使用 F5 Advanced WAF(API 安全 - 新一代 WAF)保护 SAP Fiori HTTP 批量请求 (OData)
网络大部分都是通过 HTTP 协议运行的。 它是驱动大多数互联网流量的通信协议。 网络优化互联网通信的新方法正在出现,无论是加密、编码还是通过 UDP 或 TCP 的明文。 其中包括将多个 HTTP 请求批量合并为一个请求的能力。 批处理多个 HTTP 请求有助于限制新请求的有效负载开销和往返时间 (RTT) - 这意味着它可以节省时间和成本。
多个 HTTP 请求的批处理主要用于对多个协议和供应商的各种表述性状态转移 (REST) API 调用进行分组,其中包括开放数据协议 (OData)。 OData 协议是一种开放标准,它支持通过简单的方法创建和使用可互操作且可查询的 REST API。该协议由 Microsoft 于 2007 年开发,并被 Microsoft、SAP 和其他供应商的应用使用和利用。
作为 OData 规范的一部分,通过 HTTP 的多个 REST API 调用可以被批处理为单个 HTTP 请求,从而节省宝贵且昂贵的网络时间并允许应用更好地利用分配的带宽。
当尝试保护批处理 HTTP 请求的应用时,攻击签名的应用会出现挑战。
根据与请求相关的部分,攻击特征可分为三种类型:
- 标头签名
- URL 签名
- 有效载荷签名
以下是此类请求的一个示例:
第一个请求包含其他 HTTP 请求,包括其标头和 URL。
但是,当 Web应用防火墙 (WAF) 处理包含多个批处理请求作为有效负载一部分的 HTTP 请求时,它会将所有批处理请求视为单个有效负载。 因此,它只会使用与有效载荷相关的签名,这可能会导致误报和未被发现的攻击。
在 F5 Advanced WAF(API 安全 - 新一代 WAF) v16.1 中,F5 增加了原生解析和对 HTTP 批量请求的支持。 这使得Advanced WAF(API 安全 - 新一代 WAF)可以单独区分每个 HTTP 请求(而不是批量区分),从而在每个请求的正确部分运行正确的签名。
F5 Advanced WAF(API 安全 - 新一代 WAF)通过 HTTP 批量请求保护所有 OData 或其他流量,而不会错过攻击或产生许多误报的风险。
SAP 利用 OData 协议与任何非 SAP 产品的应用、软件或设备进行通信和互操作。 由于 OData 基于 HTTPS,因此任何编程语言(任何开发人员)都可以使用和通信 OData 消息。 由于 OData 接口基于 XML 或 JSON,因此这允许任何非 SAP 产品使用 HTTPS 连接到 SAP。
SAP Fiori 提供的工具使设计人员和开发人员能够创建和优化原生移动和 Web 应用程序,从而跨平台提供一致、创新的用户体验。 SAP Fiori 为任何设备和每个用户提供现代用户体验。 SAP Fiori 为用户提供简单、高效的随时随地工作体验。 OData 使非 SAP 应用程序能够在 SAP Fiori 创建的环境中集成和互操作。
虽然互操作性和轻松通信至关重要,但安全性也同样重要,尤其是对于面向互联网、使用分析应用或通过互联网进行搜索的 SAP Fiori 部署而言。
SAP 在一篇名为“面向互联网的 Fiori 应用的注意事项和建议”的博客中指出,WAF“应放置在 SAP Web Dispatcher 的前面,用于监控和控制所有传入的 HTTP 请求”,并且 WAF 应部署在“受信任的内部网络与不受信任的互联网之间”。 博客继续指出,在 WAF 中可用的安全功能中,它应该可以阻止分布式拒绝服务 (DDoS) 攻击,特别是“使它们无法到达您的 SAP S/4HANA 系统”。
F5 Advanced WAF(API 安全 - 新一代 WAF)对 OData 协议的支持使客户能够更高效地保护 SAP应用并减少误报。
有关 F5 针对 SAP Fiori 和 S/4 HANA 的解决方案的更多信息,请查看以下内容:
快速、安全: SAP 迁移至云端 (F5.com)
减轻对关键任务 SAPapplications的主动网络攻击 | DevCentral (f5.com)
有关 SAP Fiori 和应用WAF 以确保安全性并减少与 SAP Fiori 及其使用 OData 和 HTTP 批处理请求相关的误报的更多信息,您可以查看以下内容: 面向互联网的 Fiori 应用程序的注意事项和建议 | SAP 博客
在内部网或互联网上部署 | SAP 帮助门户
相关内容
OData – 您需要了解的一切: 第 1 部分 | SAP 博客