技术简报:思杰网络应用和API保护服务

介绍

在疫情的推动下，企业继续将其web应用程序和api迁移到云端，以更好地支持在家办公的员工。同时，它们仍然支持托管在本地或私有云中的关键业务web应用程序。随着这些面向互联网的服务的增长，互联网带来的威胁也在增长。

不良行为者继续发展新的方法来损害这些组织，以支持其非法活动。保护应用程序免受攻击需要快速识别威胁并启动对策。Citrix Web App and API Protection (CWAAP)服务为单片本地应用程序或云中的微服务提供一致的安全态势和全面的保护。

概述

CWAAP服务防止他们试图泄漏，操纵或破坏在线企业web应用程序，api和数据。它包括一套全面的技术，以减轻业务关键操作的风险。

• Web应用防火墙——Web应用防火墙的简称，“WAF”的起源是为了保护本地托管的网站。然而，在云时代，waf的范围扩展到混合云或公共云环境，需要保护更广泛的攻击面。保护还扩展到云原生系统用于在容器中独立运行的分布式函数之间进行通信的api。也被称为微服务，这种形式的开发在许多方面比传统的单片架构更有效，但本质上主要托管在云中，因此，api很容易受到攻击。
• DDOS保护——分布式拒绝服务(DDOS)保护可以防止互联网产生的攻击，这些攻击试图破坏对云服务的访问。通常由不良行为者通过BOT大军发起，DDOS攻击的重点是消耗可用资源，从而中断或拒绝客户访问。

WAF保护

Citrix WAF托管在云端或本地，可防止已知和未知的攻击，包括应用层和零日威胁。它包括针对十大Web应用程序安全风险的保护，这些风险由OWASP基金会，并对来自多个威胁研究来源的日益增长的安全定义和对策进行了扩展。

大型企业可能有数百或数千个在线应用程序需要保护。因此，大规模匹配针对不同应用程序的独特web应用程序流的攻击是一个挑战。Citrix WAF自动防御互联网攻击，将流量保持在云端或本地边缘。它可以全天候检测和缓解持续不断的在线威胁。这允许安全操作更多地关注战略安全活动，并解决基础设施中其他地方的漏洞。

Citrix WAF同时支持正面和负面攻击模型。正模型通过查找异常活动模式来识别零日威胁。负面模型识别以前记录的攻击签名。

负安全模型

注入漏洞，如SQL和LDAP注入，以及跨站点脚本攻击一直是黑客们的最爱。其他web攻击防护包括:

核心

• HTML SQL注入——提供了对可能破坏安全的未经授权的SQL代码注入的防御。
• HTML跨站脚本—检查用户请求的报头和POST主体，以防止可能的跨站脚本攻击。
• 跨站点请求伪造(CSRF)表单标记——用唯一的、不可预测的FormID标记受保护网站发送给用户的每个web表单，然后检查用户返回的web表单，以确保提供的FormID是正确的。
• 缓冲区溢出检查-检测导致缓冲区溢出的尝试，如url、cookie或超过配置长度的标头。

先进的

• Cookie一致性-检查用户返回的Cookie，以验证它们是否与受保护网站为该用户设置的Cookie相匹配。如果发现被修改的cookie，则在将请求转发到web服务器之前将其从请求中删除。
• 字段一致性——检查用户在响应HTML请求时返回的web表单，并验证没有对结构进行未经授权的更改。
• 字段格式-验证用户发送的数据，包括长度和类型。
• Content-Type -确保Content-Type报头是" application/x-www-form-urlencoded "， " multipart/form-data "或" text/x-gwt-rpc "类型。任何指定了其他内容类型的请求都将被阻止。
• HTTP RFC—检查传入流量是否符合HTTP RFC协议，并丢弃任何违反RFC协议的请求。
• 拒绝URL -检查和阻止连接到黑客和恶意代码通常访问的URL。
• POST Body Limit -限制为签名检查的请求有效载荷(以字节为单位)。

XML

• XML SQL注入——用XML有效负载中注入的SQL检查和阻止用户请求。
• XML XSS——在XML有效负载中使用跨站点脚本攻击检查和阻止用户请求。
• XML格式——检查并阻止格式不佳或不符合格式正确的XML文档规范的传入请求。
• XML SOAP错误—检查来自受保护的web服务的响应并过滤掉XML SOAP错误。这可以防止敏感信息泄露给攻击者。
• Web服务互操作性——检查和阻止不遵守WS-I标准的请求和响应，这些请求和响应可能无法与XML应用程序进行适当的交互。

正安全模型

Citrix WAF支持正面保护模型，该模型通过创建允许流量的配置文件来学习基于负面模型的规则。高级启发式分析流量以确定标准行为，并为调整对策提出建议。这有助于防止现有签名中未解决的零日攻击。

DDOS的管理

DDOS攻击的重点是通过资源消耗来破坏。DDOS攻击主要有三种类型:

1. 基于流量的攻击——试图通过大量的流量来破坏网站的正常服务。其中包括试图超过可用带宽的UDP或ICMP泛洪，拒绝合法用户的请求到达目标站点。
2. 基于协议的攻击——关注传输层，利用协议操作。数据包通常被“欺骗”或发送虚假的IP头信息，以非法响应消耗站点资源。一个典型的例子是“SYN”攻击。使用这种类型的攻击，恶意参与者的主机或BOT发送请求以建立TCP层会话。合法用户最终需要TCP会话来建立HTTP会话以使用web服务。然而，初始主机从不响应站点的SYN ACK，而是发送更多的SYN，在等待建立TCP会话时稳定地消耗web服务上的内存。
3. 应用层攻击——这些攻击集中在应用层，试图克服资源或利用web服务器漏洞。这些攻击试图通过使用精心制作的get或post操纵协议通信来非法获取过多的站点响应。

思杰DDoS解决方案为DDoS防护购买者提供全面的解决方案。该服务是一种不间断的DDoS攻击管理服务。它拥有世界上最大的清洗网络之一，拥有14个pop和12 Tbps的容量，可保护应用程序免受大规模容量DDoS攻击。

管理

CWAAP通过灵活的SaaS门户进行配置和管理。通过浏览器访问的CWAAP服务门户使安全管理员能够配置攻击保护、通过仪表板监视攻击活动或报告事件。

设置

CWAAP是在Citrix的帮助下使用以下两种方法之一设置的:

• DNS -使用DNS是最常见和最简单的方法。客户将其站点A记录定向到其站点的Citrix CWAAP域设置。使用这种方法，客户可以保持控制，并可以使用低TTL设置为记录安排快速转换。
• BGP -使用BGP需要客户将其相关路由块的控制权转移给Citrix。然后Citrix代表客户宣布路线，没有阻塞的目标站点的流量被引导到CWAAP进行检查。

配置

通过SaaS门户可以配置CWAAP WAF策略和自定义规则:

• WAF策略—有三组主要的策略，当检测到时，管理员可以将它们配置为阻止、记录或两者兼而有之。核心策略是最常见的攻击类型，包括SQL注入、跨站点脚本和缓冲区溢出。高级是使用cookie或试图利用HTTP协议的更复杂的攻击，而最后一组属于特定于xml的攻击。识别攻击的签名由Citrix研究团队不断开发，并在发布时自动更新。
• 响应者策略——管理员可以配置自定义规则，根据特定参数(如主机名、源IP地址或目的端口)删除、记录或重定向连接。
• 网络控制——管理员可以配置acl来阻止特定的IP地址范围或来自特定国家的流量。
• 警报——管理员可以在特定参数(如相同的ASN、国家或User-Agent)在一定间隔内超过流量时配置自定义警报。
• 可信源—管理员可以配置一个允许绕过检查策略的可信源列表。
• 资产—管理员配置这些配置策略应该应用的目标站点或站点。

监控

CWAAP门户使Citrix管理员能够集中监视CWAAP保护。主仪表板提供了站点容量的汇总视图，包括总流量，按干净流量和缓和流量进行细分。

它还包括攻击的详细日志，包括数量、持续时间和部署的对策。

总结

企业对云服务和移动应用程序的使用继续推动云原生web和API流量的增长，同时在本地维护一些关键业务web应用程序。随着在线应用程序和api的增长，它们越来越容易受到托管在公共互联网上的持续攻击。思杰网络应用程序和API安全服务不断发展，以保持领先于这些复杂的攻击。它包括一套基于机器学习和人工智能的先进技术，以保护云和内部部署中的这些关键企业服务。

参考文献

欲知详情，请浏览Citrix®Web应用程序和API保护™