Protección de solicitudes HTTP por lotes (OData) de SAP Fiori con F5 Advanced WAF
El protocolo HTTP es, en su mayor parte, el que ejecuta la web. Es el protocolo de comunicaciones que impulsa la mayor parte del tráfico de Internet. Están surgiendo nuevas formas de optimizar las comunicaciones de Internet, ya sea encriptadas, codificadas o en texto simple sobre UDP o TCP. Entre ellas se encuentra la capacidad de agrupar múltiples solicitudes HTTP en una sola solicitud. Agrupar múltiples solicitudes HTTP ayuda a limitar la sobrecarga de carga y el tiempo de ida y vuelta (RTT) de una nueva solicitud, lo que significa que ahorra tiempo y costos.
La agrupación de múltiples solicitudes HTTP se utiliza principalmente para agrupar varias llamadas API de transferencia de estado de representación (REST) de múltiples protocolos y proveedores, entre ellos el Protocolo de datos abiertos (OData). El protocolo OData, un estándar abierto que permite un método simple de creación y uso de API REST que interoperan y pueden consultarse, fue desarrollado por Microsoft en 2007 y se usa y aprovecha en aplicações de Microsoft, SAP y otros proveedores.
Como parte de la especificación OData, múltiples llamadas de API REST a través de HTTP se pueden agrupar en una única solicitud HTTP, lo que ahorra un tiempo de red valioso y costoso y permite que la aplicação utilice mejor el ancho de banda asignado.
Al intentar proteger aplicações que procesan solicitudes HTTP en lotes, surge un desafío con la aplicação de firmas de ataque.
Hay tres tipos diferentes de firmas de ataque, según la parte de la solicitud a la que sean relevantes:
- Firmas de encabezados
- Firmas de URL
- Firmas de carga útil
A continuación se muestra un ejemplo de este tipo de solicitud:
La primera solicitud contiene otras solicitudes HTTP, incluidos sus encabezados y URL.
Pero, cuando un firewall de aplicação web (WAF) procesa una solicitud HTTP con múltiples solicitudes por lotes como parte de la carga útil, considerará todas las solicitudes por lotes como una sola carga útil. Por lo tanto, solo utilizará firmas relacionadas con la carga útil, lo que puede provocar falsos positivos y ataques no detectados.
En F5 Advanced WAF v16.1, F5 agregó análisis nativo y soporte para solicitudes por lotes HTTP. Esto permite que Advanced WAF distinga cada solicitud HTTP de forma individual (y no de forma colectiva en un lote) y, por lo tanto, ejecute las firmas adecuadas en las partes correctas de cada solicitud.
F5 Advanced WAF protege todo el tráfico OData u otro tráfico con solicitudes HTTP por lotes sin riesgo de perder ataques o producir muchos falsos positivos.
SAP aprovecha el protocolo OData para comunicarse e interoperar con cualquier aplicação, software o dispositivo que no sea una oferta de SAP. Como OData se basa en HTTPS, cualquier lenguaje de programación (y, por lo tanto, cualquier desarrollador) puede usar y comunicarse con un mensaje OData. Esto permite que cualquier oferta que no sea una oferta de SAP se conecte con SAP mediante HTTPS, ya que la interfaz con OData se basa en XML o JSON.
SAP Fiori ofrece herramientas que permiten a los diseñadores y desarrolladores crear y optimizar aplicaciones web y móviles nativas que brindan una experiencia de usuario consistente e innovadora en todas las plataformas. SAP Fiori ofrece una experiencia de usuario moderna para cualquier dispositivo y para cada usuario. SAP Fiori ofrece a los usuarios una experiencia de trabajo sencilla y productiva desde cualquier lugar. OData permite que aplicaciones que no son SAP se integren y sean interoperables en un entorno creado por SAP Fiori.
Si bien la interoperabilidad y las comunicaciones sencillas son esenciales, también lo es la seguridad, especialmente para las implementaciones de SAP Fiori que están conectadas a Internet y consumen aplicações analíticas o utilizan búsquedas a través de Internet.
En un blog publicado por SAP, “Consideraciones y recomendaciones para aplicaciones Fiori orientadas a Internet”, se afirma que un WAF “debe ubicarse delante de SAP Web Dispatcher, monitoreando y controlando todas las solicitudes HTTP entrantes” y que un WAF debe implementarse “entre una red interna confiable e Internet no confiable”. El blog continúa señalando que, entre las capacidades de seguridad disponibles en un WAF, debería detener los ataques de denegación de servicio distribuido (DDoS), particularmente “para que no puedan llegar a su sistema SAP S/4HANA”.
El soporte del protocolo OData por parte de F5 Advanced WAF permite a los clientes proteger las aplicações SAP con mayor eficacia y menos falsos positivos.
Para obtener más información sobre las soluciones F5 para SAP Fiori y S/4 HANA, revise lo siguiente:
Rápido y seguro: Migración de SAP a la nube (F5.com)
Mitigación de ciberataques activos en aplicações SAP críticas | DevCentral (f5.com)
Para obtener más información sobre SAP Fiori y la aplicação de un WAF para garantizar la seguridad y reducir los falsos positivos asociados con SAP Fiori y su uso de OData y solicitudes por lotes HTTP, puede revisar lo siguiente: Consideraciones y recomendaciones para aplicaciones Fiori con conexión a internet | Blogs de SAP
Implementación en la Intranet o en Internet | Portal de ayuda de SAP
Contenido relacionado
OData – Todo lo que necesitas saber: Parte 1 | Blogs de SAP