Preautentisering og Skallsikring


Sikre eldre applikasjoner gjennom skallsikring og preautentisering.


Sikre eldre applikasjoner gjennom skallsikring og preautentisering.

I et stadig mer utfordrende IT-sikkerhetslandskap har identitet og multifaktor autentisering blitt viktige brikker i puslespillet for å sette sammen et sikkert miljø. Et scenario vi ofte ser er eldre applikasjoner som er forretningskritiske og kan ikke byttes ut lett, men som ikke støtter moderne mekanismer for tilgangskontroll og lar seg ikke integrere med moderne løsninger for dette.

Andre scenarioer kan være at applikasjonen ikke kan oppgraderes, eller at man ønsker å ikke slippe inn uautoriserte forespørsler helt inn til serveren (roboter eller forsøk på scanning/sårbarhetsutnyttelse). F. eks. Forsøk på utnyttelse av log4j eller spring4shell vil da ikke kunne komme frem uten en autentisert og autorisert sesjon.

En mulig løsning på denne typen utfordringer er å bygge en “skallsikring” rundt applikasjoner ved hjelp av en ADC-løsning (Application Delivery Controller) som F5 BigIP eller Citrix ADC.

Vi kan se for oss et eksempel med en enkel web-applikasjon der brukerne må logge på for å få tilgang.

Dette er standard tilgangskontroll med brukernavn og passord som valideres mot AD. La oss si at man ønsker 2-faktorautentisering for å bedre tilgangskontrollen, men den aktuelle applikasjonen støtter ikke dette, evt. er ikke kompatibel med systemer man har fra før. En mulig løsning er illustrert i følgende skisse.

Her gjør ADCen et oppslag mot AD for å validere brukernavn og passord og har også et steg i tilgangspolicyen som avkrever multifaktor. Deretter er det som regel nødvendig at brukeren identifiseres av applikasjonen for å avgjøre tilgangsnivå (autorisering). Applikasjonen gjør derfor også en validering mot AD. I dette tilfellet har ADCen allerede credentials for brukeren og kan autentisere seg mot applikasjonen automagisk uten at brukeren trenger å logge på en gang til.

Ved å sentralisere autentisering og håndtering av identitet på en ADC kan man ta i bruk et bredere spekter av teknologier som denne typen systemer støtter for å integrere mellom det meste man måtte ønske av systemer. En annen mulig fordel er at ADCen kan huske at en bruker har logget på en applikasjon tidligere og kan gi tilgang til ytterligere applikasjoner uten at brukeren trenger å logge på en gang til.

Denne måten å løse tilgangskontroll på kan også være med på å strukturere eget datasenter som en privat sky. Modellen der klienter og tjenester befinner seg på det interne nettet og sikkerheten i en betydelig grad er avhengig av isolering fra Internett egner seg dårlig i moderne IT med større forventning til mobilitet og tilgjengelighet. Mange av angrepene vi ser i dag skjer også ved at angriperne kommer seg på innsiden via f.eks. en klient og utnytter tilgang til sentrale tjenester som AD til å ta kontroll over IT-miljøet. Ved å strukturere eget datasenter som en privat sky og gjøre egenproduserte tjenester tilgjengelig fra Internett på tilsvarende måte som SaaS-tjenester i offentlig sky får man et par hovedfordeler. Det ene er økt fleksibilitet og tilgjengelighet for egenproduserte tjenester og det andre er å separere en av de mest sårbare punktene (klienten) fra sentrale tjenester som AD.

En ekstra fordel når man har en ADC på plass i tjenesteleveransen er å kunne ta i bruk sikkerhetsfunksjonalitet i form av Web Application Firewall (WAF).