API Sicherheit

Webservices werden oft von mobilen Applikationen direkt angebunden und bilden kritische Komponenten in föderierten Architekturen. Airlock WAF und IAM bieten einen ganzheitlichen Ansatz für umfassende API Sicherheit.

Airlock WAF
RESTful Webservices benutzen meist das JSON Format für Datentransfer. Der integrierte JSON Parser von Airlock WAF ermöglicht es, für herkömmliche Webapplikationen und REST APIs eine einheitliche Sicherheitspolicy zu definieren. Zudem bietet Airlock WAF eine patentierte1) dynamische Whitelisting Technik namens DyVE (Dynamic Value Endorsement). Mittels DyVE können während einer Benutzersession dynamisch Attributwerte erlaubt werden, die nur für die jeweilige Session gültig sind. Nachfolgende REST Calls müssen sich an die erlaubten Werte halten. Für eine Online Banking Applikation lässt sich DyVE beispielsweise einsetzen um bei Transaktionen nur Kontonummern zu erlauben, die zuvor vom Server zur Verfügung gestellt wurden.
Mobile Clients können typischerweise nicht mit Cookies umgehen, die in herkömmlichen Webapplikationen für sicheres Session Handling eingesetzt werden. Um Sessions von mobilen Applikationen zu schützen, unterstützt Airlock WAF Session Management anhand von Access Tokens (z.B. Bearer Tokens).
Der SOAP/XML Filter für Airlock WAF kann zudem WSDL und Schema Dateien interpretieren um sicherzustellen, dass ein Webservice API in der korrekten Art und Weise aufgerufen wird.

Airlock IAM
Airlock IAM ermöglicht zentrale Authentisierung und Autorisierung für mobile Applikationen und andere Webservice-Clients durch die Unterstützung von Standards wie OAuth und OpenID Connect. Airlock IAM kann Benutzeridentitäten in diverse Formate übersetzen und abhängig von der Zielapplikation unterschiedlich weitergeben, z.B. mittels JWT oder SAML. Darüber hinaus bietet Airlock IAM ein eigenes REST API für Benutzerauthentisierung, welches direkt in individuelle mobile Applikationen integriert werden kann.

Highlights

  • Schutz von REST and SOAP webservices
  • Eingebaute Unterstützung von JSON
  • OAuth 2.0 und OpenID Connect
  • Dynamic Value Endorsement (DyVE)
  • Session Management basierend auf Access Tokens
  • REST API für Benutzerauthentisierung

1)  Schweizer Patentanmeldung für DyVE eingereicht