Schutz durch Kombination

Eine Web Application Firewall bietet die Möglichkeit, die Authentisierung vorgelagert zu erzwingen - hier spricht man von Authentication Enforcement - und die Prüfung selbst an den jeweiligen Authentisierungsdienst zu delegieren. Dies geschieht völlig unabhängig von der konkreten Art der Authentisierungstechnologie. Es können verschiedenste Authentisierungsvarianten und Benutzerverzeichnisse parallel und flexibel angesprochen werden - selbst kundenspezifische IAMs (Identity Access Management).

Mit der vorgelagerten Authentisierung kann ein Unternehmen zwei grosse Vorteile erreichen: Erstens sind die Applikationen vollständig vor anonymen Zugriffen geschützt. Das gilt für alle Ebenen wie TCP/IP, SSL, HTTP, Applikationsserver, Betriebssystem, Bibliotheken; Business-Logik und andere mehr. Somit können die Bedrohungen und das Angriffsrisiko für die authentisierten Applikationen um Dimensionen reduziert werden.

Zweitens ist die einmalige Anbindung der Authentisierung an die WAF wesentlich effizienter und zudem auch flexibler. Das Unternehmen kann jederzeit über die Art der Authentisierung entscheiden, ohne dabei alle Applikationen anpassen zu müssen. Bei Bedarf kann zum Beispiel auf diese Art ein Single-Sign-On mit einer PKI-Lösung (Public Key Infrastructure) implementiert werden, ohne dass die damit geschützten Applikationen überhaupt etwas von der PKI-Lösung wissen müssen. Dieser Vorteil spart dem Unternehmen direkt Geld und und steigert nachhaltig die Sicherheit. Ausserdem erhöht sich auf diese Weise die Flexibilität, weil neue Applikationen viel einfacher in die Umgebung integriert werden können.

Eine zentrale WAF, die sich als sicherer Reverse Proxy sowohl um die Authentisierung als auch um die konsequente Filterung aller Anfragen und Daten kümmert, bietet den Unternehmen zu jeder Zeit alle relevanten Informationen darüber, wer in der gesamten Webumgebung was getan hat. So ist zum Beispiel bei einem getriggerten Whitelist-Filter innerhalb einer E-Banking-Session sofort auch ersichtlich, wer den auslösenden Request geschickt hat und was dieser bestimmte Benutzer sonst auf der Applikations-Session getan hat.

Mit diesen Informationen, die nur bei einem kombinierten Ansatz von vorgelagerter Authentisierung, umfassender Filterung, SSL-Terminierung, sicherem Session Handling und weiteren Funktionen in dieser Qualität zur Verfügung stehen, gewinnen Sicherheitsverantwortliche Zeit und können proaktiv handeln.

Begriffserklärung

Eine vorgelagerte Authentisierung verhindert, dass Webserver anonymen Verbindungen ausgesetzt sind. Auf diese Weise wird die Menge der potenziellen Angreifer bereits massiv reduziert und die Applikationen werden entlastet. Zudem ermöglicht die vorgelagerte Authentisierung eine zentrale Zugriffskontrolle getrennt von der Business-Logik. Diese Tatsache erhöht die Sicherheit und reduziert gleichzeitig die Kosten. Nur authentisierte und autorisierte Verbindungen werden auf die entsprechenden Applikationsserver zugelassen.