In Zeiten der Digitalisierung wandern mehr und mehr Applikationen, APIs, Daten und Identitäten über die Grenzen der Unternehmens-IT hinaus. Waren es früher nur Webseiten, sind es jetzt je nach Digitalisierungsgrad Web-Applikationen, APIs, mobile Applikationen und Dinge von externen Identitäten wie Kunden, Partnern oder sogar anderen APIs, die mit der internen IT kommunizieren.
Die größten Herausforderungen auf dem Weg zum digitalen Unternehmen sind dabei IT-Sicherheit, Agilität und Flexibilität. Wird die IT-Sicherheit vernachlässigt, geht das Unternehmen ein großes Risiko ein und hat auch keine gesunde Basis für seine Digitalisierung gelegt. Diese erfordert Schnelligkeit, Effizienz, Benutzerfreundlichkeit, Ausfallssicherheit und natürlich Schutz der Daten, Identitäten, Applikationen und Services.
Laut DHS Verizon zielen 90 Prozent aller böswilligen Angriffe auf den Application Layer ab, um an die wertvollen Daten zu kommen. Mit einem vorgelagerten Security Layer wie der Airlock Suite kann nicht nur die Security gewährleistet werden, sondern auch die Agilität, Usability und Verfügbarkeit erheblich gesteigert werden.
Schutz für Webapplikationen, Daten und Identitäten
So benötigt ein Unternehmen einerseits eine Web Application Firewall (Airlock WAF), denn klassische Netzwerk-Firewalls schützen nicht gegen Angriffe auf der Applikationsebene. Anderseits erhalten häufig auch nicht genügend geprüfte Identitäten Zugriff auf sensitive Unternehmensdaten. Die Sicherheit der Applikation und der Daten wird erst ausreichend, wenn nicht nur der Inhalt der Anfragen geprüft wird, sondern auch die Identität. Das erledigt dann das Customer Identity und Access Management (cIAM), wie die Airlock IAM. Erst die vorgelagerte Kombination aus Authentisierungsplattform (cIAM) und WAF nimmt Angreifern den Wind aus den Segeln und schützt Anwendungen vor den bekannten OWASP Top 10 Bedrohungen.
Ein kurzes Video zeigt die wichtigsten Punkte der vorgelagerten Applikationssicherheit
Was sind die Vorteile eines vorgelagerten Security Layer für die Digitalisierung?
1. Kosten-Effizienz
Digitale Prozesse lassen sich mit standardisierten, vorgelagerten Security-Services auf einem gesicherten Fundament skalieren und agil weiterentwickeln. So können Kosten bei der Anwendungsentwicklung reduziert werden und der Fokus kann auf der Erfüllung des Zwecks der Applikation bleiben. Applikationsentwickler müssen Security und Authentisierung nicht in jeder Applikation neu implementieren und bei Änderungen in jeder einzelnen Applikation wieder anpassen. Applikationen können so kostengünstiger und sicherer entwickelt und bei neuen Vulnerabilities schneller gefixt werden. Durch Implementierung eines vorgelagerten Security Layers aus einer Hand wie der Airlock Suite wird auch die Infrastruktur deutlich vereinfacht. Es braucht keine Einzellösungen für Security, Authentifizierung, SSO, MFA oder Load Balancig.
2. Time To Market
Im Zuge der Digitalisierung ist die Time-To-Market ein entscheidender Faktor. Unternehmen versuchen das Versäumte schnell nachzuholen und Services und Anwendungen für Kunden, Partner und Mitarbeiter vor der Konkurrenz anzubieten. Es geht vor allem um Schnelligkeit, wie Klaus Schwab, Gründer und Executive Chairman des World Economic Forums meinte: „In the new world, it is not the big fish which eats the small fish, it`s the fast fish which eats the slow fish.“ Entsprechend macht es Sinn, Security und Authentisierung vorgelagert bereitzustellen und in den DevSecOps Zyklus zu integrieren. „Development, Security, Operations“ beschreibt die Denkweise, Sicherheit in die Entwicklung und den Betriebslebenszyklus zu integrieren: Es hilft der Entwicklungsabteilung, Ziele agil, effizient und schnell zu erreichen und der Unternehmensleitung bei der Erfüllung der Digitalisierungsanforderungen.
3. Benutzerfreundlichkeit
Die Digitalisierung erfordert von Unternehmen auch den Fokus auf den Kunden. Entsprechend muss die Benutzerfreundlichkeit höchsten Stellenwert genießen. Der Kunde erwartet eine einfache intuitive Nutzung der Services. Dafür ist das Bereitstellen von User Self-Services extrem wichtig. Der Kunde will selbst ein Passwort zurücksetzen oder Angaben zu seiner Person ändern. Die Benutzer Self-services erleichtern ebenso die Umsetzung der Anforderungen der DSGVO. Der Anmeldeprozess auf der Plattform sollte auch die Gradwanderung zwischen Sicherheit und Benutzerfreundlichkeit unterstützen. Hier helfen Single Sign-on (einmalige Anmeldung), Step-up Authentication, wenn höhere Sicherheit erforderlich ist oder auch Adaptive Authentication. Diese erlaubt die Stärke der Authentifizierung je nach Risikograd automatisch zu wählen.
4. Verfügbarkeit
Die Verfügbarkeit der Applikationen ist für Kunden ebenso wie für das Unternehmen essentiell. Durch den vorgelagerten Security Layer müssen sich die Services und Applikationen nur noch um den positiven und nicht-kritischen Traffic kümmern, da alles andere bereits ausgefiltert ist. Zusätzlich bietet Airlock WAF mit Load-Balancing und Failover-Funktionen hohe Verfügbarkeit.
Verlässlicher Schutz gegen Bedrohungen und Angriffe
Wenn in einer cIAM-Lösung eine WAF integriert ist, bietet die Kombination einen verlässlichen Schutz gegen Angriffe auf der Applikationsebene. Sämtlicher Traffic wird durch die WAF gefiltert. Zusätzlich überprüft die Authentisierungsplattform die Identität der Nutzer. Deren Berechtigungen und Rollen werden nahtlos an die Applikationen weitergegeben. Airlock ermöglicht somit vorgelagerte Authentisierung und stellt sicher, dass nur korrekt authentisierte Benutzer Zugriff auf die Applikation und ihre Ressourcen erhalten.
Dr. Martin Burkhart, Head of Product Management von Airlock
Airlock auf der it-sa 2018
Auf der diesjährigen it-sa in Nürnberg wird Airlock in Halle 9 am Stand 403 das Thema Applikationssicherheit und Identity & Access Management präsentieren. Weitere Informationen stehen hier.
Die Vortragsreihe „Erfolgreiche Umsetzung von IAM-Projekten“ mit den Experten von TIMETOACT, Beta Systems, KPMG und Airlock zeigt Unternehmen den Weg zu einem erfolgreichen IAM-Projekt, präsentiert die typischen Meilensteine und die üblichen Stolpersteine und definiert die Compliance-Anforderungen. Der IAM-Kongress findet am Mittwoch, 10.10.2018 von 9:00 bis 12:00 oder von 14:00 bis 17:00 Uhr statt. Aktuelle Informationen zur Vortragsreihe, zu den Referenten und zur Anmeldung.