Die digitale Transformation erfasst immer mehr Branchen und beschleunigt auch die Evolution von Web-Technologien. Innerhalb weniger Jahre werden frühere Vorzeigeprojekte zu Legacy-Systemen. Diese Entwicklung macht auch vor IT-Sicherheitslösungen nicht Halt. Der Trend zeigt klar in Richtung einer Konvergenz von Application Security, API Protection und Access Management.

Web Application Firewalls müssen dazu lernen

Noch vor zehn Jahren mussten wir unsere Kunden in mühsamer Kleinarbeit vom Konzept einer Web Application Firewall (WAF) überzeugen und erklären, wie sich diese von herkömmlichen Netzwerk-Firewalls unterscheiden. Heute ist der WAF Markt global, milliardenschwer und hochkompetitiv. Doch bereits gibt es Anzeichen für bevorstehende Verwerfungen. Die herkömmlichen HTML Webapplikationen, auf welche WAFs ausgelegt sind, werden immer häufiger durch moderne Single-Page-Applications (SPA) ersetzt. SPAs bestehen aus einer Javascript-Applikation, die im Browser läuft und parallel auf viele APIs im Back-end zugreift. Diese APIs sind meist REST-basiert und nutzen JSON als Transportformat. Für den Schutz dieser APIs braucht es neue Technologien, da sich das grundlegende Interaktionsparadigma zwischen Client und «Server» verändert hat.

By 2021, 65% of new applications will be built as a mesh of multichannel apps and multigrained back-end services that communicate via APIs.

API Security heisst auch Web Security

Traditionelle API Gateways sind allerdings nur bedingt tauglich um den neuen Typus von Webapplikationen abzusichern. Diese sind meist auf SOAP Webservices ausgelegt, welche vor allem in der Machine-to-Machine Kommunikation zum Einsatz kommen, Enterprise Service Busse benötigen und im Korsett hochkomplexer Standards gefangen sind. Dies passt schlecht zur schönen neuen REST Welt, die durch Agilität und Leichtgewichtigkeit geprägt ist.

Weitaus relevanter ist allerdings, dass moderne APIs von ganz unterschiedlichen Clients genutzt werden: herkömmliche Webapplikationen, Browser-basierte SPAs, native und hybride Smartphone Apps, «Things» oder auch anderen APIs. Da nun ein internes API auch von Web-Clients angesprochen werden kann, stellen sich an den API Gateway plötzlich Anforderungen, die ähnlich sind zu denen einer WAF. IT-Security Themen wie Cross-Site Scripting oder Injection Angriffe werden somit auf allen Kanälen relevant. Von den OWASP Top 10 und Content Filtering haben viele API Gateways leider noch nie etwas gehört.

APIs brauchen Access Management

Natürlich ist Content Filtering für den Schutz von APIs sehr wichtig. Der allerwichtigste Grund für den Einsatz von API Gateways ist allerdings Access Control [1]. Der Zugriff auf APIs muss mittels Standards wie OAuth 2.0, OpenID Connect und SAML abgesichert werden können. Dazu gehört nicht nur die technische Autorisierung von «Clients», also z.B. einer App, sondern insbesondere auch die Benutzer-Authentisierung. Dies wiederum erfordert eine Integration mit dem Web Single Sign-On und dem Identity und Access Management (IAM).

IAM und die Kunden

Die Identitäten, von denen hier die Rede ist, sind sehr heterogen und umfassen eine Vielzahl «externer» Identitäten, wie beispielsweise Kunden oder Partner. Im Unterschied zu Workforce-IAM Systemen sind sogenannte Customer IAM (cIAM) Systeme besser auf die Verwaltung von solchen externen Benutzern ausgelegt. cIAM Systeme bieten einfache Skalierbarkeit mit grossen Benutzerzahlen und eine nahtlose User Experience durch optimierte und integrierte UIs für Onboarding und User Self-Services. Der Umgang mit Social Identities (BYOI) und eine hohe Flexibilität beim Authentisierungsvorgang (Adaptive Authentisierung) sind hier entscheidend.

Airlock SAH - Mehr als die Summe seiner Teile

Nun, wohin führt das alles? WAFs müssen also APIs schützen, API Gateways wiederum müssen Web Security lernen, APIs brauchen Access Control und die Benutzer, die daherkommen lassen sich schlecht mit herkömmlichen Enterprise IAM Systemen verwalten. Zudem wissen wir alle um die Nachteile von «Spot Solutions», die nicht über den eigenen Tellerrand blicken und viele Lücken an den Übergängen offen lassen.

Der Airlock Secure Access Hub integriert diese Anforderungen in einer abgestimmten und kohärenten Lösung, bestehend aus einer WAF, einem API Gateway und einem Customer IAM System. Viele Security Experten sind mittlerweile überzeugt, dass dies die richtige und zukunftsweisende Architektur für nachhaltige IT-Sicherheit ist.

 

Mehr über den Secure Acces Hub

 

Verkrustete Organisationsstrukturen - Ein unerwartetes Hindernis

Ein weiteres, auf den ersten Blick eher unerwartetes Problem ist allerdings weniger technischer sondern vielmehr organisatorischer Natur. Wie kauft man einen Secure Access Hub, auf dem diverse Technologien zu einem grossen Ganzen konvergieren? Heute ist die Verantwortung für diese Themen meist in unterschiedlichen Abteilungen angesiedelt, wie z.B. bei der IT Infrastruktur, dem Netzwerkbetrieb, dem CISO, der Benutzeradministration, oder gar beim Marketing. Die Nutzen eines integrierten Ansatzes, wie beispielsweise tiefere TCO und schnellere Time-to-Market spürt wiederum das Business, welches meist nicht in die Beschaffung von IT Security involviert ist.

Doch eigentlich wussten wir das bereits: Die Digitalisierung verändert nicht nur Technologien sondern umfasst auch Business Prozesse und löst verkrustete Organisationsstrukturen auf. Grössere Flexibilität, Kollaboration und Agilität ist gefragt. Der Ball liegt damit nicht zuletzt bei Ihnen. Ist Ihr Unternehmen bereit für die integrierte IT-Security der Zukunft?

[1] Critical Capabilities for Full Life Cycle API Management, Gartner, 2018

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Einen Kommentar schreiben

Kommentarfunktion geschlossen

Wir informieren Sie

-Unsere Whitepaper-

Executive View: KuppingerCole - Airlock Secure Acces Hub für Applications und APIs

Dieser KuppingerCole Executive View Bericht gibt einen architektonischen und funktionalen Überblick über den Airlock Secure Access Hub, eine integrierte Plattform für sicheres Access Management - ein multicloud-natives Sicherheitstool für Webanwendungen, APIs und darüber hinaus.

Jetzt Formular ausfüllen und Executive View erhalten!

Whitepaper: Sicherheit für cloudnative Anwendungen

Wie es Unternehmen gelingt, die Sicherheit von Web-Applikationen und APIs in Kubernetes zu gewährleisten lesen Sie hier im Whitepaper "Sicherheit für cloudnative Anwendungen“, das in Zusammenarbeit zwischen heise und Airlock entstanden ist.

Whitepaper anfordern

Whitepaper: Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern