Előző cikkünkben összefoglaltuk, mennyire gyakran használt szolgáltatásokat nyújtanak az API-k. Népszerűségük azonban egyben hátrányuk is, mivel - elterjedtségüket kiaknázandó – rengeteg támadás érkezik ezeken a felületeken keresztül. Ezek a próbálkozások sajnos gyakran sikerrel járnak. Pedig nem kellene ennek így történnie, hiszen számos eszköz áll az alkalmazásprogramozási interfészek és az azon keresztül zajló kommunikáció védelmére. Jelen cikkünkben az ezt szolgáló webalkalmazás tűzfalakat mutatjuk be.

WAF

A Web Application Firewall, mint a neve is mutatja, elsősorban a webalkalmazások védelmét hivatott szolgálni. A webappok és az internet között zajló, HTTP-alapú forgalom megfigyelésével és szűrésével képes védelmet nyújtani a cross-site scripting (XSS), oldalakon keresztüli kérelemhamisítás (cross-site forgery), SQL befecskendezés (SQL injection) és más támadási formákkal szemben. Az OSI modell szerinti hetedik (alkalmazás) réteg szintjén fejti ki hatását, azaz nem képes bármilyen típusú behatolási formákkal felvenni a harcot.

Tulajdonképpen egy pajzs kerül a webes alkalmazás és az internet közé a WAF telepítésével. Miközben egy proxyszerver egy kliensgép identitását védi, a WAF inkább fordítva működik (reverse-proxy), azaz a szervert védi a „vadonból” érkező hatásokkal szemben, arra kényszerítve a klienseket, hogy rajta keresztül érjék el a kiszolgálót. Szabályalapú működésével az ártó tartalmú forgalmat hivatott kiszűrni. Ezeket a szabályokat könnyen és gyorsan lehet módosítani, vagyis egyszerűen hozzáigazítható egy újfajta fenyegetéshez.

Alapvetően kétféle, a blocklistre és az allowlistre alapuló működési módja ismert. Előbbi az ismert támadások kivédésére hivatott, vagyis az ezen feltételeknek megfelelő forgalmat blokkolja. Utóbbi esetében minden beérkező kérés elutasításra kerül, amennyiben az nem lett előzetesen jóváhagyva. Azaz csak az ismert (típusú) adatforgalmat engedi át. Mivel mindkét módszernek meg van az előnye és a hátránya, valós felhasználási körülmények között általában a kettő valamilyen kombinációját (hibrid modell) alkalmazzák.

Hova rakjam?

Három különböző implementációs módja ismert a WAF-oknak. A hálózatalapú webalkalmazás tűzfal jellemzően hardveres megoldás. Mivel helyileg telepítik, minimálisra szorítható a késleltetés, működése nem okoz észrevehető lassulást a szolgáltatásban. Ugyanakkor a network-based WAF-ok beruházási költségszintje magasabb a másik két modelléhez képest. Emellett nem szabad megfeledkezni a fizikai eszköz tárolásának és karbantartásának feladatairól sem.

Kiszolgálóalapú WAF-ról beszélünk, amennyiben az teljes mértékben integrált a szoftverbe. Előnye az olcsósága és a nagyobb testreszabhatósága. Hátulütője, hogy a helyi szerver erőforrásait fogyasztja, emellett a telepítési folyamat is összetettebb, valamint magasabb karbantartási költségekkel kell számolni. Jellemzően magas szakértelmet igényel a host-based WAF beüzemelése és működtetése.

Végül, a harmadik opciót a felhőalapú WAF-ok jelentik. A könnyű alkalmazásba vétel mellett minimális előzetes befektetést igényelnek, ugyanakkor számolni kell a szolgáltatásszerűen használt cloud-based WAF rendszeres, havi/éves költségével. Mellettük szól viszont a folyamatos frissítés, amivel a legújabb fenyegetésekkel szemben is gyorsan ellenállóvá tehetők a webes alkalmazások. Hátrányuk, hogy a tűzfal üzemeltetésének felelősségét külső félnek kell átadni, így a WAF egyes képességei felett nem rendelkezik a felhasználó teljes áttekintéssel.

A következő lépcső: WAAP

Önmagában a WAF nem jelent holisztikus megközelítést a teljes webes adatforgalom szűréséhez. Egyre gyakrabban alkalmazzák API védelemre is, így egyfajta természetes továbbfejlődéseként megjelent a Web Application and API Protection (WAAP). Ez tulajdonképpen a felhőalapú webalkalmazás tűzfal fejlettebb változata, olyan moduláris képességekkel, mint a bottámadások jelentőségének mérséklése, komplett WAF integráció, védelem az API-k számára és a DDoS támadásokkal szemben.

A Gartner becslése szerint a webalkalmazásokat védő fizikai eszközök piaca már túl van a zenitjén, a szegmens maximum pár százalékot bővülhet, de az értékesítés lassú csökkenésére is esély mutatkozik a forgalmazók szerint. A piackutató előrejelzése alapján elsősorban a felhőalapú védelmi megoldások iránti érdeklődés fokozódik. 2024-re a webalkalmazásaikat védő, többfelhős stratégiában gondolkodó szervezetek 70 százaléka már a cloud WAAP megoldásokat részesíti majd előnyben az appliance-ekkel szemben.

Egy komplex API-védelem azonban nem csak tűzfalból és ahhoz kapcsolódó szolgáltatásokból áll; biztosítani kell a csalásokkal szembeni védőernyőt (fraud protection) is. Következő cikkünkben ezeknek a lehetőségeknek járunk utána.

Ez a cikk független szerkesztőségi tartalom, mely a Balasys támogatásával készült. Részletek »