Ein Secure Access Hub schützt gegen alle Sicherheitsvorfälle[Gesponsert]

WAF, cIAM und API-Gateway müssen Hand in Hand gehen

Applikationen und APIs verdienen mehr Schutz als nur eine WAF.
Applikationen und APIs verdienen mehr Schutz als nur eine WAF. (Bild: Pixabay)

Bereitgestellt von

Die Kombination einer Web Application Firewall, eines Identity & Access Managements und eines API Gateways bietet ein zeitgemäßes Paket gegen Angriffe auf Applikationen und Schnittstellen, das zusätzlich zur Security noch weitere Vorteile bietet.

Web-Applikationen sind im Zuge der Digitalisierung geschäftskritisch und somit zu einem attraktiven Ziel für Hacker geworden.

Wie wichtig ihr Schutz ist, wird jedoch oft unterschätzt. Unternehmen wollen ihre Ideen schnell umsetzen, darum werden häufig Security-Grundsätze ignoriert: Eine Firma hat eine Idee, wie man die Kunden noch mehr umgarnen kann. Kurzfristig wird ein Minimum Viable Product gebaut – die minimal funktionsfähige Iteration eines Produkts – und möglichst schnell zum Verkauf, damit Test, an den Kunden freigegeben. Das Produkt steht sodann im Internet, ist mit anderen Datentöpfen des Unternehmens verbunden und die Abteilung für IT-Sicherheit wurde nur minimal involviert, weil sie als Verzögerer gilt. Das Resultat: Das Einfallstor ist offen.

Um dieses Dilemma zu lösen, bietet sich eine zentrale Lösung wie der Airlock Secure Access Hub an. Verschiedene Komponenten werden kombiniert, die in unterschiedlichen Disziplinen für Sicherheit sorgen. Die Nachfrage solcher Pakete aus einer Hand steigt, da Komponenten häufig von unterschiedlichen Herstellern stammen und nur mäßig zusammenspielen.

► IT Sicherheit - vom Spielverderber zum Beschleuniger der Digitalisierung

 

Eine Web Application Firewall mit vielen Aufgaben

Eine moderne Web Application Firewall (WAF) ist ein Multitalent. So sollte sie neben ihren eigentlichen Aufgaben auch Application Programming Interfaces (API), die Business-Schnittstellen, schützen können. Eine herkömmliche WAF aber ist auf HTML ausgelegt und kann mit JSON-Strukturen nicht umgehen, die bei APIs üblich sind. Beide Sicherheitsbereiche jedoch verschmelzen zunehmend, zumal Bedrohungen wie Cross-Site-Scripting oder Injection-Angriffe auf allen Kanälen relevant sind. Auch Javascript-Applikationen, die im Browser laufen und auf APIs im Backend zugreifen, erfahren eine zunehmende Verbreitung.

Eine WAF analysiert jede Anfrage zwischen Anwendern und Web-Applikationen sowie den Web-Services. Damit lassen sich Angreifer bereits aufhalten, bevor sie in das interne Netzwerk gelangen. Ein Zusammenspiel mit einem Identity and Access Management (IAM) und einem API-Gateway sorgt dafür, dass allgemein nur gefilterte, authentisierte und autorisierte Zugriffe erfolgen.

Die Airlock WAF bietet mit der neuen Version 7.2 außerdem die Integration eines Threat Intelligence Feeds von Webroot – ein Abgleich der eingehenden IP Adressen gegen Listen bekannter Bedrohungen. Für jede Adresse aus dem IPv4-Bereich liegen Informationen vor, ob bösartige Aktivitäten von ihr ausgehen: Spam, Angriffe gegen Webserver, Phishing oder Zugriff via Tor-Nodes. Diese Informationen können im Access Management herangezogen werden, um entsprechende Policies zu entwickeln, wie diese: Wenn ein Zugriff über den Tor-Browser erfolgt, dann ist eine Zwei-Faktor-Authentifizierung erforderlich.

Jedes Unternehmen hat heute eine Cloud Strategie. Egal ob sensitive Daten in der Cloud oder on-premise gespeichert werden: Airlock WAF lässt sich schützend davor installieren und erlaubt damit durchgängig greifende Sicherheitsrichtlinien auch in hybriden Cloud Umgebungen. Das Airlock Cloud Image ist kompatibel mit den grossen Public Cloud Plattformen und lässt sich dank der Unterstützung von DHCP und Cloud-init schnell und einfach in dynamischen Umgebungen instanziieren. Dies ist automatisiert möglich, da keine manuelle Interaktion erforderlich ist.

API-Gateway für sichere Schnittstellen

Application Programming Interfaces (APIs) sind die tragenden Säulen moderner Anwendungen und Dienste. Diese Schnittstellen exponieren Daten über Unternehmensgrenzen hinaus in das Internet, wo die Kunden auf sie zugreifen. Ihr Schutz ist nicht nur gegen herkömmliche Angriffe notwendig, sondern gegen API-spezifische Attacken. Ein API-Gateway erlaubt es, JSON-Schemas und Open-API-Spezifikationen durchzusetzen. Alle API Calls, die diesen Richtlinien nicht entsprechen, werden abgewiesen. Oberflächen und Kontrollen sorgen dabei für einen Überblick sämtlicher API-Zugriffe, zeigen Angriffsversuche und Spezifikations-Verletzungen, erkennen Performance-Probleme und machen Fehler im Backend sichtbar. Access Logs zu API Calls können an Untersysteme weitergeleitet werden und so als Basis für die Monetarisierung von Zugriffen dienen.

► IT Sicherheit - vom Spielverderber zum Beschleuniger der Digitalisierung

 

Identity and Access Management

Das Consumer Identity and Access Management (cIAM) hat die Aufgabe, Benutzer zu authentifizieren und die Informationen an die passende Anwendung zu übermitteln. Um nicht von einer Anmeldemethode allein abhängig zu sein, empfiehlt sich eine starke Zwei-Faktor-Authentifizierung. Diese lässt sich sogar bei Applikationen durchsetzen, die eigentlich keine Unterstützung anbieten. Microsoft Sharepoint verlangt lediglich den Benutzernamen und das Passwort. Ein cIAM kann dennoch einen zweiten Faktor einfordern, den es selbstständig, vorgelagert abfragt. Erst danach wir die festgestellte Identität an die Applikation übermittelt. Anwender profitieren zudem von einer Single Sign-On-Funktion: Je nachdem, wo ein Zugriff hingeleitet wird, kann die Identität des authentifizierten Benutzers anders repräsentiert werden. Das IAM dient dabei als eine Art Identitäts-Weiche. Zudem lässt sich die Situation des Zugriffs – am Arbeitsplatz, zuhause oder unterwegs – und die Historie eines Benutzers berücksichtigen. Wenn Benutzer ihre elektronischen Identitäten bereits mitbringen, spricht man von Bring Your Own Identity (BYOI). Sie verwenden bestehende Accounts aus sozialen Netzwerken wie Facebook, Google oder Twitter für den Zugriff. Mit einem zweiten Faktor, den das cIAM erzwingt, lässt sich dieser einfache, nur schwach geprüfte Social Login zu einem stark authentisierten Zugang erweitern.

Weitere Informationen zum Vorteil zentraler Sicherheitsarchitekturen benennt Ergon in einem neuen Whitepaper Whitepaper „Application Security – vom Spielverderber zum Beschleuniger der Digitalisierung“.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46026295 / Firewalls)