Web-Application-Firewalls leisten mehr
Kritische Geschäftsprozesse im Fokus der Hacker
26.08.2009 | Redakteur: Andreas Bergler
An den diesjährigen „IT-SECURITY & Compliance Partner Solution Days & IT-Entscheider Kongresse 2009“ wird auch Entrada wieder teilnehmen. Warum der Schutz von Web-Applikationen zu einer tragenden Säule jedes Compliance-Konzepts geworden ist, erklärt Martin Dombrowski, System Engineer bei dem Paderborner VAD.
ITB: Warum benötigen Webserver besonderen Schutz? Kann man sie nicht einfach in eine DMZ stellen, wie jeden anderen Applikationsserver auch?
Dombrowski: Selbstverständlich gehören auch Webserver in die DMZ – nur dort sind ihre Betriebssysteme vor Angriffen geschützt. Aber das reicht nicht: Bei Angriffen gegen Webserver nutzen Hacker meistens die regulären Kommunikationswege und Ports, zum Beispiel indem sie versuchen, durch Eingaben von SQL-Code in der URL-Zeile die Schwachstellen einer Web-Datenbank auszunutzen. Für eine klassische Firewall sieht dies exakt wie ein regulärer Zugriff aus – und folglich wird sie dagegen nicht intervenieren. Umgekehrt können Sie die Ausführung von Scripts aber auch nicht generell unterbinden. Dann könnten auch Autorisierte User nicht mehr auf den Webserver zugreifen. Daher brauchen Webserver dedizierte IT-Security. Entrada vermarktet dafür Web-Application-Firewalls von Imperva. Die Geräte überwachen den HTTP- und HTTPS-Traffic auf Anwendungsebene und kontrollieren, ob die Eingaben in der URL-Zeile plausibel und legitim sind. So lassen sich Versuche, unerwünschten Code einzuschleusen, zuverlässig stoppen.
ITB: Welchen Stellenwert räumen Sie dem Schutz von Webservern im Rahmen eines globalen Compliance-Konzepts ein?
Dombrowski: Die Rollenverteilung zwischen Servern und Clients ist nicht mehr so klar getrennt wie noch vor einigen Jahren. Festzustellen ist aber, dass immer mehr kritische Geschäftsprozesse über das Web auf verteilten Clients genutzt werden. Daher hat sich Web-Application-Security längst zu einer tragenden Säule jedes Compliance-Konzepts entwickelt. Es ist kein Zufall, dass ausgerechnet die sensible Kreditkartenindustrie in ihrem PCI DSS-Standard explizit den Einsatz dedizierter Web-Application-Security – oder eine weitaus teurere Zertifizierung des gesamten Codes – vorschreibt.
ITB: Warum nehmen Sie an der diesjährigen Veranstaltung teil?
Dombrowski: Auf der diesjährigen Roadshow der IT-BUSINESS Akademie zeigt Entrada Praxis: Wir demonstrieren, wie sich Web-Applikationen unter Beschuss verhalten, ganz konkret mit Live-Hacking und Live-Abwehr. Damit setzen wir einen Fokus auf technologiegeprägte Themen, nach unserer Auffassung genau das Richtige für diese hochkarätige Veranstaltung. Der Veranstalter vermarktet die Roadshow zurecht als IT-Entscheider-Kongress. Die Events ziehen Entscheider an, und wo Entscheider sind, fallen Entscheidungen. Im Übrigen gehen wir nicht nur auf die Roadshow, um unsere Lösungen zu zeigen, sondern auch, um zu lernen, was der Markt von uns zukünftig erwartet. Deshalb sind natürlich auch die IT-Entscheider von Entrada mit auf der Roadshow.
Details zu der Veranstaltung
Die IT-SECURITY & COMPLIANCE Partner Solution Days & IT-Entscheider Kongresse 2009 der IT-BUSINESS Akademie finden vom 17.9. bis 1.10. in vier deutschen Großstädten statt. Hier gibt es weitere Infos!
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2040630)