Schutz Ihrer APIs in der Wildnis: Ein tiefer Einblick in die Integration von WAF und API Gateway

January 30, 2024

Ecosystem

In der heutigen digitalen Welt sind APIs zu einem integralen Bestandteil unseres täglichen Lebens geworden. Sie ermöglichen es uns, auf Daten zuzugreifen und diese zwischen verschiedenen Anwendungen und Diensten auszutauschen. Mit der zunehmenden Anzahl von API-Endpunkten, die öffentlich zugänglich sind, steigt jedoch auch das Risiko von Cyberangriffen und Datenlecks. Daher ist es entscheidend, robuste Sicherheitsmaßnahmen zu implementieren, um Ihre APIs vor böswilligen Angriffen zu schützen.

Vorteile der Integration von WAF und API Gateway für den API-Schutz

Web Application Firewall (WAF) und API Gateway-Technologien sind zwei der effektivsten Methoden, um APIs vor Angriffen zu schützen. Eine WAF ist eine Sicherheitslösung, die zwischen dem Internet und Ihrem API-Server sitzt, eingehende Anfragen analysiert und bösartigen Datenverkehr blockiert. Ein API Gateway hingegen ist eine Middleware-Schicht, die zwischen Ihrem API-Server und dem Client sitzt und Zugriffskontrolle, Datenverkehrssteuerung und Ratenbegrenzung verwaltet.

Apache APISIX, ein beliebtes Open-Source-API-Gateway, bietet eine robuste Sammlung von integrierten Sicherheits-Plugins. Angesichts immer ausgefeilterer Angriffe wie CVEs (Common Vulnerabilities and Exposures) und Zero-Day-Exploits kann die alleinige Abhängigkeit von diesen Plugins Ihre APIs jedoch anfällig lassen. Die Integration einer professionellen Web Application Firewall (WAF) mit APISIX bietet eine mehrschichtige Verteidigungsstrategie, die umfassenden Schutz vor modernen Bedrohungen gewährleistet.

Verständnis der Sicherheitsfähigkeiten von APISIX

  1. Authentifizierung und Autorisierung: APISIX unterstützt Plugins für JWT, basic auth, key auth und die Integration mit OpenID Connect-Anbietern, um die Zugriffskontrolle durchzusetzen.

  2. Ratenbegrenzung: Verhindert bösartige Datenverkehrsspitzen und DoS-Angriffe durch Plugins wie limit-conn, limit-req und limit-count.

  3. IP-Einschränkung und User-Agent-Filterung: Ermöglicht eine granulare Kontrolle über eingehende Anfragen basierend auf IP-Adressen und User Agents.

  4. CSRF-Schutz: Verhindert Cross-Site Request Forgery-Angriffe.

Grenzen des API Gateways

  1. Signaturbasierte Erkennung: APISIX-Plugins basieren hauptsächlich auf bekannten Angriffssignaturen, was sie gegen Zero-Day-Exploits, die keine definierten Muster aufweisen, unwirksam macht.

  2. Fehlende Regelaktualisierungen: Sicherheitsregeln ändern sich ständig, was die Wartung durch professionelle Sicherheitsexperten und Unternehmen erfordert.

  3. Begrenzter Umfang: Während APISIX die Gateway-Schicht schützt, bieten WAFs einen breiteren Schutz über Anwendungsschichten hinweg.

Vorteile der Integration von WAF und API Gateway

  1. Proaktive Bedrohungserkennung: Fortgeschrittene WAFs nutzen maschinelles Lernen und Verhaltensanalyse, um anomalen Datenverkehr zu erkennen, selbst ohne vorherige Kenntnis von Schwachstellen.

  2. Echtzeit-Regelaktualisierungen: Cloud-basierte WAFs können Regeln schnell aktualisieren, um auf neue Bedrohungen zu reagieren und die Expositionszeit zu minimieren.

  3. Tieferer Anwendungsschutz: WAFs können bösartigen Datenverkehr auf der Anwendungsschicht filtern und blockieren, wodurch Angriffe abgewehrt werden, die API-Gateways umgehen.

  4. Compliance und regulatorische Einhaltung: Bestimmte Branchen schreiben die Verwendung von WAFs vor, um die Einhaltung von Datensicherheitsvorschriften zu gewährleisten.

Tiefer Einblick in den Integrationsprozess

Um WAF und API Gateway zu integrieren, müssen Sie die richtigen Tools auswählen. Apache APISIX ist eine beliebte API-Gateway-Lösung, die eine skalierbare und flexible Plattform für die Verwaltung Ihrer APIs bietet. Chaitin SafeLine und Coraza sind die WAF-Lösungen, die erweiterte Sicherheitsfunktionen und anpassbare Regelsätze bieten.

APISIX und Chaitin SafeLine

Die Chaitin SafeLine WAF ist ein integriertes Plugin von APISIX 3.5. Nach der Aktivierung des chaitin-waf-Plugins wird der Datenverkehr an den Chaitin WAF-Dienst weitergeleitet, um verschiedene Webanwendungsangriffe zu erkennen und zu verhindern, um die Sicherheit von Anwendungen und Benutzerdaten zu schützen.

WAF_APISIX_1

Angenommen, Sie haben Apache APISIX und SafeLine installiert, können die beiden mit dem folgenden Befehlszeilenbefehl integriert werden:

curl http://127.0.0.1:9180/apisix/admin/plugin_metadata/chaitin-waf -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
  "nodes":[
     {
       "host": "192.168.99.11",
       "port": 8000
     }
  ]
}'

192.168.99.11 ist die IP des SafeLine-Dienstes. Dann können wir eine Route in APISIX erstellen:

curl http://127.0.0.1:9180/apisix/admin/routes/1 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '
{
   "uri": "/*",
   "plugins": {
       "chaitin-waf": {}
    },
   "upstream": {
       "type": "roundrobin",
       "nodes": {
           "192.168.99.12:80": 1
       }
   }
}'

192.168.99.12 ist die IP des Upstream-Dienstes. Die Integration ist abgeschlossen.

Lassen Sie uns nun eine SQL-Injection simulieren, um die Wirkung zu sehen:

curl http://127.0.0.1:9080 -d 'a=1 and 1=1'

Ein HTTP-403-Fehler wurde zurückgegeben, und wie aus der Fehlermeldung hervorgeht, hat Chaitin SafeLine den Angriff erfolgreich abgewehrt.

{"code":403,"success":false,"message":"blocked by Chaitin SafeLine Web Application Firewall","event_id":"18e0f220f7a94127acb21ad3c1b4ac47"}

APISIX und Coraza-proxy-wasm

APISIX unterstützt die Entwicklung von Plugins mit WebAssembly (Wasm), und Coraza bietet ebenfalls Wasm-Plugins als Option an. Daher ist die Integration von Coraza mit APISIX mit relativ geringen Kosten verbunden.

Wasm kann plattformübergreifend genutzt werden, wodurch APISIX und Coraza ohne zusätzliche umfangreiche Anpassungen oder Modifikationen zusammenarbeiten können. Dies eliminiert umfangreiche Codeänderungen und Anpassungen.

Coraza ist ebenfalls ein integriertes Plugin von Apache APISIX, das durch Ändern der Konfigurationsdatei conf/config-default.yaml aktiviert werden kann:

wasm:
  plugins:
    - name: coraza-filter
      priority: 7999
      file: /home/ubuntu/coraza-proxy-wasm/build/main.wasm

Dann erstellen wir eine Route in APISIX mit den Regeln von Coraza:

curl -i http://127.0.0.1:9180/apisix/admin/routes/1 -H 'X-API-KEY: edd1c9f034335f136f87ad84b625c8f1' -X PUT -d '{
  "uri": "/anything",
  "plugins": {
    "coraza-filter": {
      "conf": {
        "directives_map": {
          "default": [
            "SecDebugLogLevel 9",
            "SecRuleEngine On",
            "SecRule REQUEST_URI \"@beginsWith /anything\" \"id:101,phase:1,t:lowercase,deny\""
          ]
        },
        "default_directives": "default"
      }
    }
  },
  "upstream": {
    "type": "roundrobin",
    "nodes": {
      "httpbin.org:80": 1
    }
  }
}'

Lassen Sie uns nun eine Anfrage senden, um die Wirkung zu sehen:

curl http://localhost:9080/anything -v

Überprüfen Sie die Protokolle in logs/error.log:

2023/08/31 09:20:39 [info] 126240#126240: *23933 Transaction interrupted tx_id="JVhHVfDuGjVbfgvDjik" context_id=2 action="deny" phase="http_request_headers", client: 127.0.0.1, server: _, request: "GET /anything HTTP/1.1", host: "localhost:9080"
2023/08/31 09:20:39 [debug] 126240#126240: *23933 Interruption already handled, sending downstream the local response tx_id="JVhHVfDuGjVbfgvDjik" context_id=2 interruption_handled_phase="http_request_headers"

Best Practices zur Sicherung von APIs durch die Integration von WAF und API Gateway

Um die Sicherheit Ihrer APIs zu gewährleisten, sollten Sie diese Best Practices befolgen:

  1. Implementieren Sie eine Defense-in-Depth-Strategie, die mehrere Sicherheitsebenen umfasst;

  2. Verwenden Sie SSL/TLS-Verschlüsselung, um Daten während der Übertragung zu schützen;

  3. Aktualisieren Sie regelmäßig Ihre WAF-Regelsätze, um sicherzustellen, dass sie auf dem neuesten Stand der Bedrohungen sind;

  4. Überwachen Sie Ihren API-Datenverkehr und Protokolle, um Sicherheitsvorfälle schnell zu erkennen und darauf zu reagieren.

Zukünftige Trends und Fortschritte in der API-Sicherheit und -Schutz

Mit der wachsenden Anzahl von APIs wird der Bedarf an fortschrittlichen Sicherheitsmaßnahmen zum Schutz dieser APIs steigen. Einige der zukünftigen Trends und Fortschritte in der API-Sicherheit und -Schutz umfassen:

  1. KI-gestützte Sicherheitslösungen, die Bedrohungen automatisch erkennen und darauf reagieren können;

  2. Blockchain-basierte Authentifizierungs- und Zugriffskontrollmechanismen;

  3. Microservices-basierte API-Architekturen, die mehr Flexibilität und Skalierbarkeit bieten.

Zusammenfassung

Zusammenfassend ist die Integration von WAF und API Gateway ein kritischer Bestandteil der API-Sicherheit. Durch die Einhaltung von Best Practices und den Einsatz der richtigen Tools können Sie eine robuste Sicherheitsschicht schaffen, die Ihre APIs vor einer Vielzahl von Angriffen schützt. Mit dem richtigen Ansatz können Sie die Verfügbarkeit, Integrität und Vertraulichkeit Ihrer APIs und der von ihnen ausgetauschten Daten sicherstellen.

Tags:
WAF
APISIX Basics