Die digitale Transformation erfasst immer mehr Branchen und beschleunigt auch die Evolution von Web-Technologien. Innerhalb weniger Jahre werden frühere Vorzeigeprojekte zu Legacy-Systemen. Diese Entwicklung macht auch vor IT-Sicherheitslösungen nicht Halt. Der Trend zeigt klar in Richtung einer Konvergenz von Application Security, API Protection und Access Management.
Web Application Firewalls müssen dazu lernen
Noch vor zehn Jahren mussten wir unsere Kunden in mühsamer Kleinarbeit vom Konzept einer Web Application Firewall (WAF) überzeugen und erklären, wie sich diese von herkömmlichen Netzwerk-Firewalls unterscheiden. Heute ist der WAF Markt global, milliardenschwer und hochkompetitiv. Doch bereits gibt es Anzeichen für bevorstehende Verwerfungen. Die herkömmlichen HTML Webapplikationen, auf welche WAFs ausgelegt sind, werden immer häufiger durch moderne Single-Page-Applications (SPA) ersetzt. SPAs bestehen aus einer Javascript-Applikation, die im Browser läuft und parallel auf viele APIs im Back-end zugreift. Diese APIs sind meist REST-basiert und nutzen JSON als Transportformat. Für den Schutz dieser APIs braucht es neue Technologien, da sich das grundlegende Interaktionsparadigma zwischen Client und «Server» verändert hat.
By 2021, 65% of new applications will be built as a mesh of multichannel apps and multigrained back-end services that communicate via APIs.
API Security heisst auch Web Security
Traditionelle API Gateways sind allerdings nur bedingt tauglich um den neuen Typus von Webapplikationen abzusichern. Diese sind meist auf SOAP Webservices ausgelegt, welche vor allem in der Machine-to-Machine Kommunikation zum Einsatz kommen, Enterprise Service Busse benötigen und im Korsett hochkomplexer Standards gefangen sind. Dies passt schlecht zur schönen neuen REST Welt, die durch Agilität und Leichtgewichtigkeit geprägt ist.
Weitaus relevanter ist allerdings, dass moderne APIs von ganz unterschiedlichen Clients genutzt werden: herkömmliche Webapplikationen, Browser-basierte SPAs, native und hybride Smartphone Apps, «Things» oder auch anderen APIs. Da nun ein internes API auch von Web-Clients angesprochen werden kann, stellen sich an den API Gateway plötzlich Anforderungen, die ähnlich sind zu denen einer WAF. IT-Security Themen wie Cross-Site Scripting oder Injection Angriffe werden somit auf allen Kanälen relevant. Von den OWASP Top 10 und Content Filtering haben viele API Gateways leider noch nie etwas gehört.
APIs brauchen Access Management
Natürlich ist Content Filtering für den Schutz von APIs sehr wichtig. Der allerwichtigste Grund für den Einsatz von API Gateways ist allerdings Access Control [1]. Der Zugriff auf APIs muss mittels Standards wie OAuth 2.0, OpenID Connect und SAML abgesichert werden können. Dazu gehört nicht nur die technische Autorisierung von «Clients», also z.B. einer App, sondern insbesondere auch die Benutzer-Authentisierung. Dies wiederum erfordert eine Integration mit dem Web Single Sign-On und dem Identity und Access Management (IAM).
IAM und die Kunden
Die Identitäten, von denen hier die Rede ist, sind sehr heterogen und umfassen eine Vielzahl «externer» Identitäten, wie beispielsweise Kunden oder Partner. Im Unterschied zu Workforce-IAM Systemen sind sogenannte Customer IAM (cIAM) Systeme besser auf die Verwaltung von solchen externen Benutzern ausgelegt. cIAM Systeme bieten einfache Skalierbarkeit mit grossen Benutzerzahlen und eine nahtlose User Experience durch optimierte und integrierte UIs für Onboarding und User Self-Services. Der Umgang mit Social Identities (BYOI) und eine hohe Flexibilität beim Authentisierungsvorgang (Adaptive Authentisierung) sind hier entscheidend.
Airlock SAH - Mehr als die Summe seiner Teile
Nun, wohin führt das alles? WAFs müssen also APIs schützen, API Gateways wiederum müssen Web Security lernen, APIs brauchen Access Control und die Benutzer, die daherkommen lassen sich schlecht mit herkömmlichen Enterprise IAM Systemen verwalten. Zudem wissen wir alle um die Nachteile von «Spot Solutions», die nicht über den eigenen Tellerrand blicken und viele Lücken an den Übergängen offen lassen.
Der Airlock Secure Access Hub integriert diese Anforderungen in einer abgestimmten und kohärenten Lösung, bestehend aus einer WAF, einem API Gateway und einem Customer IAM System. Viele Security Experten sind mittlerweile überzeugt, dass dies die richtige und zukunftsweisende Architektur für nachhaltige IT-Sicherheit ist.
Mehr über den Secure Acces Hub
Verkrustete Organisationsstrukturen - Ein unerwartetes Hindernis
Ein weiteres, auf den ersten Blick eher unerwartetes Problem ist allerdings weniger technischer sondern vielmehr organisatorischer Natur. Wie kauft man einen Secure Access Hub, auf dem diverse Technologien zu einem grossen Ganzen konvergieren? Heute ist die Verantwortung für diese Themen meist in unterschiedlichen Abteilungen angesiedelt, wie z.B. bei der IT Infrastruktur, dem Netzwerkbetrieb, dem CISO, der Benutzeradministration, oder gar beim Marketing. Die Nutzen eines integrierten Ansatzes, wie beispielsweise tiefere TCO und schnellere Time-to-Market spürt wiederum das Business, welches meist nicht in die Beschaffung von IT Security involviert ist.
Doch eigentlich wussten wir das bereits: Die Digitalisierung verändert nicht nur Technologien sondern umfasst auch Business Prozesse und löst verkrustete Organisationsstrukturen auf. Grössere Flexibilität, Kollaboration und Agilität ist gefragt. Der Ball liegt damit nicht zuletzt bei Ihnen. Ist Ihr Unternehmen bereit für die integrierte IT-Security der Zukunft?
[1] Critical Capabilities for Full Life Cycle API Management, Gartner, 2018
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.
Einen Kommentar schreiben
Kommentarfunktion geschlossen