Cyrill Osterwalder ist CEO von Visonys und Mitglied des Web Application Security Consortium (WASC).

Massnahmen im Bereich Webapplikationssicherheit werden in vielen Unternehmen aus historischen oder herstellergetriebenen Gründen heute immer noch separiert behandelt. Dies führt unmittelbar zu unnötiger Komplexität und weniger Effektivität. Um auf applikatorischer Ebene die richtigen Sicherheitsentscheidungen fällen zu können, müssen verschiedene Informationen zum richtigen Zeitpunkt am richtigen Ort verfügbar sein. Durch punktuelle, verzettelte Massnahmen in einzelnen Teilbereichen wird dies allerdings erheblich erschwert. Damit erhöht sich automatisch die Chance für den Angreifer. Im Fall von Web Application Firewalls gilt dies insbesondere für die Themen Authentisierung, Zugriffskontrolle, SSL-Terminierung, Filterung, Protokollvalidierung und Monitoring.

Ähnlich wie bei physischen Sicherheitsmassnahmen am Flughafen, wo Ticket, Pass, Gepäck und Personen eingehend überprüft werden, bevor sie ins Flugzeug gelangen, ist es bei der Webapplikationssicherheit entscheidend, sich mit beiden Fragen - also erstens, wer jemand ist, und zweitens, was er tut - vorgelagert zu beschäftigen. Im Fall einer Webapplikation oder -umgebung mit registrierten Benutzern sollte die vorgelagerte Authentisierung stets im Vordergrund stehen. Für öffentlich zugängliche Webapplikationen und -seiten hingegen ist die Filterung von Protokollen, Anfragen und Daten am wichtigsten. Da heutige Webapplikationen meistens beides beinhalten, sind technische Lösungen gefragt, die beide Themen sowohl effizient als auch umfassend abdecken.

Das einfachste Beispiel sind Applikationen mit registrierten Benutzern, die sich authentisieren müssen. Dies ist beispielsweise beim E-Banking oder auch auf Portalen von Versicherungen, Behörden oder Lieferanten üblich. Die Login-Seite ist jeweils öffentlich zugänglich und dementsprechend auch von überall her angreifbar. Zum Schutz der Login-Seite sind deshalb strenge Filterkriterien von entscheidender Bedeutung. Für den Rest der Applikation hingegen ist es wesentlich wichtiger, dass wirklich nur korrekt authentisierte Benutzer überhaupt zugreifen können. Diese zwei Herausforderungen lassen sich durch vorgelagerte Authentisierung und umfassende Filterung in einer Web Application Firewall (WAF) ideal kombinieren.

Bei den meisten Unternehmen werden die Entscheidungen für die Art der Authentisierung in erster Linie aufgrund wirtschaftlicher und betrieblicher Gründe gefällt. Zudem gibt es bei mittleren und grösseren Unternehmen oft nicht nur eine einzige Art der Authentisierung. Vielmehr kommen häufig ganz verschiedene Varianten zur Anwendung. So kommen beispielsweise starke Authentisierung für den externen Zugriff, mittlere Authentisierung für internen Zugriff oder eine separate Variante für den B2B-Kanal zum Einsatz.

Eine Web Application Firewall bietet die Möglichkeit, die Authentisierung vorgelagert zu erzwingen - hier spricht man von Authentication Enforcement - und die Prüfung selbst an den jeweiligen Authentisierungsdienst zu delegieren. Dies geschieht völlig unabhängig von der konkreten Art der Authentisierungstechnologie. Es können verschiedenste Authentisierungsvarianten und Benutzerverzeichnisse parallel und flexibel angesprochen werden - selbst kundenspezifische IAMs (Identity Access Management).

Mit der vorgelagerten Authentisierung kann ein Unternehmen zwei grosse Vorteile erreichen: Erstens sind die Applikationen vollständig vor anonymen Zugriffen geschützt. Das gilt für alle Ebenen wie TCP/IP, SSL, HTTP, Applikationsserver, Betriebssystem, Bibliotheken; Business-Logik und andere mehr. Somit können die Bedrohungen und das Angriffsrisiko für die authentisierten Applikationen um Dimensionen reduziert werden.

Zweitens ist die einmalige Anbindung der Authentisierung an die WAF wesentlich effizienter und zudem auch flexibler. Das Unternehmen kann jederzeit über die Art der Authentisierung entscheiden, ohne dabei alle Applikationen anpassen zu müssen. Bei Bedarf kann zum Beispiel auf diese Art ein Single-Sign-On mit einer PKI-Lösung (Public Key Infrastructure) implementiert werden, ohne dass die damit geschützten Applikationen überhaupt etwas von der PKI-Lösung wissen müssen. Dieser Vorteil spart dem Unternehmen direkt Geld und und steigert nachhaltig die Sicherheit. Ausserdem erhöht sich auf diese Weise die Flexibilität, weil neue Applikationen viel einfacher in die Umgebung integriert werden können.

Eine zentrale WAF, die sich als sicherer Reverse Proxy sowohl um die Authentisierung als auch um die konsequente Filterung aller Anfragen und Daten kümmert, bietet den Unternehmen zu jeder Zeit alle relevanten Informationen darüber, wer in der gesamten Webumgebung was getan hat. So ist zum Beispiel bei einem getriggerten Whitelist-Filter innerhalb einer E-Banking-Session sofort auch ersichtlich, wer den auslösenden Request geschickt hat und was dieser bestimmte Benutzer sonst auf der Applikations-Session getan hat.

Mit diesen Informationen, die nur bei einem kombinierten Ansatz von vorgelagerter Authentisierung, umfassender Filterung, SSL-Terminierung, sicherem Session Handling und weiteren Funktionen in dieser Qualität zur Verfügung stehen, gewinnen Sicherheitsverantwortliche Zeit und können proaktiv handeln.

Begriffserklärung

Eine vorgelagerte Authentisierung verhindert, dass Webserver anonymen Verbindungen ausgesetzt sind. Auf diese Weise wird die Menge der potenziellen Angreifer bereits massiv reduziert und die Applikationen werden entlastet. Zudem ermöglicht die vorgelagerte Authentisierung eine zentrale Zugriffskontrolle getrennt von der Business-Logik. Diese Tatsache erhöht die Sicherheit und reduziert gleichzeitig die Kosten. Nur authentisierte und autorisierte Verbindungen werden auf die entsprechenden Applikationsserver zugelassen.