Die digitale Transformation erfasst immer mehr Branchen und beschleunigt auch die Evolution von Web-Technologien. Innerhalb weniger Jahre werden frühere Vorzeigeprojekte zu Legacy-Systemen. Diese Entwicklung macht auch vor IT-Sicherheitslösungen nicht Halt. Der Trend zeigt klar in Richtung einer Konvergenz von Application Security, API Protection und Access Management.

Web Application Firewalls müssen dazu lernen

Noch vor zehn Jahren mussten wir unsere Kunden in mühsamer Kleinarbeit vom Konzept einer Web Application Firewall (WAF) überzeugen und erklären, wie sich diese von herkömmlichen Netzwerk-Firewalls unterscheiden. Heute ist der WAF Markt global, milliardenschwer und hochkompetitiv. Doch bereits gibt es Anzeichen für bevorstehende Verwerfungen. Die herkömmlichen HTML Webapplikationen, auf welche WAFs ausgelegt sind, werden immer häufiger durch moderne Single-Page-Applications (SPA) ersetzt. SPAs bestehen aus einer Javascript-Applikation, die im Browser läuft und parallel auf viele APIs im Back-end zugreift. Diese APIs sind meist REST-basiert und nutzen JSON als Transportformat. Für den Schutz dieser APIs braucht es neue Technologien, da sich das grundlegende Interaktionsparadigma zwischen Client und «Server» verändert hat.

By 2021, 65% of new applications will be built as a mesh of multichannel apps and multigrained back-end services that communicate via APIs.

API Security heisst auch Web Security

Traditionelle API Gateways sind allerdings nur bedingt tauglich um den neuen Typus von Webapplikationen abzusichern. Diese sind meist auf SOAP Webservices ausgelegt, welche vor allem in der Machine-to-Machine Kommunikation zum Einsatz kommen, Enterprise Service Busse benötigen und im Korsett hochkomplexer Standards gefangen sind. Dies passt schlecht zur schönen neuen REST Welt, die durch Agilität und Leichtgewichtigkeit geprägt ist.

Weitaus relevanter ist allerdings, dass moderne APIs von ganz unterschiedlichen Clients genutzt werden: herkömmliche Webapplikationen, Browser-basierte SPAs, native und hybride Smartphone Apps, «Things» oder auch anderen APIs. Da nun ein internes API auch von Web-Clients angesprochen werden kann, stellen sich an den API Gateway plötzlich Anforderungen, die ähnlich sind zu denen einer WAF. IT-Security Themen wie Cross-Site Scripting oder Injection Angriffe werden somit auf allen Kanälen relevant. Von den OWASP Top 10 und Content Filtering haben viele API Gateways leider noch nie etwas gehört.

APIs brauchen Access Management

Natürlich ist Content Filtering für den Schutz von APIs sehr wichtig. Der allerwichtigste Grund für den Einsatz von API Gateways ist allerdings Access Control [1]. Der Zugriff auf APIs muss mittels Standards wie OAuth 2.0, OpenID Connect und SAML abgesichert werden können. Dazu gehört nicht nur die technische Autorisierung von «Clients», also z.B. einer App, sondern insbesondere auch die Benutzer-Authentisierung. Dies wiederum erfordert eine Integration mit dem Web Single Sign-On und dem Identity und Access Management (IAM).

IAM und die Kunden

Die Identitäten, von denen hier die Rede ist, sind sehr heterogen und umfassen eine Vielzahl «externer» Identitäten, wie beispielsweise Kunden oder Partner. Im Unterschied zu Workforce-IAM Systemen sind sogenannte Customer IAM (cIAM) Systeme besser auf die Verwaltung von solchen externen Benutzern ausgelegt. cIAM Systeme bieten einfache Skalierbarkeit mit grossen Benutzerzahlen und eine nahtlose User Experience durch optimierte und integrierte UIs für Onboarding und User Self-Services. Der Umgang mit Social Identities (BYOI) und eine hohe Flexibilität beim Authentisierungsvorgang (Adaptive Authentisierung) sind hier entscheidend.

Airlock SAH - Mehr als die Summe seiner Teile

Nun, wohin führt das alles? WAFs müssen also APIs schützen, API Gateways wiederum müssen Web Security lernen, APIs brauchen Access Control und die Benutzer, die daherkommen lassen sich schlecht mit herkömmlichen Enterprise IAM Systemen verwalten. Zudem wissen wir alle um die Nachteile von «Spot Solutions», die nicht über den eigenen Tellerrand blicken und viele Lücken an den Übergängen offen lassen.

Der Airlock Secure Access Hub integriert diese Anforderungen in einer abgestimmten und kohärenten Lösung, bestehend aus einer WAF, einem API Gateway und einem Customer IAM System. Viele Security Experten sind mittlerweile überzeugt, dass dies die richtige und zukunftsweisende Architektur für nachhaltige IT-Sicherheit ist.

 

Mehr über den Secure Acces Hub

 

Verkrustete Organisationsstrukturen - Ein unerwartetes Hindernis

Ein weiteres, auf den ersten Blick eher unerwartetes Problem ist allerdings weniger technischer sondern vielmehr organisatorischer Natur. Wie kauft man einen Secure Access Hub, auf dem diverse Technologien zu einem grossen Ganzen konvergieren? Heute ist die Verantwortung für diese Themen meist in unterschiedlichen Abteilungen angesiedelt, wie z.B. bei der IT Infrastruktur, dem Netzwerkbetrieb, dem CISO, der Benutzeradministration, oder gar beim Marketing. Die Nutzen eines integrierten Ansatzes, wie beispielsweise tiefere TCO und schnellere Time-to-Market spürt wiederum das Business, welches meist nicht in die Beschaffung von IT Security involviert ist.

Doch eigentlich wussten wir das bereits: Die Digitalisierung verändert nicht nur Technologien sondern umfasst auch Business Prozesse und löst verkrustete Organisationsstrukturen auf. Grössere Flexibilität, Kollaboration und Agilität ist gefragt. Der Ball liegt damit nicht zuletzt bei Ihnen. Ist Ihr Unternehmen bereit für die integrierte IT-Security der Zukunft?

[1] Critical Capabilities for Full Life Cycle API Management, Gartner, 2018

Blognews direkt in Ihr Postfach

Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.

Blognews abonnieren

Kommentare 0

Weitere interessante Artikel

Wir haben die Airlock Academy umgebaut!
Academy

Wir haben die Airlock Academy umgebaut!

Sicherheit konkret - 2FA in der Bankenwelt
2FA

Sicherheit konkret - 2FA in der Bankenwelt

Schutz von APIs & Reduzieren von Sicherheitsrisiken
API

Schutz von APIs & Reduzieren von Sicherheitsrisiken

Wir informieren Sie

-Unsere Whitepaper-

IT-Sicherheitslösungen

Die Digitalisierung stellt Unternehmen vor neue Herausforderungen, die weit über die IT hinausgehen. Das betrifft vor allem einen Aspekt, der heute immer wichtiger wird: Die IT-Sicherheit.

In unserem Whitepaper erfahren Sie, wie IT-Security zum Beschleuniger der Digitalisierung wird.

Kostenlos anfordern

Digitalisierung beschleunigen

Wer in der digitalen Transformation bestehen will, muss vermehrt auf Hybrid-Cloud Umgebungen umstellen. Dies erfordert neue Security Ansätze sowie ein abgestimmtes Identitäts- und Berechtigungsmanagement.

Erfahren Sie mehr dazu in unserem Whitepaper in Zusammenarbeit mit Deloitte, eperi und SHE.

Kostenlos anfordern

OWASP Top 10 für API Sicherheit

OWASP hat eine neue Top10 Liste für API Security erstellt. Die gelisteten Top 10 geben einen breiten Konsens darüber wieder, was die derzeit wichtigsten API Sicherheitsthemen sind.

In unserem Whitepaper erfahren Sie, wie unsere Airlock API die OWASP Top 10 adressiert.

Kostenlos herunterladen

Weitere Whitepaper

Zu folgenden weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern