•  

Eine kohärente Gesamtlösung - Airlock Secure Access Hub

Dr. Martin Burkhart, Head of Product Management

Die digitale Transformation erfasst immer mehr Branchen und beschleunigt auch die Evolution von Web-Technologien. Innerhalb weniger Jahre werden frühere Vorzeigeprojekte zu Legacy-Systemen. Diese Entwicklung macht auch vor Sicherheitslösungen nicht Halt. Der Trend zeigt klar in Richtung einer Konvergenz von Application Security, API Protection und Access Management.

Web Application Firewalls müssen dazu lernen

Noch vor zehn Jahren mussten wir unsere Kunden in mühsamer Kleinarbeit vom Konzept einer Web Application Firewall (WAF) überzeugen und erklären, wie sich diese von herkömmlichen Netzwerk-Firewalls unterscheiden. Heute ist der WAF Markt global, milliardenschwer und hochkompetitiv. Doch bereits gibt es Anzeichen für bevorstehende Verwerfungen. Gestiegene Anforderungen an die User Experience sowie eine zunehmende Vernetzung von Services lassen herkömmliche Webapplikationen, für welche WAFs entwickelt wurden, aussterben. Moderne Applikationen sind Rich-Clients, die im Browser laufen und meist hauseigene Services sowie Services von Drittanbietern integrieren. Diese Services - oder APIs - werden meist als RESTful Webservices entwickelt und benutzen andere Datenformate als herkömmliche Webapplikationen. Für den Schutz dieser APIs braucht es neue Technologien, da sich das Interaktionsparadigma zwischen Client und «Server» grundlegend verändert hat.

 

Abbildung 1: Im Airlock Secure Access Hub konvergieren verschiedene Security Technologien.

API Security bedeutet auch Web Security

Traditionelle XML Gateways sind allerdings nur bedingt tauglich um den neuen Typus von Webapplikationen abzusichern. Diese sind meist auf SOAP Webservices ausgelegt, welche vor allem unter ihresgleichen kommunizieren, Enterprise Service Busse benötigen und im Korsett hochkomplexer Standards gefangen sind. Dies passt schlecht zur schönen neuen REST Welt, die durch Agilität und Leichtgewichtigkeit geprägt ist.

Weitaus relevanter ist allerdings, dass moderne APIs von ganz unterschiedlichen Clients genutzt werden: herkömmliche Webapplikationen, Browser-basierte Rich-Clients, native und hybride Smartphone Apps, «Things» und anderen Softwaresystemen. Dies hat zur Folge, dass interne APIs plötzlich im Internet exponiert sind. Damit stellen sich an den API Gateway Anforderungen, die ähnlich sind zu denen einer WAF und Web Security Themen wie die OWASP Top 10 werden auf allen Kanälen relevant. Von Content Filtering haben viele API Gateways aber leider noch nie etwas gehört.

APIs brauchen Access Management

Natürlich ist Content Filtering für den Schutz von APIs sehr wichtig. Der allerwichtigste Grund für den Einsatz von API Gateways ist allerdings Access Control [1]. Der Zugriff auf APIs muss mittels Standards wie OAuth 2.0, OpenID Connect und SAML abgesichert werden können. Dazu gehört nicht nur die technische Autorisierung von «Clients», also z.B. einer App, sondern insbesondere auch die Benutzer-Authentisierung. Dies wiederum erfordert eine Integration mit dem Web Single Sign-On und dem Identity und Access Management (IAM).

IAM und die Kunden

Die Identitäten, von denen hier die Rede ist, sind sehr heterogen und umfassen eine Vielzahl «externer» Identitäten, wie beispielsweise Kunden oder Partner. Ein Paradebeispiel dafür wohin die Reise geht, ist die EU-weite PSD2 Richtlinie. PSD2 verlangt von Banken, APIs für Kontoeinsicht und Zahlungen zur Verfügung zu stellen, die von hunderten sogenannter Payment Provider genutzt werden dürfen. Der Zugriff muss natürlich stark authentisiert erfolgen.

Im Unterschied zu Enterprise-IAM Systemen sind sogenannte Customer IAM (cIAM) Lösungen besser auf die Verwaltung von solchen externen Benutzern ausgelegt. cIAM Systeme bieten einfache Skalierbarkeit mit grossen Benutzerzahlen und eine nahtlose User Experience durch optimierte und integrierte UIs für Onboarding und Self-Services. Der Umgang mit Social Identities (BYOI) und eine hohe Flexibilität beim Authentisierungsvorgang (Adaptive Authentisierung) sind hier entscheidend.

“By 2021, 65% of new applications will be built as a mesh of multichannel apps and multigrained back-end services that communicate via APIs.” [1]

Mehr als die Summe seiner Teile

Nun, wohin führt das alles? WAFs müssen also APIs schützen, API Gateways wiederum müssen Web Security lernen, APIs brauchen Access Control und die Benutzer, die daherkommen lassen sich schlecht mit herkömmlichen Enterprise IAM Systemen verwalten. Zudem wissen wir alle um die Nachteile von «Spot Solutions», die nicht über den eigenen Tellerrand blicken und viele Lücken an den Übergängen offenlassen.

Der Airlock Secure Access Hub integriert zukünftige Anforderungen an sicheres Access Management in einer abgestimmten und kohärenten Lösung, bestehend aus einer WAF, einem API Gateway und einem Customer IAM System. Durch intelligente Schnittstellen sind die einzelnen Komponenten aufeinander abgestimmt und vormals lose Enden können verknüpft werden. Zudem bietet Airlock umfangreiche Möglichkeiten zur Automatisierung von Aufgaben, welche sich bestens für die Integration in DevOps Pipelines eignen. Aufgrund unserer mittlerweile 20-jährigen Erfahrung im Schutz von sensiblen Internet Anwendungen sind wir überzeugt, dass dies die richtige und zukunftsweisende Architektur für nachhaltige digitale Sicherheit ist.

Verkrustete Organisationsstrukturen - Ein unerwartetes Hindernis

Ein weiteres, auf den ersten Blick eher unerwartetes Problem ist allerdings weniger technischer, sondern vielmehr organisatorischer Natur. Wie kauft man einen Secure Access Hub, auf dem diverse Technologien zu einem grossen Ganzen konvergieren? Heute ist die Verantwortung für diese Themen meist in unterschiedlichen Abteilungen angesiedelt, wie z.B. bei der IT Infrastruktur, dem Netzwerkbetrieb, dem CISO, der Benutzeradministration, oder gar beim Marketing. Der Nutzen eines integrierten Ansatzes, wie beispielsweise tiefere TCO und schnellere Time-to-Market spürt wiederum das Business, welches meist nicht in die Beschaffung von IT Security involviert ist.

Doch eigentlich wussten wir das bereits: Die Digitalisierung verändert nicht nur Technologien, sondern umfasst auch Business Prozesse und löst verkrustete Organisationsstrukturen auf. Grössere Flexibilität, Kollaboration und Agilität ist gefragt.  Der Ball liegt damit nicht zuletzt bei Ihnen. Ist Ihr Unternehmen bereit für die integrierte Security der Zukunft?

Referenzen
[1] Critical Capabilities for Full Life Cycle API Management, Gartner, 2018

Opens external link in new windowhttps://airlock.com/secure-access-hub/ueberblick 

 

Diesen Artikel empfehlen