Protegendo solicitações em lote HTTP SAP Fiori (OData) com F5 Advanced WAF
O protocolo HTTP é, em grande parte, o que executa a web. É o protocolo de comunicação que direciona a maior parte do tráfego da internet. Estão surgindo novas formas de otimizar as comunicações de internet em rede, seja criptografadas, codificadas ou em texto simples via UDP ou TCP. Entre elas está a capacidade de agrupar diversas solicitações HTTP em uma única solicitação. O agrupamento de várias solicitações HTTP ajuda a limitar a sobrecarga da carga útil e o tempo de ida e volta (RTT) de uma nova solicitação, o que significa que economiza tempo e custos.
O agrupamento de várias solicitações HTTP é usado principalmente para agrupar várias chamadas de API de transferência de estado representacional (REST) por vários protocolos e fornecedores, entre eles o Open Data Protocol (OData). Um padrão aberto que permite um método simples de criação e uso de APIs REST que interoperam e podem ser consultadas, o protocolo OData foi desenvolvido pela Microsoft em 2007 e é usado e aproveitado em aplicativos da Microsoft, SAP e outros fornecedores.
Como parte da especificação OData, várias chamadas de API REST via HTTP podem ser agrupadas em uma única solicitação HTTP, economizando tempo de rede precioso e caro e permitindo que o aplicativo utilize melhor a largura de banda alocada.
Ao tentar proteger aplicativos que estão enviando solicitações HTTP em lote, surge um desafio com a aplicação de assinaturas de ataque.
Existem três tipos diferentes de assinaturas de ataque, dependendo da parte da solicitação para a qual são relevantes:
- Assinaturas de cabeçalhos
- Assinaturas de URL
- Assinaturas de carga útil
Aqui está um exemplo de tal solicitação:
A primeira solicitação contém outras solicitações HTTP, incluindo seus cabeçalhos e URLs.
Mas, quando um firewall de aplicativo da web (WAF) processa uma solicitação HTTP com várias solicitações em lote como parte da carga útil, ele verá todas as solicitações em lote como uma única carga útil. Portanto, ele usará apenas assinaturas relacionadas à carga útil, o que pode levar a falsos positivos e ataques não detectados.
No F5 Advanced WAF v16.1, o F5 adicionou análise nativa e suporte para solicitações HTTP em lote. Isso permite que o Advanced WAF diferencie cada solicitação HTTP individualmente – e não coletivamente em um lote – e, portanto, execute as assinaturas adequadas nas partes certas de cada solicitação.
O F5 Advanced WAF protege todo o OData ou outro tráfego com solicitações HTTP em lote sem risco de perder ataques ou produzir muitos falsos positivos.
A SAP utiliza o protocolo OData para se comunicar e interoperar com qualquer aplicativo, software ou dispositivo que não seja uma oferta da SAP. Como o OData é baseado em HTTPS, qualquer linguagem de programação – e, nesse caso, qualquer desenvolvedor – pode usar e se comunicar com uma mensagem OData. Isso permite que qualquer oferta que não seja uma oferta SAP se conecte à SAP usando HTTPS, já que a interface com o OData é baseada em XML ou JSON.
A SAP Fiori fornece ferramentas que capacitam designers e desenvolvedores a criar e otimizar aplicativos móveis e da Web nativos que proporcionam uma experiência de usuário consistente e inovadora em todas as plataformas. O SAP Fiori oferece uma experiência de usuário moderna para qualquer dispositivo e para todos os usuários. O SAP Fiori oferece aos usuários uma experiência de trabalho simples e produtiva em qualquer lugar. O OData permite que aplicativos não SAP sejam integrados e interoperáveis em um ambiente criado pelo SAP Fiori.
Embora a interoperabilidade e a comunicação fácil sejam essenciais, a segurança também o é, especialmente para implantações do SAP Fiori que são voltadas para a Internet e consomem aplicativos analíticos ou que usam pesquisas pela Internet.
Em um blog publicado pela SAP, “Considerações e recomendações para aplicativos Fiori voltados para a Internet”, é declarado que um WAF “deve ser colocado na frente do SAP Web Dispatcher, monitorando e controlando todas as solicitações HTTP recebidas”, e que um WAF deve ser implantado “entre uma rede interna confiável e a Internet não confiável”. O blog continua destacando que, entre os recursos de segurança disponíveis em um WAF, ele deve impedir ataques de negação de serviço distribuído (DDoS), particularmente “para que eles não alcancem seu sistema SAP S/4HANA”.
O suporte ao protocolo OData pelo F5 Advanced WAF permite que os clientes protejam aplicativos SAP com maior eficácia e menos falsos positivos.
Para obter mais informações sobre as soluções F5 para SAP Fiori e S/4 HANA, consulte o seguinte:
Rápido e seguro: Migração SAP para a Nuvem (F5.com)
Mitigando ataques cibernéticos ativos em aplicativos SAP de missão crítica | DevCentral (f5.com)
Para obter mais informações sobre o SAP Fiori e a aplicação de um WAF para garantir a segurança e reduzir falsos positivos associados ao SAP Fiori e seu uso de solicitações em lote OData e HTTP, você pode consultar o seguinte: Considerações e recomendações para aplicativos Fiori voltados para a Internet | SAP Blogs
Implantação na Intranet ou na Internet | Portal de Ajuda SAP
Conteúdo relacionado
OData – Tudo o que você precisa saber: Parte 1 | Blogs SAP