Airlock WAF 7.3

Ankündigung

Airlock WAF 7.3 glänzt mit Funktionen für Bot Detection und Management, erweiterten API Gateway Features und besserem Cloud Support. Zudem wurde ein unabhängiges Security Level für Logging eingeführt, welches die Integration von Deny Rules stark vereinfacht.

Bot Detection and Blacklisting

Bösartige Bots können neu auf zwei verschiedene Arten anhand ihres Verhaltens erkannt und blockiert werden.

Erstens führt Airlock eine interne dynamische IP Blacklist. Auf diese Blacklist geraten IP Adressen, wenn innerhalb eines konfigurierbaren Zeitfensters zu viele bösartige Aktivitäten von ihnen ausgehen. Die IPs bleiben eine gewisse Zeit auf der Blacklist und werden solange blockiert. Dies streut Sand ins Getriebe von automatisierten Tools, wie beispielsweise sqlmap, und macht sie in der Praxis unbrauchbar.

Zweitens kann von Clients verlangt werden, dass sie Cookie Handling unterstützen. Dies schliesst bereits viele automatisierte Scripts und Botnet Clients aus, welche im grossen Stil das Internet nach Schwachstellen durchsuchen. Natürlich möchte man gutartige Bots, wie z.B. Suchmaschinen, dennoch zulassen. Dafür stehen umfangreiche Optionen zur Verfügung. Gute Bots können anhand ihres User Agents und via IP Reverse Lookup auch anhand ihrer Domain erkannt werden.

Diese Features ergänzen die in 7.2 eingeführte Webroot Threat Intelligence, welche es erlaubt, global aktive und bekannte Botnet Clients anhand ihrer IP Adresse zu blockieren.

API Gateway

Der Airlock API Gateway kann IDs von technischen API clients, z.B. von mobilen Apps oder SPAs, aus JSON Web Tokens (JWT) extrahieren. Diese Client IDs werden bei allen relevanten Aktionen ins Log geschrieben und erlauben damit umfangreiche Analysen und dynamische Visualisierungen von API Client Statistiken und API Nutzung. Sicherheitsrelevante Events können damit auf die entsprechenden Clients zurückgeführt werden.

Des Weiteren wurde der Deny Rule Support für Pfadparameter verbessert. REST APIs nutzen oft einzelne Pfadsegmente, um Parameter entgegenzunehmen. Statt wie bisher den gesamten Pfad zu überprüfen, kann Airlock neu jedes Pfadsegment als einzelnen Parameter behandeln und gegen die Deny Rules prüfen. Dies verbessert die Treffgenauigkeit der Regeln für REST APIs.

Cloud Support

Der Cloud Support von Airlock wurde wesentlich erweitert. Das Airlock Cloud Image ist nun nebst AWS und Google GCP auch kompatibel mit der Azure Cloud. In Kürze wird ein offizielles Airlock WAF 7.3 Image im GCP Marketplace verfügbar sein. Damit lässt sich Airlock mit wenigen Clicks in einer public Cloud hochfahren. Bestehende Lizenzen können für den Betrieb in der Google Cloud genutzt werden (BYOL).

Zudem wurde das REST API von Airlock um diverse Endpoints für einfacheren Cloud Betrieb erweitert. Neue Endpoints gibt es z.B. für die Verwaltung von Nodes, Routes, Network Services, der Lizenz und Session Settings. Auch der Status von Back-End Hosts kann via REST API ausgelesen werden.

Security Levels einfacher integrieren

Die Security Levels Basic, Standard und Strict erlauben eine einfache und schnelle Wahl des gewünschten Sicherheitslevels. Neu können für jede Deny Rule Gruppe zwei Levels ausgewählt werden: ein Level wird für das Enforcement genutzt, d.h., Requests werden effektiv blockiert, wenn die Regeln anschlagen. Ein weiteres Level kann für zusätzliches Logging ausgewählt werden. Damit kann ein Security Level getestet und mit Policy Learning integriert werde, bevor es für das Enforcement genutzt wird. Ein typischer Anwendungsfall ist die Ablösung der alten Legacy Regeln durch die neuen Security Levels. Auch ein möglicher Upgrade von Basic oder Standard nach Strict kann mit dem neuen Feature einfach getestet und vorbereitet werden, ohne die laufende Applikation zu beeinträchtigen.

Es gibt viele weitere Verbesserungen im neuen Release, wie z.B. den Support von SNMPv3, einfache Konfiguration von HTTP und JSON Limits im GUI, Mapping Templates für Exchange 2019 und Sharepoint 2019, Support für Kerberos Cross-Domain Szenarien und ein Major Upgrade von Elasticsearch und Kibana.

 

Sie wollen mehr erfahren?

Whitepaper - OWASP Top 10

In unserem Whitepaper zum Thema 'OWASP Top 10 für API Security' erfahren Sie, wie die Airlock API die von OWASP definierten zehn größten API Security Risiken adressiert, um APIs zu schützen.

Hier können Sie das Whitepaper herunterladen.