselben Ausdrücke in den Regeln verringert. Als Beispiel für Körper im XML-Format haben wir gesucht, wie oft der Ausdruck „XML:/*“ im OWASP CRS-Regelset erscheint, um zu sehen, wie oft ein XPath bei der Verarbeitung einer einzelnen Anforderung ohne Caching-Layer neu berechnet werden kann. Die Zahl ist signifikant.
Schließlich haben wir, wo viele Makroerweiterungen/Zeichenfolgen-Ersetzungen und explizite Suchen stattfinden, diese Regeln identifiziert und aus dem Regelset entfernt und sie in der Engine implementiert, wo immer möglich, bessere Lookup- und Suchalgorithmen wie HashMap-Lookups und Phrase Match-Operator (pm) anstelle eines regex-Operators (Rx) verwendet wurden.
Indem wir die Struktur der Regelsätze anders gestalten, verwendet unsere WAAP-Engine schnellere Datenstrukturen und offene Standardformate wie JSON, die einfacher zu konfigurieren und schneller auszuführen sind. Dies führt zu einer besseren Leistung, nicht nur hinsichtlich der Geschwindigkeit, sondern auch hinsichtlich der Genauigkeit:
- Geringe Fehlalarme: Edgio ordnet und steuert den Regelsatz so an, dass die Genauigkeit gewahrt bleibt
- Verbesserte Motorleistung: Die Edgio WAAP Engine führt die Regelsätze so aus, dass eine Überlastung des Motors vermieden wird
Beispiel: Für die Policy-Regel OWASP IP Blocklist verwendet die ModSecurity Engine ihren eigenen Algorithmus „msc_Tree“, der eine fehlerhafte IP-Liste prüft. Alternativ verwendet die Edgio WAAP Engine einen anderen Algorithmus, der etwas schneller ist. Die folgenden Testergebnisse zeigen, wie Edgio WAAP im Vergleich zu ModSecurity abschneidet. ModSecurity sorgt für eine Latenz von etwa 200 ms bis 500 ms, wenn eine Million Abfragen auf großen IP-Listen ausgeführt werden. Edgio WAAP verarbeitet rund 10 Mrd. Anfragen pro Tag im gesamten Netzwerk. Diese kleinen Zahlen sind in so großem Maßstab von großer Bedeutung.
Vermeiden Sie Warnmeldungen und blockieren Sie Kompromisse
Eine bessere Kombination aus WAAP-Engine und Regelsatz bedeutet auch, dass Unternehmen eine schnellere Leistung erzielen und WAAPs im Dual-Modus ausführen können (sowohl im Block- als auch im Audit-Modus). Dies ermöglicht es Sicherheitsteams, im Audit-/Alert-Modus mit neuen Regeln für den Produktionsdatenverkehr zu experimentieren und die Regeln zu optimieren, bevor der Regelsatz auf dem WAAP in den Blockmodus hochgestuft wird.
Die hochgradig angepassten Edgio-Regelsätze ermöglichen Administratoren, überall zu schneiden und zu würfeln und die Regelsätze im Dual-Modus auszuführen. Da die gleichen Regeln auf verschiedene Einstellungen angewendet werden, können Administratoren sie zweimal ausführen, ohne die Leistung zu beeinträchtigen – zum Teil dank der intelligenten Engine und Regelset-Implementierung.
Der Wert hier geht über das WAAP-Management-Team hinaus. Viele Edgio-Kunden integrieren diese Option in ihren DevOps-Lebenszyklus, sodass das Unternehmen, das Engineering-Team und das IT-Sicherheitsteam zusammenarbeiten und die Regeln im Audit-Modus testen können, bevor sie auf den Produktionsblockiermodus angewendet werden.
Dieser zweistufige Prozess ermöglicht es dem IT-Sicherheitsteam, Änderungen an der Firewall-Konfiguration vor ihrer Aktivierung zu überprüfen. So erhält das Team Daten, um Änderungen am realen Produktionsdatenverkehr zu testen. Dadurch werden Fehlalarme reduziert, sobald der Regelsatz in die Produktion gesetzt wird. Nachdem das Regelset validiert wurde, werden aktualisierte Konfigurationen innerhalb von Sekunden bereitgestellt. Falls erforderlich, sind Rollbacks innerhalb weniger Minuten möglich. Dadurch werden sinnvolle Regeltests viel realistischer, dynamischer, wirkungsvoller, effektiver und effektiver und unterstützender Geschäftsziele.
Der Edgio Dual WAF-Modus verbessert zudem die Leistung noch weiter. Der intelligente Regelsatz stellt sicher, dass bekannter böswilliger Datenverkehr schnell blockiert wird, um der WAF etwas Raum zu geben, damit sie den Rest des ständig präsentierten Datenverkehrs bewältigen kann. Dies wiederum gibt Administratoren mehr Zeit, sich auf die Bereitstellung von Prognosen zu konzentrieren, d. h., sie können Dinge in den Anwendungen über den Auditmodus sehen, bevor sie an Produktionsstandorten bereitgestellt werden.
Ziehen Sie die WAAP-Engine und das Regelset-Design in Betracht, wenn Ihr Unternehmen einen Anwendungs-Stack benötigt, der sich an unvorhersehbare Workloads anpassen und dennoch eine äußerst sichere Architektur bereitstellen kann. Wenn diese Faktoren optimiert sind, können sie die Leistung Ihrer Webanwendungen verbessern.
Weitere Informationen dazu, wie die Edgio WAAP Intelligent Engine und Regelsätze Ihre Webanwendungen schnell und präzise schützen können, erhalten Sie noch heute.
