Suchen

Konvergente Sicherheit für Webanwendungen Kombinierte Schutzmechanismen in einer Web Application Firewall

| Autor / Redakteur: Cyrill Osterwalder, Phion / Stephan Augsten

Angriffe auf Webapplikationen erfolgen nicht nach dem Zufallsprinzip, sondern sehr zielgerichtet. Dies macht den fortwährenden und umfassenden Schutz von Web-Applikationen und -Diensten unumgänglich und dringlicher denn je.

Firmen zum Thema

Der sichere Internet-Zugriff ist nur durch eine Kombination von Sicherheitstechniken gewährleistet.
Der sichere Internet-Zugriff ist nur durch eine Kombination von Sicherheitstechniken gewährleistet.
( Archiv: Vogel Business Media )

Web-Applikationen bieten eine erfreuliche Flexibilität für den Nutzer mit geringen Anforderungen an dessen Client und ermöglichen Unternehmen teilweise ganz neue Geschäftsmodelle. Man denke nur daran, wie Homebanking die Interaktion von Banken und ihren Kunden verändert hat.

Doch genau das, was diese Applikationen so effizient macht – dass der Anwender dem Unternehmen Arbeit abnimmt und beispielsweise seine Daten selbst in die Datenbank oder das CRM-System einträgt – macht diese Anwendungen extrem schutzbedürftig. Wenn jeder Rechner von jedem Ort der Welt mit der Unternehmensdatenbank reden kann, versucht früher oder später auch jemand, sie zu manipulieren.

Nur eine ausgereifte Lösung, die verschiedene Sicherheitsmaßnahmen kombiniert, kann selbst unbekannte Angriffsmethoden frühzeitig erkennen, verhindern und so den Schutz fortwährend gewährleisten. In vielen Unternehmen werden die Maßnahmen im Bereich Webapplikationssicherheit aus historischen oder Hersteller-getriebenen Gründen immer noch allzu getrennt betrachtet und behandelt. Dies führt unmittelbar zu unnötiger Komplexität und weniger Effektivität.

Um auf Anwendungsebene die richtigen Sicherheitsentscheidungen fällen zu können, müssen verschiedene Informationen zum richtigen Zeitpunkt am richtigen Ort verfügbar sein. Durch punktuelle, verzettelte Maßnahmen in einzelnen Teilbereichen wird dies erheblich erschwert. Damit erhöht sich automatisch die Chance für den Angreifer. Im Fall von Web Application Firewalls gilt dies insbesondere für die Themen Authentisierung, Zugriffskontrolle, SSL-Terminierung, Filterung, Protokollvalidierung und Monitoring.

Zentrale Frage: Wer macht Was?

An jedem Flughafen gibt es physische Sicherheitsmaßnahmen um Ticket, Pass, Gepäck und Personen zu überprüfen, bevor sie ins Flugzeug gelangen. Analog dazu ist bei der Webapplikationssicherheit entscheidend, sich im Vornherein mit zwei Fragen zu beschäftigen – nämlich erstens, wer jemand ist, und zweitens, was er tut bzw. beabsichtigt.

Im Falle einer Web-Applikation oder -Umgebung mit registrierten Benutzern sollte die vorgelagerte Authentisierung im Vordergrund stehen. Für öffentlich zugängliche Web-Applikationen und -Seiten hingegen ist die Filterung von Protokollen, Anfragen und Daten am wichtigsten. Da heutige Webapplikationen meistens beides beinhalten, sind technische Lösungen gefragt, die beide Themen effizient und umfassend abdecken.

Das einfachste Beispiel sind Applikationen mit registrierten Benutzern, die sich authentisieren müssen, wie dies beispielsweise beim E-Banking oder Portalen von Versicherungen, Behörden oder Lieferanten üblich ist. Die Login-Seite ist öffentlich zugänglich und dementsprechend von überall her angreifbar. Zum Schutz der Login-Seite sind deshalb strenge Filterkriterien von entscheidender Bedeutung.

Für den Rest der Applikation hingegen ist es viel wichtiger, dass wirklich nur korrekt authentisierte Benutzer überhaupt zugreifen dürfen. Diese zwei Herausforderungen lassen sich durch vorgelagerte Authentisierung und umfassende Filterung in einer Web Application Firewall (WAF) ideal kombinieren.

Seite 2: Zugriffsschutz durch vorgelagerte Authentisierung

(ID:2019626)