Suchen

Gesponsert

Web Security, API Security und Access Control Drei Herausforderungen für Web Application Firewalls

Die Evolution von Web-Technologien, DevOps und das Aufkommen von Container Plattformen stellen Hersteller von Security Produkten vor grosse Herausforderungen. Dieser Artikel beleuchtet drei Themen, denen sich Web Application Firewalls in Zukunft stellen müssen.

Gesponsert von

Die Evolution der Applikationssicherheit
Die Evolution der Applikationssicherheit
(Bild: Adobe Stock)

Die klassische Webapplikation hat ausgedient

Dr. Martin Burkhart ist Head of Product Management Airlock bei Ergon Informatik AG.
Dr. Martin Burkhart ist Head of Product Management Airlock bei Ergon Informatik AG.
(Bild: Ergon Informatik AG)

Herkömmliche Webapplikationen werden immer häufiger durch moderne Single-Page-Applications (SPA) oder native mobile Apps ersetzt. SPAs bestehen grösstenteils aus Javascript-Logik im Browser und rufen Business APIs im Back-end auf. Sie bieten dem Benutzer eine komfortable graphische Oberfläche, welche die User Experience eines Rich-Clients nachahmt. WAF-Technologien, die für den Schutz einfacher HTML Seiten gebaut wurden, reichen nicht mehr aus. Das Interaktionsparadigma zwischen Client und Server hat sich bis runter auf die Transportformate grundlegend verändert. APIs werden zum neuen Herzstück von Webapplikationen.

Herausforderung #1: Wer schützt all die APIs?

OWASP (das Open Web Application Security Project) reagiert auf diesen Trend mit einer neuen und spezialisierten Top-Ten-Liste für API-Security, welche Ende 2019 erstmals veröffentlicht wurde . Einige grundlegende Risiken wie fehlerhafte Authentisierung, Injection Angriffe, Fehlkonfigurationen oder mangelhaftes Monitoring sind zwar gleich wie bei der OWASP Top Ten Liste für Webapplikationen, die seit 2003 existiert. Weil APIs einen viel direkteren Zugang zu Business Objekten und Ressourcen bieten, ergeben sich allerdings auch neue Risiken. Die Autorisierung beim Zugriff auf Objekte darf beispielsweise nicht dem Client überlassen werden. Obwohl SPAs den Zugriff kontrollieren mögen, sind Hacker nicht auf die Interaktion über die offizielle Oberfläche angewiesen. Sie können auch direkt mit dem API interagieren.

OWASP Top 10 API Security
OWASP Top 10 API Security
(Bild: Ergon Informatik AG)

Nun gibt es seit langem etablierte API Gateways. Werden WAFs demnach obsolet und man kauft einfach einen API Gateway stattdessen? Ganz so einfach ist es leider nicht. Traditionelle API Gateways sind nur bedingt tauglich, um moderne SPAs abzusichern. Diese Gateways sind mit SOAP Webservices gross geworden, welche vor allem in der Machine-to-Machine Kommunikation zum Einsatz kommen, Enterprise Service Busse benötigen und im Korsett komplexer Standards gefangen sind. Das passt schlecht zur schönen neuen REST Welt, die durch Agilität und Leichtgewichtigkeit geprägt ist.

OWASP Top 10 für API Security

Weitaus relevanter ist allerdings, dass moderne APIs von ganz unterschiedlichen Clients genutzt werden: herkömmliche Webapplikationen, SPAs, native und hybride Smartphone Apps, «Things» oder auch anderen APIs. Da diese Clients im wilden Internet stehen, braucht es plötzlich auch für APIs Schutzkonzepte, die WAFs schon lange bieten. Web Security Themen wie Cross-Site Scripting oder Injection Angriffe sind auf allen Kanälen relevant. Viele API Gateways fokussieren nicht auf Security, sondern bearbeiten Themen wie API Design, Entwickler Portale und API Lifecycle Management.

WAF Herstellern bietet sich hier eine Chance, ihre jahrzehntelange Erfahrung in der Web Security neu zu positionieren und etablierte API Gateway Lösungen zu ergänzen.

Herausforderung #2: Authentisierung und Access Management

Authentifizierung und Access Management sind essentielle Bestandteile der Applikationssicherheit
Authentifizierung und Access Management sind essentielle Bestandteile der Applikationssicherheit
(Bild: Adobe Stock)

Eines der wichtigsten Themen beim Schutz von Web Ressourcen ist Access Control . Wer darf wann auf welche Objekte zugreifen? Dafür gibt es Standards wie OAuth 2.0, OpenID Connect oder SAML, welche aber nicht zum Lieferumfang einer typischen WAF gehören. Um die vielen «w»-Fragen vernünftig zu beantworten, braucht es in erster Linie eine geeignete Authentisierungslösung, um die Identität der Benutzer festzustellen, die sich natürlich nicht bei jedem Zugriff neu einloggen wollen. Es braucht also ein Konzept für übergreifendes Single Sign-on auf dem Web- und API-Kanal. Die Identitäten, von denen hier die Rede ist, sind zudem meist heterogen und umfassen eine Vielzahl «externer» Benutzer, wie beispielsweise Kunden oder Partner.

Sogenannte cIAM (Consumer IAM) Systeme bieten hier ihre Dienste an. Sie sind optimiert für grossen Benutzerzahlen und bieten eine gute User Experience durch integrierte UIs für User-Onboarding und Self-Services. Der Umgang mit Social Identities (BYOI) und eine hohe Flexibilität beim Authentisierungsvorgang (Adaptive Authentisierung) sind hier entscheidend.

Wie positionieren sich WAFs zu diesen Lösungen? Bleiben sie «blinde» Durchlauferhitzer für Web Requests, die nichts von Identitäten wissen? Oder übernehmen sie durch ihre zentrale Position im Datenfluss eine führende Rolle bei der Zugriffskontrolle?

Details zur Zugriffskontrolle

Herausforderung #3: Micro Segmentation und DevOps

Applikationssicherheit muss auch für Microservices sichergestellt sein
Applikationssicherheit muss auch für Microservices sichergestellt sein
(Bild: Adobe Stock)

WAFs müssen sich nicht nur auf der funktionalen Ebene neu erfinden. Auch bezüglich Deployment Formen stellen sich neue Herausforderungen. Mit dem Aufkommen von Microservice-Architekturen und DevOps werden grosse zentrale WAF Installationen zunehmend in Frage gestellt. Die notwendige Koordination zwischen Anwendungsverantwortlichen, WAF-Administratoren, Entwicklern und dem Security Team führt zu Effizienzverlusten und Frustration.

Besser wäre es, wenn diese Aufgaben entlang der zu schützenden Services segmentiert werden könnten. Konkret müssten DevOps Teams die Verantwortung für ihre Services ganzheitlich, d.h. inklusive Security, und von der ersten Minute an bis in die Produktion übernehmen können. Damit dies überhaupt möglich wird, müssen WAFs als leichtgewichtige Container zur Verfügung stehen, die sich flexibel auf Kubernetes oder OpenShift vor einzelne Services schnallen lassen. Die zentrale Security Appliance garantiert in diesem Modell die Basis-Sicherheit. Integrationsaufgaben und Erarbeitung der Security Policies werden nahe beim Service von den Spezialisten mit Detailkenntnissen der zu schützenden Services erfüllt.

So eingesetzt muss sich eine moderne WAF in die DevOps Prozesse integrieren, wo hochgradige Automatisierung auch die Konfiguration erfasst, die nicht mehr individuell in einer graphischen Oberfläche zusammengeklickt wird.

Schutz in Microservice-Architekturen

Ein Votum für eine integrierte Lösung

Angesichts der vielen Facetten einer modernen IT Landschaft ist die Versuchung gross, sogenannte «Spot Solutions» einzusetzen: Passgenaue Lösungen für jedes einzelne Problem. Typischerweise kommen diese Lösungen auch von unterschiedlichen Herstellern. Die langfristigen Kosten einer Integration von heterogenen Lösungen werden allerdings die kurzfristigen Ersparnisse wieder auffressen. Zudem birgt dieser Ansatz das Risiko, dass Lücken an kritischen Übergängen offenbleiben, weil die Hersteller Themen nicht ganzheitlich betrachten.

Der Airlock Secure Access Hub bietet eine abgestimmte Gesamtlösung für den Schutz von Daten, Identitäten und Applikationen.
Der Airlock Secure Access Hub bietet eine abgestimmte Gesamtlösung für den Schutz von Daten, Identitäten und Applikationen.
(Bild: Ergon Informatik AG)

Moderne SPAs sind ein Paradebeispiel dafür, dass Web Security, API Security und Access Control zusammen gedacht werden müssen. Dabei spielen sichere Registrierungsprozesse, Migrationen von Tokens, formale Spezifikationen von APIs sowie Signaturen für bekannte Angriffe gleichermassen eine Rolle. Ein integrierter Lösungsansatz bietet viele Synergien, nicht nur aus Security Sicht. Die Benutzer profitieren von optimaler User Experience und eine kürzere Time-to-Market für die Lancierung neuer digitaler Angebote kommt letztlich dem Unternehmen zu Gute.

Advertorial - Was ist das?

Über Advertorials bieten wir Unternehmen die Möglichkeit relevante Informationen für unsere Nutzer zu publizieren. Gemeinsam mit dem Unternehmen erarbeiten wir die Inhalte des Advertorials und legen dabei großen Wert auf die thematische Relevanz für unsere Zielgruppe. Die Inhalte des Advertorials spiegeln dabei aber nicht unbedingt die Meinung der Redaktion wider.