BLOG

Schutz des Identitätsperimeters

F5 Miniaturansicht
F5
Veröffentlicht am 25. Juli 2018

Heutzutage kann man einfach keinen sicheren Burggraben mehr um seine Burg graben. Es besteht weitgehende Übereinstimmung darüber, dass das Netzwerkperimeter-Sicherheitsmodell „Burg und Graben“ nicht effektiv ist. Sie haben wahrscheinlich schon vom Identitätsperimeter und von Zero Trust gehört, aber was bedeuten sie hier in der realen Welt eigentlich? Wir stehen auch vor anderen Herausforderungen, etwa der Autorisierung des Zugriffs auf APIs auf konsistente und sichere Weise, die von Sicherheitsexperten getestet und geprüft werden kann.  

Was ist der Identitätsperimeter? 

Beim Identitätsperimeter geht es darum, sicherzustellen, wer auf was zugreifen kann. Er besteht aus drei Hauptteilen. Erstens müssen wir unsere Benutzer sicher identifizieren können – und hier ist Multifaktor hilfreich. Zweitens müssen wir diese Identität auf Anwendungen ausweiten – und hier nutzen wir die Föderation. Drittens müssen wir auch verlangen, dass diese Identität für den Zugriff auf alles verwendet wird, damit wir einen einzigen Kontrollpunkt und die Möglichkeit haben, das Gerät zu überprüfen – hier ist ein Zugriffsproxy hilfreich. Aus dem F5 Labs-Bericht „ Lessons Learned From A Decade Of Data Breaches“ geht hervor, dass 33 % der Verstöße zunächst auf Identitäten abzielten. Es ist klar, dass wir Arbeit vor uns haben. 

Warum ein Zugriffsproxy so wichtig ist 

Die BeyondCorp-Methodik von Google identifiziert einen Zugriffsproxy als die Funktion, die den einzigen Kontrollpunkt erzwingt. Dies macht es zu einem kritischen Teil einer Zero-Trust-Architektur. Einige Anbieter verfügen zwar über Proxy-Lösungen für den Zugriff, bei den meisten gibt es jedoch Einschränkungen hinsichtlich der Clouds, in denen sie bereitgestellt werden können, der Identitätsanbieter, von denen sie profitieren können, oder der Kontrollen, die sie durchsetzen können.  

„Ein Zugriffsproxy ist ein wesentlicher Bestandteil der Einführung einer Zero-Trust-Architektur und erweitert die Vorteile einer Investition in IDaaS. Die Kombination von F5 und Okta verbessert beide Angebote, um die Sicherheit und das Benutzererlebnis zu verbessern, wo auch immer Ihre Apps eingesetzt werden.“
- Chuck Fontana, VP für Okta-Integration und strategische Partnerschaften

Fehlerhafte Authentifizierung und Zugriffskontrolle sind bei Webanwendungen weit verbreitet und so schwerwiegend, dass sie in den OWASP Top 10 aufgeführt sind. Die Bedrohungen sind so weit verbreitet, dass die Umgehung der Authentifizierung in vielen Angriffsskriptbibliotheken eine wichtige Rolle spielt, wie aus dem Application Protection Report 2018 von F5 Labs hervorgeht. Zugriffsproxys bieten eine konsistente Methode zur Implementierung der vor Anwendungen erforderlichen Zugriffskontrollen und Authentifizierungsanforderungen. Dadurch muss man nicht mehr darauf vertrauen, dass jeder Anwendungsentwickler ein Authentifizierungsexperte ist (was unwahrscheinlich ist). Wir reden viel über die „Zeit bis zur Markteinführung“, aber die „Zeit bis zur Sicherung“ ist genauso wichtig. 

APIs – das Tor zu Ihren Daten 

Wenn Sie API-Autorisierungskontrollen direkt in Ihre Anwendung implementieren, muss jede Sprache und jedes Framework ein wenig anders implementiert werden. Dies macht es äußerst schwierig, die Wirksamkeit der Kontrollen zu beurteilen und zu bestimmen, und erhöht die Menge der Sicherheitskontrollen, die gepatcht, getestet und gewartet werden müssen, erheblich. Für die erfolgreiche Sicherung von APIs ist eine einheitliche Lösung erforderlich, die über alle Clouds hinweg funktioniert und unabhängig von der Anwendungssprache immer gleich bereitgestellt wird. 

Was ist der Ansatz von F5? 

Um Kunden bei der Lösung dieser Probleme zu helfen, veröffentlicht F5 Access Manager . Einige Hauptfunktionen sind: 

  • IDaaS und Federation-Integration – Durch die Unterstützung von SAML, OAuth und OpenID Connect kann Access Manager Ihre Identität erweitern, um mehr Anwendungen zu schützen und einen einzigen Kontrollpunkt aufrechtzuerhalten. Große IDaaS-Anbieter wie Okta und Azure AD werden durch geführte Konfiguration unterstützt. Access Manager kann auch als Identitätsanbieter oder Autorisierungsserver fungieren und bietet so eine Komplettlösung.

  • API-Autorisierung – Access Manager bietet eine sichere, konsistente Möglichkeit zur Implementierung von Autorisierungskontrollen für Ihre API mit Unterstützung für OAuth, OpenID Connect, Certificate Auth und mehr.

  • Schutz der Anmeldeinformationen – Angriffe auf die Identität machen nicht an der Peripherie des Rechenzentrums halt, daher sollte auch Ihr Schutz dort nicht enden. Access Manager erweitert den Identitätsschutz auf den Browser des Benutzers, indem es die Anmeldeinformationen bereits bei der Eingabe durch den Benutzer verschlüsselt, noch bevor sie mit F5 DataSafe übermittelt werden.

  • Detaillierte Richtlinienkontrollen – Access Manager umfasst einen visuellen Richtliniengenerator, der Sie bei der Risikokontrolle unterstützt, indem er detaillierte Kontrollen auf Anwendungs-, Benutzer- oder Gerätebasis erstellt.

  • Geführte Konfiguration – Destillieren Sie komplexe Aufgaben mit klarer Anleitung in einfache Schritte. Auf diese Weise können Sicherheitsteams schnell eine Zero-Trust-Architektur implementieren, eine API schützen, die Reichweite ihrer IDaaS-Lösung erweitern oder Zugriff auf eine Anwendung gewähren. 

Ich freue mich auf 

Wenn F5 in die Zukunft blickt, sehen wir, dass neue risikobasierte Modelle zur Authentifizierung von Benutzern erforderlich sind, um die Identität auf eine Weise zu schützen, die vor wenigen Jahren noch unmöglich war. Es ist klar, dass die Integration eines Proxys und konsistente Methoden zur Sicherung der Authentifizierung und Autorisierung von entscheidender Bedeutung sind. Freuen Sie sich bald auf neue Möglichkeiten zur Sicherung des Identitätsperimeter.