XML verbindet klassische und Webservice-Firewalls

EnterpriseSicherheit

Durch Beschreibungssprachen wie XML ist es möglich, Synergien zwischen klassischen und applikationsspezifischen Firewall-Systemen herzustellen.

Die Entwicklung der Firewall-Techniken der letzten zehn Jahre spiegelt die Dialektik von Sicherheit und Freiheit wider, der jedes Security-Konzept unterworfen ist: Ein hohes Sicherheitsniveau lässt sich nur um den Preis der Einschränkung von (Bewegungs-) Freiheiten und der Erhöhung des Verwaltungsaufwands etablieren. Da andererseits die digitale wie auch die traditionelle Ökonomie nur bei geöffneten ‘Verkaufständen’  funktionieren kann, sind Kompromisse notwendig. Derartige Kompromisse sollten sich aber tunlichst nicht in der Form von Fahrlässigkeit manifestieren, sondern darin, dass die Einschränkungen der Bewegungsfreiheit und der Verwaltungsaufwand in intelligenter Weise erträglich gemacht werden.
Das Herunterfahren der Sicherheits-Niveaus, nur weil man beispielsweise applikationsspezifische oder gestaffelt angeordnete Firewall-Systeme nicht vernünftig administrieren kann, ist keine Lösung. Und  wenn durch solche Systeme die Übertragungsgeschwindigkeiten in den Keller gehen, dann sollte man sie nicht durch klassische Paketfilter ersetzen, die bei komplexen Anwendungen kaum Schutz bieten, sondern sich fragen, ob man das benutzte System nicht falsch eingestellt hat beziehungsweise warum es so unflexibel in seinen Einstellungsmöglichkeiten ist.

In der Tat sind viele Security-Produkte am Markt so umständlich beziehungsweise unflexibel konzipiert, dass teilweise 90 bis 95 Prozent der Arbeitszeit für das Einrichten des Systems aufgewendet werden müssen. Dieses Einrichten stellt indes nur die Vorarbeit für das Sicherheits-Management dar, nicht aber das Sicherheits-Management selbst. Nicht wenige Anwender verwechseln diese beiden Dinge, was dann fatale Folgen für die Sicherheitslage im Unternehmen hat: Das Sicherheits-Regelwerk wird nicht korrekt oder nicht vollständig umgesetzt. Hauptgrund ist dabei meist eine Mischung aus Kompetenz- und Zeitmangel.

Anpassbare Firewall-Lösungen

Eine solche vermeintliche Sicherheit ist fast noch schlimmer als die bewusste Unsicherheit, also der Verzicht auf komplexe Security-Systeme. Aber natürlich ist auch letzteres keine Lösung. Unabdingbar sind vielmehr ausreichende Sicherheits-Expertise in den Unternehmen und Sicherheits-Systeme, die zum einen eine Management-Komponente haben, die flexible, aber auf das Unternehmen zugeschnittene Einstellungen erlaubt, und die zum anderen verschiedene Verfahren der Sicherheitstechnik integriert haben.

Ausreichende Sicherheitsexpertise ist deshalb unabdingbar, weil sich die Umsetzung des Sicherheits-Regelwerks per se nicht automatisieren, sondern allenfalls parametrisieren lässt. Das Festlegen beziehungsweise Eingrenzen geeigneter Parameter-Werte ist aber meist nicht trivial, sondern setzt erheblichen Sachverstand voraus.

Was nun die Management-Komponente eines Firewall-Systems für die digitale Ökonomie (worunter nicht zuletzt Online-Banking-Lösungen fallen) betrifft, so sollte diese unter anderem eine fein abgestufte Rechte-Vergabe möglich machen. Letztlich ist es wünschenswert, dass für jede Funktionsgruppe getrennt festgelegt werden kann, „wer wann wo was machen darf“.

Nicht zuletzt sollten Firewall-Systeme für die digitale Ökonomie verschiedene Algorithmen zur Auswahl anbieten, so dass nicht mehrere Firewall-Systeme nebeneinander in einem Unternehmen verwendet werden müssen. Schließlich wird es immer Unternehmensbereiche geben, bei denen eine leistungsfähige Paket-Filter-Lösung als Schutzmaßnahme durchaus ausreicht und wieder andere Bereiche, wo es eine gute Proxy “auch tut”. Dann ist es schon aus Gründen der Übertragungsgeschwindigkeit sinnvoll, auf applikationsspezifische Lösungen, die in die „semantische Tiefe“ gehen, zu verzichten, denn solche Lösungen bremsen natürlich das Leistungsverhalten deutlich aus. Gigabit-Ethernet kann mit solchen hochkarätigen Firewall-Systemen nur dann vernünftig betrieben werden, wenn bestimmte Schutzmechanismen eben ja nach Anwendung zu- oder abgeschaltet werden können. 

XML als Basis für flexible Lösungen

Durch Struktur-Beschreibungssprachen wie die Extensible Markup Language (XML) ist es heute möglich, Synergien zwischen klassischen Firewall-Systemen, die auf IP-Ebene arbeiten, und applikationsspezifischen Systemen herzustellen. Der Terminus ‘applikationsspezifisch’ bedeutet ja in der Regel nicht, dass die Sicherheitsmechanismen direkt in eine bestimmte Applikation eingebunden sind. Das ist schon angesichts der Vielfalt der Anwendungen wirtschaftlich nicht sinnvoll. Darüber hinaus wäre eine solche Implementierungsstrategie bei traditionellen monolithischen Anwendungen und vorkonfigurierten Paketlösungen technisch auch gar nicht oder nur mit hohem (administrativem) Aufwand machbar.

Moderne Lösungen integrieren vielmehr entsprechende Sicherheitsmechanismen in die Netzwerkinfrastruktur. Zu den Zeiten von CORBA und DCOM war das nur schwer möglich, da die einzelnen Lösungskomponenten unter diesen Protokollen eng gekoppelt waren. Für eine unabhängige netzwerkbasierte Sicherheitsschicht war dadurch kaum Raum. Bei den neueren Webservice-Protokollen und vor allem durch XML ist das anders geworden. Während CORBA- oder DCOM-Architekturen stark monolithische Züge aufweisen, lassen sich mit XML die einzelnen Netzwerkkomponenten lose koppeln. Auf dieser Basis ist es möglich, modulare Identifizierungs-, Autorisierungs- sowie Verschlüsselungs- und Unterschriftensysteme aufzubauen.

Im Gegensatz zu klassischen Firewalls, die mit relativ einfachen Regeln auskommen (“diese IP-Adresse ist nicht zugelassen”) bauen die Regeln  bei XML-Firewalls auf  Kategorien wie “Diensteanforderer”, “Rolle”, “Verarbeitungsmechanismus” und “Datenelement” auf. Und während bei klassischen Firewalls nur die Protokollelemente der Datenpakete verschlüsselt werden, lassen sich mit XML-Firewalls sowohl der Protokollteil chiffrieren als auch die gesamte Nachricht oder bestimmte Teile daraus. Die Netzwerkinfrastruktur als solche, die bei Netzwerk-Firewalls in der Gestalt von VPNs oder Proxy-Servern ständig sichtbar ist, verschwindet bei applikationsspezifischen Firewalls hinter den einschlägigen Protokollen (HTTP, MQ, SMTP, etc.) und ist an der Oberfläche nicht sichtbar. 

Der technische Charme von XML im Bereich der IT-Sicherheit im allgemeinen und der applikationsspezifischen Firewalls im besonderen liegt zum einen darin, dass mittlerweile eine umfassende Sicherheitsinfrastruktur (Schlüsselverwaltung für die digitale Signatur, Zugriffsrechteverwaltung, etc.) existiert, er ergibt sich zum anderen aber auch aus der Tatsache, dass sich die entsprechenden Mechanismen nicht nur auf XML-Formate beschränken. Es können vielmehr beliebige Daten, also auch Bilder und binäre Ketten, mit ‘XML Encryption’ beziehungsweise ‘XML Signature’ verarbeitet werden.