Ergon Airlock Header
  • Product Presentation
  • Management II
  • Cloud Security
  • Datensicherheit/DLP/Know-how-Schutz
  • Industrie 4.0/IOT/Edge Computing
  • Netzwerksicherheit/Patch-Management
  • SIEM Threat Analytics SOC
  • Trendthemen

Application Security - quo vadis?

Ergon Airlock: Applikationssicherheit ist mehr als nur eine Web Application Firewall. Wir zeigen Ihnen, wo die Reise hingeht.

07.10.2020 13:15:00 – 07.10.2020 13:30:00

Bitte loggen Sie sich ein oder registrieren Sie sich vorab, damit Sie an Actions teilnehmen, oder Videos zur Action anschauen können!

Diese Action steht der it-sa 365 Community als Video zur Verfügung.

Ergon Airlock Header
  • Product Presentation
  • Management II

Ergon Airlock: Applikationssicherheit ist mehr als nur eine Web Application Firewall. Wir zeigen Ihnen, wo die Reise hingeht.

Sprache: German

Action beinhaltet Q&A: Ja

graphical blue background
close

Dieses Video steht der it-sa 365 Community zur Verfügung. Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.

Actionbeschreibung

Die Evolution von Web-Technologien, DevOps und das Aufkommen von Container Plattformen stellen Security Verantwortliche vor grosse Herausforderungen. Dieser Vortrag beleuchtet die wichtigsten Aspekte, denen sie sich in Zukunft stellen müssen.
Die klassische Webapplikation hat ausgedient
Herkömmliche Webapplikationen werden immer häufiger durch moderne Single-Page-Applications (SPA) oder native mobile Apps ersetzt. WAF-Technologien, die für den Schutz einfacher HTML Seiten gebaut wurden, reichen nicht mehr aus. Das Interaktionsparadigma zwischen Client und Server hat sich bis runter auf die Transportformate grundlegend verändert. APIs werden zum neuen Herzstück von Webapplikationen.
Herausforderung #1: Wer schützt all die APIs?
OWASP (das Open Web Application Security Project) reagiert auf diesen Trend mit einer neuen und spezialisierten Top-Ten-Liste für API-Security, welche Ende 2019 erstmals veröffentlicht wurde . Weil APIs einen viel direkteren Zugang zu Business Objekten und Ressourcen bieten, ergeben sich auch neue Risiken. Die Autorisierung beim Zugriff auf Objekte darf beispielsweise nicht dem Client überlassen werden. Obwohl SPAs den Zugriff kontrollieren mögen, sind Hacker nicht auf die Interaktion über die offizielle Oberfläche angewiesen. Sie können auch direkt mit dem API interagieren. Es wird also ein API Edge Gateway benötigt.
Herausforderung #2: Authentisierung und Access Management
Eines der wichtigsten Themen beim Schutz von Web Ressourcen ist Zugriffskontrolle. Wer darf wann auf welche Objekte zugreifen? Dafür gibt es Standards wie OAuth 2.0, OpenID Connect oder SAML, welche aber nicht zum Lieferumfang einer typischen WAF gehören. Um die vielen «w»-Fragen vernünftig zu beantworten, braucht es in erster Linie eine geeignete Authentisierungslösung, um die Identität der Benutzer festzustellen, die sich natürlich nicht bei jedem Zugriff neu einloggen wollen. Es braucht also ein Konzept für übergreifendes Single Sign-on auf dem Web- und API-Kanal. Die Identitäten, von denen hier die Rede ist, sind zudem meist heterogen und umfassen eine Vielzahl «externer» Benutzer, wie beispielsweise Kunden oder Partner.
Sogenannte cIAM (Consumer IAM) Systeme bieten hier ihre Dienste an. Sie sind optimiert für grossen Benutzerzahlen und bieten eine gute User Experience durch integrierte UIs für User-Onboarding und Self-Services. Der Umgang mit Social Identities (BYOI) und eine hohe Flexibilität beim Authentisierungsvorgang (Adaptive Authentisierung) sind hier entscheidend. Auch die starke Authentifizierung ist sollte hier mitbedacht werden, am besten vollintegriert im cIAM.
Herausforderung #3: Micro Segmentation und DevOps
WAFs müssen sich nicht nur auf der funktionalen Ebene neu erfinden. Auch bezüglich Deployment Formen stellen sich neue Herausforderungen. Mit dem Aufkommen von Microservice-Architekturen und DevOps werden grosse zentrale WAF Installationen zunehmend in Frage gestellt. Die notwendige Koordination zwischen Anwendungsverantwortlichen, WAF-Administratoren, Entwicklern und dem Security Team führt zu Effizienzverlusten und Frustration.
Besser wäre es, wenn diese Aufgaben entlang der zu schützenden Services segmentiert werden könnten. Konkret müssten DevOps Teams die Verantwortung für ihre Services ganzheitlich, d.h. inklusive Security, und von der ersten Minute an bis in die Produktion übernehmen können. Damit dies überhaupt möglich wird, müssen WAFs als leichtgewichtige Container zur Verfügung stehen, die sich flexibel auf Kubernetes oder OpenShift vor einzelne Services schnallen lassen. Die zentrale Security Appliance garantiert in diesem Modell die Basis-Sicherheit. Integrationsaufgaben und Erarbeitung der Security Policies werden nahe beim Service von den Spezialisten mit Detailkenntnissen der zu schützenden Services erfüllt.
Ein Votum für eine integrierte Lösung
Eine moderne Application Security Lösung sollte all diese Anforderungen erfüllen können.
(Ergon Airlock)

mehr lesen

Speaker

Veranstalter