Nachricht schreiben

Sie haben keinen Betreff angegeben, möchten Sie die Nachricht ohne Betreff versenden?
Bitte beachten Sie, dass Ihre Nachricht maximal 1000 Zeichen lang sein darf

Ihre Nachricht wurde gesendet

Sie finden die Nachricht jetzt in Ihrem persönlichen Bereich unter „Meine Nachrichten“.

Es ist ein Fehler aufgetreten

Bitte versuchen Sie es nochmal.

Termin vereinbaren

Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.

it-sa 365: Header Desktop Ergon
  • Management-Vortrag
  • Management I
  • Cloud Security
  • Datensicherheit / DLP / Know-how-Schutz
  • Industrie 4.0 / IOT / Edge Computing
  • Netzwerksicherheit / Patch-Management
  • SIEM Threat Analytics SOC
  • Trendthemen

Application Security - quo vadis?

Ergon Airlock: Applikationssicherheit ist mehr als nur eine Web Application Firewall. Wir zeigen Ihnen, wo die Reise hingeht.

15.06.2021 13:45:00 – 15.06.2021 14:00:00
Digital
it-sa 365: Header Desktop Ergon
  • Management-Vortrag
  • Management I

Ergon Airlock: Applikationssicherheit ist mehr als nur eine Web Application Firewall. Wir zeigen Ihnen, wo die Reise hingeht.

Sprache: Deutsch

Action beinhaltet Q&A: Ja

close

Dieses Video steht der it-sa 365 Community zur Verfügung. Bitte registrieren Sie sich oder melden Sie sich mit Ihren Login-Daten an.

Actionbeschreibung

Die Evolution von Web-Technologien, DevOps und das Aufkommen von Container Plattformen stellen Security Verantwortliche vor grosse Herausforderungen.

Dieser Vortrag beleuchtet die wichtigsten Aspekte, denen sie sich in Zukunft stellen müssen. Die klassische Webapplikation hat ausgedient Herkömmliche Webapplikationen werden immer häufiger durch moderne Single-Page-Applications (SPA) oder native mobile Apps ersetzt. WAF-Technologien, die für den Schutz einfacher HTML Seiten gebaut wurden, reichen nicht mehr aus.

Das Interaktionsparadigma zwischen Client und Server hat sich bis runter auf die Transportformate grundlegend verändert. APIs werden zum neuen Herzstück von Webapplikationen.

Herausforderung #1: Wer schützt all die APIs? OWASP (das Open Web Application Security Project) reagiert auf diesen Trend mit einer neuen und spezialisierten Top-Ten-Liste für API-Security, welche Ende 2019 erstmals veröffentlicht wurde . Weil APIs einen viel direkteren Zugang zu Business Objekten und Ressourcen bieten, ergeben sich auch neue Risiken. Die Autorisierung beim Zugriff auf Objekte darf beispielsweise nicht dem Client überlassen werden. Obwohl SPAs den Zugriff kontrollieren mögen, sind Hacker nicht auf die Interaktion über die offizielle Oberfläche angewiesen. Sie können auch direkt mit dem API interagieren. Es wird also ein API Edge Gateway benötigt.

Herausforderung #2: Authentisierung und Access Management Eines der wichtigsten Themen beim Schutz von Web Ressourcen ist Zugriffskontrolle. Wer darf wann auf welche Objekte zugreifen? Dafür gibt es Standards wie OAuth 2.0, OpenID Connect oder SAML, welche aber nicht zum Lieferumfang einer typischen WAF gehören. Um die vielen «w»-Fragen vernünftig zu beantworten, braucht es in erster Linie eine geeignete Authentisierungslösung, um die Identität der Benutzer festzustellen, die sich natürlich nicht bei jedem Zugriff neu einloggen wollen. Es braucht also ein Konzept für übergreifendes Single Sign-on auf dem Web- und API-Kanal. Die Identitäten, von denen hier die Rede ist, sind zudem meist heterogen und umfassen eine Vielzahl «externer» Benutzer, wie beispielsweise Kunden oder Partner. Sogenannte cIAM (Consumer IAM) Systeme bieten hier ihre Dienste an. Sie sind optimiert für grossen Benutzerzahlen und bieten eine gute User Experience durch integrierte UIs für User-Onboarding und Self-Services. Der Umgang mit Social Identities (BYOI) und eine hohe Flexibilität beim Authentisierungsvorgang (Adaptive Authentisierung) sind hier entscheidend. Auch die starke Authentifizierung ist sollte hier mitbedacht werden, am besten vollintegriert im cIAM.

Herausforderung #3: Micro Segmentation und DevOps WAFs müssen sich nicht nur auf der funktionalen Ebene neu erfinden. Auch bezüglich Deployment Formen stellen sich neue Herausforderungen. Mit dem Aufkommen von Microservice-Architekturen und DevOps werden grosse zentrale WAF Installationen zunehmend in Frage gestellt. Die notwendige Koordination zwischen Anwendungsverantwortlichen, WAF-Administratoren, Entwicklern und dem Security Team führt zu Effizienzverlusten und Frustration. Besser wäre es, wenn diese Aufgaben entlang der zu schützenden Services segmentiert werden könnten. Konkret müssten DevOps Teams die Verantwortung für ihre Services ganzheitlich, d.h. inklusive Security, und von der ersten Minute an bis in die Produktion übernehmen können. Damit dies überhaupt möglich wird, müssen WAFs als leichtgewichtige Container zur Verfügung stehen, die sich flexibel auf Kubernetes oder OpenShift vor einzelne Services schnallen lassen. Die zentrale Security Appliance garantiert in diesem Modell die Basis-Sicherheit. Integrationsaufgaben und Erarbeitung der Security Policies werden nahe beim Service von den Spezialisten mit Detailkenntnissen der zu schützenden Services erfüllt. Ein Votum für eine integrierte Lösung.

Eine moderne Application Security Lösung sollte all diese Anforderungen erfüllen können. (Ergon Airlock)

mehr lesen

Speaker

Mehr anzeigen

Event

Diese Action ist Teil des Events IT Security Talks Juni 2021

Veranstalter