Die Evolution von Web-Technologien, DevOps und das Aufkommen von Container Plattformen stellen Security Verantwortliche vor grosse Herausforderungen.
Dieser Vortrag beleuchtet die wichtigsten Aspekte, denen sie sich in Zukunft stellen müssen.
Die klassische Webapplikation hat ausgedient
Herkömmliche Webapplikationen werden immer häufiger durch moderne Single-Page-Applications (SPA) oder native mobile Apps ersetzt. WAF-Technologien, die für den Schutz einfacher HTML Seiten gebaut wurden, reichen nicht mehr aus.
Das Interaktionsparadigma zwischen Client und Server hat sich bis runter auf die Transportformate grundlegend verändert. APIs werden zum neuen Herzstück von Webapplikationen.
Herausforderung #1: Wer schützt all die APIs?
OWASP (das Open Web Application Security Project) reagiert auf diesen Trend mit einer neuen und spezialisierten Top-Ten-Liste für API-Security, welche Ende 2019 erstmals veröffentlicht wurde . Weil APIs einen viel direkteren Zugang zu Business Objekten und Ressourcen bieten, ergeben sich auch neue Risiken. Die Autorisierung beim Zugriff auf Objekte darf beispielsweise nicht dem Client überlassen werden. Obwohl SPAs den Zugriff kontrollieren mögen, sind Hacker nicht auf die Interaktion über die offizielle Oberfläche angewiesen. Sie können auch direkt mit dem API interagieren. Es wird also ein API Edge Gateway benötigt.
Herausforderung #2: Authentisierung und Access Management
Eines der wichtigsten Themen beim Schutz von Web Ressourcen ist Zugriffskontrolle. Wer darf wann auf welche Objekte zugreifen? Dafür gibt es Standards wie OAuth 2.0, OpenID Connect oder SAML, welche aber nicht zum Lieferumfang einer typischen WAF gehören. Um die vielen «w»-Fragen vernünftig zu beantworten, braucht es in erster Linie eine geeignete Authentisierungslösung, um die Identität der Benutzer festzustellen, die sich natürlich nicht bei jedem Zugriff neu einloggen wollen. Es braucht also ein Konzept für übergreifendes Single Sign-on auf dem Web- und API-Kanal. Die Identitäten, von denen hier die Rede ist, sind zudem meist heterogen und umfassen eine Vielzahl «externer» Benutzer, wie beispielsweise Kunden oder Partner.
Sogenannte cIAM (Consumer IAM) Systeme bieten hier ihre Dienste an. Sie sind optimiert für grossen Benutzerzahlen und bieten eine gute User Experience durch integrierte UIs für User-Onboarding und Self-Services. Der Umgang mit Social Identities (BYOI) und eine hohe Flexibilität beim Authentisierungsvorgang (Adaptive Authentisierung) sind hier entscheidend. Auch die starke Authentifizierung ist sollte hier mitbedacht werden, am besten vollintegriert im cIAM.
Herausforderung #3: Micro Segmentation und DevOps
WAFs müssen sich nicht nur auf der funktionalen Ebene neu erfinden. Auch bezüglich Deployment Formen stellen sich neue Herausforderungen. Mit dem Aufkommen von Microservice-Architekturen und DevOps werden grosse zentrale WAF Installationen zunehmend in Frage gestellt. Die notwendige Koordination zwischen Anwendungsverantwortlichen, WAF-Administratoren, Entwicklern und dem Security Team führt zu Effizienzverlusten und Frustration.
Besser wäre es, wenn diese Aufgaben entlang der zu schützenden Services segmentiert werden könnten. Konkret müssten DevOps Teams die Verantwortung für ihre Services ganzheitlich, d.h. inklusive Security, und von der ersten Minute an bis in die Produktion übernehmen können. Damit dies überhaupt möglich wird, müssen WAFs als leichtgewichtige Container zur Verfügung stehen, die sich flexibel auf Kubernetes oder OpenShift vor einzelne Services schnallen lassen. Die zentrale Security Appliance garantiert in diesem Modell die Basis-Sicherheit. Integrationsaufgaben und Erarbeitung der Security Policies werden nahe beim Service von den Spezialisten mit Detailkenntnissen der zu schützenden Services erfüllt.
Ein Votum für eine integrierte Lösung.
Eine moderne Application Security Lösung sollte all diese Anforderungen erfüllen können.
(Ergon Airlock)
