Web Application Firewall

Ein Secure Access Hub - mehr als die Summe seiner Teile

Uhr
von Martin Burkhart, Head of Product Management, Airlock, Security Innovation by Ergon Informatik

Die digitale Transformation erfasst immer mehr Branchen und beschleunigt auch die Evolution von Webtechnologien. Innerhalb weniger Jahre werden frühere Vorzeigeprojekte zu Legacy-Systemen. Diese Entwicklung macht auch vor Sicherheitslösungen nicht halt. Der Trend zeigt klar in ­Richtung einer Konvergenz von Application Security, API Protection und Access Management.

Martin Burkhart, Head of Product Management, Airlock, Security Innovation by Ergon Informatik. (Source: zVg)
Martin Burkhart, Head of Product Management, Airlock, Security Innovation by Ergon Informatik. (Source: zVg)

Noch vor zehn Jahren mussten wir unsere Kunden in mühsamer Kleinarbeit vom Konzept einer Web Application Firewall (WAF) überzeugen und erklären, wie sich diese von herkömmlichen Netzwerk-Firewalls unterscheiden. Heute ist der WAF-Markt global, milliardenschwer und hochkompetitiv. Doch es gibt bereits Anzeichen für bevorstehende Verwerfungen. Die herkömmlichen HTML-Webapplikationen, auf die WAFs ausgelegt sind, werden immer häufiger durch moderne Single-Page-Applications (SPA) ersetzt. SPAs bestehen aus einer Javascript-Applikation, die im Browser läuft und parallel auf viele APIs im Back-End zugreift. Diese APIs sind meist REST-basiert und nutzen JSON als Transportformat. Für den Schutz dieser APIs braucht es neue Technologien, da sich das grundlegende Interaktionsparadigma zwischen Client und "Server" verändert hat.

API Security heisst auch Web Security

Traditionelle API Gateways sind allerdings nur bedingt tauglich, um den neuen Typus von Webapplikationen abzusichern. Diese sind meist auf SOAP-Webservices ausgelegt, die vor allem in der Machine-to-Machine-Kommunikation zum Einsatz kommen, Enterprise Service Busse benötigen und im Korsett hochkomplexer Standards gefangen sind. Dies passt schlecht zur schönen neuen REST-Welt, die durch Agilität und Leichtgewichtigkeit geprägt ist.

Weitaus relevanter ist allerdings, dass moderne APIs von ganz unterschiedlichen Clients genutzt werden: herkömmliche Webapplikationen, Browser-basierte SPAs, native und hybride Smartphone-Apps, "Things" oder auch anderen APIs. Da nun ein internes API auch von Web-Clients angesprochen werden kann, stellen sich an den API Gateway plötzlich Anforderungen, die ähnlich sind zu denen einer WAF. Web-Security-Themen wie Cross-Site Scripting oder Injection-Angriffe werden somit auf allen Kanälen relevant. Von den OWASP-Top-10 und Content Filtering haben viele API Gateways leider noch nie etwas gehört.

APIs brauchen Access Management

Natürlich ist Content Filtering für den Schutz von APIs sehr wichtig. Der allerwichtigste Grund für den Einsatz von API Gateways ist allerdings Access Control (Critical Capabilities for Full Life Cycle API Management, Gartner, 2018). Der Zugriff auf APIs muss mittels Standards wie OAuth 2.0, OpenID Connect und SAML abgesichert werden können. Dazu gehört nicht nur die technische Autorisierung von "Clients", also beispielsweise einer App, sondern insbesondere auch die Benutzer-Authentisierung. Dies wiederum erfordert eine Integration mit dem Web-Single-Sign-on und dem Identity und Access Management (IAM).

IAM und die Kunden

Die Identitäten, von denen hier die Rede ist, sind sehr heterogen und umfassen eine Vielzahl "externer" Identitäten, wie beispielsweise Kunden oder Partner. Im Unterschied zu Workforce-IAM-Systemen sind sogenannte Customer-IAM-Systeme (cIAM) besser auf die Verwaltung solcher externen Benutzer ausgelegt. cIAM-Systeme bieten einfache Skalierbarkeit mit grossen Benutzerzahlen und eine nahtlose User Experience durch optimierte und integrierte UIs für Onboarding und Self-Services. Der Umgang mit Social Identities (BYOI) und eine hohe Flexibilität beim Authentisierungsvorgang (adaptive Authentisierung) sind hier entscheidend.

Mehr als die Summe seiner Teile

Nun, wohin führt das alles? WAFs müssen also APIs schützen, API Gateways wiederum müssen Websecurity lernen, APIs brauchen Access Control und die Benutzer, die daher kommen, lassen sich schlecht mit herkömmlichen Enterprise-IAM-Systemen verwalten. Zudem wissen wir alle um die Nachteile von "Spot Solutions", die nicht über den eigenen Tellerrand blicken und viele Lücken an den Übergängen offen lassen.

Ein Secure Access Hub integriert diese Anforderungen in einer abgestimmten und kohärenten Lösung, bestehend aus einer WAF, einem API Gateway und einem Customer-IAM-System. Viele Security-Experten sind mittlerweile überzeugt, dass dies die richtige und zukunftsweisende Architektur für nachhaltige digitale Sicherheit ist.

Verkrustete Organisationsstrukturen – ein unerwartetes Hindernis

Ein weiteres, auf den ersten Blick eher unerwartetes Problem ist allerdings weniger technischer, sondern vielmehr organisatorischer Natur. Wie kauft man einen Secure Access Hub, auf dem diverse Technologien zu einem grossen Ganzen konvergieren?

Heute ist die Verantwortung für diese Themen meist in unterschiedlichen Abteilungen angesiedelt, wie zum Beispiel bei der IT-Infrastruktur, dem Netzwerkbetrieb, dem CISO, der Benutzeradministration oder gar beim Marketing. Die Nutzen eines integrierten Ansatzes, wie beispielsweise tiefere TCO und schnellere Time-to-Market, spürt wiederum das Business, das meist nicht in die Beschaffung von IT-Security involviert ist.

Doch eigentlich wussten wir das bereits: Die Digitalisierung verändert nicht nur Technologien, sondern umfasst auch Businessprozesse und löst verkrustete Organisationsstrukturen auf. Grössere Flexibilität, Kollaboration und Agilität sind gefragt. Der Ball liegt damit nicht zuletzt bei Ihnen. Ist Ihr Unternehmen bereit für die integrierte Security der Zukunft?

Webcode
DPF8_135010