Thought Leadership
Durch die Digitalisierung steigen die Cyber-Attacken auf Applikationen und Webservices rasant. Nur die Kombination von Identity & Access Management mit einer Web Application Firewall und API Security bietet verlässlichen Schutz gegen Angriffe auf der Applikationsebene.
In Zeiten der Digitalisierung werden mehr und mehr Applikationen, APIs, Daten und Identitäten über die Grenzen der Unternehmens-IT hinaus exponiert. Waren es früher nur Webseiten, die mit der internen IT kommunizierten, so sind es heute je nach Digitalisierungsgrad Web-Applikationen, mobile Applikationen, eigene APIs oder fremde APIs mit externen Identitäten von Kunden, Partnern oder Dingen (IoT).
Die größten Herausforderungen auf dem Weg zum digitalen Unternehmen sind dabei IT-Sicherheit, Agilität und Flexibilität. Wird die IT-Sicherheit vernachlässigt, geht das Unternehmen ein großes Risiko ein und legt keine gesunde Basis für seine Digitalisierung, die Schnelligkeit, Effizienz, Benutzerfreundlichkeit, Ausfallssicherheit und natürlich Schutz der Daten, Identitäten, Applikationen und Services erfordert.
Laut einer Studie von DHS Verizon zielen 90 Prozent aller böswilligen Angriffe auf den Application Layer ab. Mit einem vorgelagerten Security Layer wie der Airlock Suite kann nicht nur die Security gewährleistet werden, sondern auch die Agilität, Usability und Verfügbarkeit erheblich gesteigert werden.
Schutz für Webapplikationen, APIs, Identitäten und Daten
Für den notwendigen Applikationsschutz benötigen Unternehmen eine Web Application Firewall, denn klassische Netzwerk-Firewalls schützen nicht gegen Angriffe auf der Applikationsebene. Airlock WAF bietet darüber hinaus spezialisierte Funktionen für API Security, wie beispielsweise eine automatische Validierung von Zugriffen gegenüber formalen Spezifikationen. Zusätzlich zum Filterschutz muss sichergestellt werden, dass nur (stark) authentisierte und autorisierte Identitäten Zugriff auf sensitive Unternehmensdaten erhalten. Dies kann durch ein Customer Identity und Access Management (cIAM) System wie Airlock IAM sichergestellt werden. Erst die vorgelagerte Kombination aus Authentisierungsplattform (cIAM), API Sicherheit und WAF nimmt Angreifern den Wind aus den Segeln und schützt Anwendungen und Webservices effektiv vor den bekannten OWASP Top 10 Bedrohungen.
Lesen Sie nach wie Sie sich optimal vor den OWASP Top 10 schützen -> OWASP Top 10
Bild 1: Mit standardisierten, vorgelagerten Security-Services lassen sich digitale Prozesse auf einem gesicherten Fundament skalieren und agil weiterentwickeln. (Bildquelle: Airlock by Ergon)
Was sind die Vorteile eines vorgelagerten Security Layers für die Digitalisierung?
Kosten-Effizienz
Mit standardisierten, vorgelagerten Security-Services lassen sich digitale Prozesse auf einem gesicherten Fundament skalieren und agil weiterentwickeln. So können Kosten bei der Anwendungsentwicklung reduziert werden und der Fokus kann auf der Erfüllung des Zwecks der Applikation bleiben. Applikationsentwickler müssen Security und Authentisierung nicht in jeder Applikation neu implementieren und bei Änderungen in jeder einzelnen Applikation wieder anpassen. Applikationen können so kostengünstiger und sicherer entwickelt und bei neuen Schwachstellen schneller geschützt werden. Durch Implementierung eines vorgelagerten Security Layers aus einer Hand wie der Airlock Suite wird auch die Infrastruktur deutlich vereinfacht. Es braucht keine Einzellösungen für Security, Authentifizierung, SSO, MFA oder Load Balancing.
Time-To-Market
Im Zuge der Digitalisierung ist die Time-To-Market ein entscheidender Faktor. Unternehmen versuchen das Versäumte schnell nachzuholen und neue Services vor der Konkurrenz anzubieten. Es geht vor allem um Schnelligkeit, wie Klaus Schwab, Gründer und Executive Chairman des World Economic Forums meinte: „In the new world, it is not the big fish which eats the small fish, it’s the fast fish which eats the slow fish.“ Entsprechend macht es Sinn, Security und Authentisierung in bestehende DevOps Pipelines zu integrieren. DevSecOps (Development, Security, Operations) beschreibt die Denkweise, Sicherheit in die Entwicklung und den Betriebslebenszyklus zu integrieren: Es hilft der Entwicklungsabteilung, Ziele agil, effizient und schnell zu erreichen und der Unternehmensleitung bei der Erfüllung der Digitalisierungsanforderungen.
Benutzerfreundlichkeit
Die Digitalisierung erfordert von Unternehmen auch den Fokus auf den Kunden. Entsprechend muss die Benutzerfreundlichkeit höchsten Stellenwert genießen. Der Kunde erwartet eine einfache intuitive Nutzung der Services. Dafür ist das Bereitstellen von User Self-Services essentiell. Der Kunde will selbst ein Passwort zurücksetzen oder Angaben zu seiner Person ändern. Die Benutzer Self-services erleichtern ebenso die Umsetzung der Anforderungen der DSGVO. Der Anmeldeprozess auf der Plattform sollte auch die Gratwanderung zwischen Sicherheit und Benutzerfreundlichkeit unterstützen. Hier helfen Single Sign-on (einmalige Anmeldung) sowie Step-up bzw. Adaptive Authentication. Diese erlaubt die Stärke der Authentifizierung je nach Risikograd automatisch zu wählen.
Bild 2: User Self-Services sollten den ganzen Lebenszyklus der digitalen Identität umfassen. (Bildquelle: Airlock by Ergon)
Verfügbarkeit
Die Verfügbarkeit der Applikationen ist für Kunden ebenso wie für das Unternehmen essentiell. Durch den vorgelagerten Security Layer müssen sich die Services und Applikationen nur noch um den positiven und nicht-kritischen Traffic kümmern, da alles andere bereits ausgefiltert ist. Zusätzlich bietet Airlock WAF mit Load-Balancing und Failover-Funktionen hohe Verfügbarkeit.
Fazit: verlässlicher Schutz gegen Bedrohungen und Angriffe
Die Integration von cIAM, WAF und API Security bietet verlässlichen Schutz gegen Angriffe auf der Applikationsebene. Die Airlock Suite bietet eine integrierte Lösung, die sich vorgelagert und zentral um sie Sicherheit ihrer Digitalisierungsstrategie kümmert. Damit kriegen sie den Kopf frei für ihr Business.
Der IAM-Kongress auf der it-sa 2018 in Nürnberg
Die Vortragsreihe „Erfolgreiche Umsetzung von IAM-Projekten“ mit den Experten von Airlock, TimeToAct, Beta Systems und KPMG zeigt die einzelnen Schritte zu einem erfolgreichen IAM-Projekt, präsentiert typische Meilensteine und die üblichen Stolperfallen. Weitere Informationen und Anmeldung zu den Vorträgen auf dem IAM-Kongress unter:
