InfoGuard Cyber Security & Cyber Defence Blog

Disrupt or be disrupted – WAF und die digitale Transformation

Geschrieben von Michelle Gehri | 19. Aug 2019

Disrupt or be disrupted: So in etwa lautet das Motto der digitalen Transformation. Kein Bereich mehr, der nicht davon betroffen ist – auch nicht in der Cyber Security. «Digitalisierung» mag für viele inzwischen eher zu einem Buzzword verkommen sein. Wenn man sich den Stand einiger Web-Technologien anschaut wird jedoch klar, dass es hier noch eine Menge zu tun gibt. Wie sich Web Application Firewalls (WAF) der Digitalisierung angepasst haben, erfahren Sie in diesem Beitrag.

In der Digitalisierung geht es längst nicht mehr um das «Warum», sondern um das «Wie» und somit um die operative Umsetzung. Dass es dafür keine Einheitslösung gibt, ist wohl selbsterklärend. Umso wichtiger ist es, dass Technologien der Digitalisierung gerecht werden und somit die notwendigen Ressourcen für den Wandel vorhanden sind. Schön und gut, aber wie sieht es in der IT Security und spezifisch im Bereich der Web Application Firewalls (WAF) aus?

Digitalisierung durch integrierte IT-Sicherheitslösungen

Mehr und mehr Applikationen, APIs, Daten und Identitäten werden aufgrund der Digitalisierung über die Grenzen der Unternehmens-IT hinaus exponiert. So kommunizieren heutzutage beispielsweise nicht mehr nur Webseiten mit der internen IT, sondern auch fremde APIs mit Identitäten von Kunden oder IoT-Geräten. IT-Sicherheitslösungen müssen sich daher der zunehmenden Komplexität anpassen können und einfach skalierbar sein. Der Trend geht hier in Richtung einer integrierten IT-Sicherheitslösung. Der Vorteil: die Konvergenz von Application Security, API Protection und Access Management.

WAF, API und IAM als integrierte Lösung

Vorteile ziehen aber immer auch Herausforderungen mit, denn einerseits müssen WAFs APIs schützen und andererseits müssen APIs Web Security lernen. Hinzu kommt, dass APIs einen Access Control benötigen und die Benutzer sich nur noch schlecht mit den herkömmlichen Enterprise IAM-Systemen verwalten lassen. Doch wie löst man dieses Problem? Relativ einfach: Durch integrierte Systeme mit intelligenten Schnittstellen, bei denen einzelne Komponenten kohärent aufeinander abgestimmt und lose Enden miteinander verknüpft sind. Oder technisch ausgedrückt: Ein sicheres Access Management braucht eine konvergente Lösung, bestehend aus einer WAF, einem API Gateway und einem Customer IAM System (CIAM).

5 Herausforderungen von WAF und der digitalen Transformation

Mit konvergierenden Technologien ein kohärentes Sicherheits-Ökosystem aufzubauen, bringt – wie bereits erwähnt – einige Herausforderungen mit sich. So müssen beispielsweise auch Mitarbeitende, Kunden, Partner, IoT-Geräte usw. bei der Planung und Umsetzung berücksichtigt werden. Auf folgende fünf Herausforderungen sollten Sie dabei vorbereitet sein:

  1. WAFs müssen dazu lernen: Im Gegensatz zu vor zehn Jahren, sind Web Application Firewalls heutzutage nicht mehr wegzudenken aus der Unternehmens-IT. Und trotzdem entsprechen die heutigen Systeme nicht den Anforderungen der Digitalisierung – Stichwort User Experience und die Vernetzung von Services. Die Folge: Herkömmliche Webapplikationen sterben aus. Moderne Applikationen sind Rich-Clients, die im Browser laufen und meist eigene Services und solche von Drittanbietern integrieren (APIs). Diese Application Programming Interfaces nutzen jedoch andere Datenformate als herkömmliche Webapplikationen. Das bedeutet, dass neue Technologien für den Schutz von APIs benötigt werden.

  2. API Security nicht ohne Web Security: An die API Gateways werden neue Anforderungen gestellt ähnlich einer WAF, wobei Themen wie Web Security – beispielsweise OWASP Top 10 – ebenfalls relevant werden. Denn traditionelle XML Gateways können die neuen Web Services nur teilweise absichern. Diese kommunizieren meist unter ihresgleichen: den SOAP Webservices Simple Object Access Protocol). Doch immer öfters werden REST Webservices eingesetzt (Representational State Transfer). Diese sind agiler und besser geeignet für Geräte mit eingeschränktem Profil, zum Beispiel Mobilgeräte. Da sich die Webservices auch in anderen Punkten stark unterscheiden, müssen moderne API Gateways in Bezug auf die digitale Transformation und Web Security den unterschiedlichen Anforderungen gerecht werden.

  3. Access Management von APIs: API Gateways werden insbesondere beim Access Control eingesetzt, wobei Content Filtering sehr wichtig ist. Zur Absicherung werden Standards wie OAuth 2.0, SAML und OpenID Connect verwendet. Neben der technischen Autorisierung von Clients gehört aber auch die Benutzeridentifizierung dazu. Das wiederum erfordert eine Integration von Web Single Sign-On und Identity & Access Management (IAM).

  4. Identity & Access Management und Kunden: Das Identity-Management ist sehr komplex und umfasst eine Vielzahl von externen Identitäten wie beispielsweise Kunden oder Partner. Diese müssen nicht nur gemanagt werden, sondern unterliegen auch regulatorischen Vorschriften wie der DSGVO oder der Zahlungsdienst-Richtlinie PSD2. Daher muss der Zugriff stark authentisiert erfolgen. Die Lösung hierfür lautet Customer Identity & Access Management (CIAM). Im Unterschied zu Enterprise-IAM-Systemen sind diese besser auf die Verwaltung externer Benutzer ausgelegt. Sie lassen sich einfach skalieren und garantieren eine nahtlose User Experience durch integrierte UIs für Onboarding und Self-Services. Entscheidend sind dabei der Umgang mit Social Identities (BYOI; Bring Your Own Identity) und eine hohe Flexibilität bei der adaptiven Authentisierung.

  5. Organisationsstrukturen – Kampf dem Silodenken: Neben den technischen Herausforderungen haben beinahe alle Bereiche eines gemein: die organisatorischen Hindernisse – allen voran das berühmt berüchtigte Silodenken in Unternehmen. Dadurch ergeben sich neue Fragen, Flexibilität ist gefordert und ein Umdenken ist notwendig. So müssen Sie beispielsweise wissen, welche Person Ansprechpartner und Entscheider ist – der CISO, da es Security-Themen betrifft? Oder doch eher das Management, weil integrierte Lösungen einen tieferen TCO und ein schnelleres Time-to-Market sicherstellen? Muss das Marketing miteinbezogen werden aufgrund von Themen wie Userführung und Absprungraten? Obschon es keine Standard-Antwort gibt – holistisches Denken und somit die Betrachtung aus mehreren Perspektiven wird auch in der IT Security immer wichtiger. Denn die digitale Transformation bedeutet nicht nur ein technischer Wandel, sondern verändert auch Business-Prozesse, Organisationsstrukturen sowie das Verhalten von Kunden, Mitarbeitenden und Partnern.

Airlock Secure Access Hub – integrierte IT-Sicherheitslösung aus einem Guss

Um mit der schnelllebigen digitalen Transformation in den genannten Bereichen mitzuhalten, braucht es innovative Lösungen. Unser Schweizer Partner und Marktführer Ergon Airlock bietet hierzu breit diversifizierte Lösungen in den Bereichen WAF, IAM und API – darunter «Secure Access Hub». Der Secure Access Hub führt dabei die drei Komponenten Zugriffsverwaltung, Schutz von Schnittstellen und Applikationen auf einer Plattform zusammen.

  1. Das API Gateway auf dem Secure Access Hub von Airlock ist dabei ein Reverse-Proxy mit Failover- und Load-Balancing-Funktionen, bietet ein Filter-Arsenal für Web Security und ermöglicht eine rollenbasierte Zugriffsautorisierung für API Endpoints.

  2. Die Airlock WAF blockiert Angriffe, bevor sich ein Angreifer Zugang auf interne Systeme ver-schaffen kann, bietet ein zentrales Management der Security Policies, sorgt dank dem integrierten Load Balancer für Hochverfügbarkeit und wickelt Zertifikatserneuerungen durch die Let’s-Encrypt-Funktion automatisch ab.

  3. Als dritte Komponente ermöglicht Airlock IAM eine grosse Skalierung der Benutzerzahlen, was eine hohe Flexibilität beim Authentisierungsvorgang und den Umgang mit Social Identities ermöglicht. Ausserdem ist das Identity & Access Management von Airlock mit verschiedenen Lösungen kompatibel und kann beispielsweise mittels E-Mail OTP, Mobile TAN, Passwort usw. verwendet werden.

Der Airlock Secure Access Hub ist alles in Allem eine mehr als überzeugende Lösung, mit der Sie nicht nur Ihre WAF in Bezug auf die digitale Transformation fit machen, sondern auch Ihr API und IAM.

[Whitepapers] IT-Sicherheitslösungen & 7 Denkfehler beim Thema Web Application Security

Sie wollen mehr zum Thema IT-Sicherheitslösungen und dem Secure Access Hub von Airlock erfahren? Dann downloaden Sie jetzt kostenlos das Whitepaper «IT-Sicherheitslösungen – vom Spielverderber zum Beschleuniger der Digitalisierung». Darin erfahren Sie nicht nur mehr über die Herausforderungen von integrierten IT-Sicherheitslösungen, sondern auch über die Vorteile und einem Best Practice der Raiffeisen Bank. Gleichzeitig erhalten Sie zusätzlich das Whitepaper von Airlock zum Thema «Die 7 klassischen Denkfehler beim Thema Web Application Security». Lesen Sie, welche Fehleinschätzungen (zu) häufig gemacht werden und auch, wie es richtig geht. Jetzt downloaden!

 

Bildquelle: Ergon Airlock