Modern Flavors of Secure Application Delivery as a Service

Bachelor Studiengang IT Security

Georg Hehberger, BSc

Betreuer: Dipl.-Ing. Dipl.-Ing. Christoph Lang-Muhr, BSc

Ausgangslage

Das Internet ist oft ein gefährlicher Ort. Nicht nur den Benutzer erwartet dort allerlei Ungemach - auch Webanwendungen sind seit je her Ziel von Attacken. Daher werden auch seit geraumer Zeit diverse Maßnahmen entwickelt, um Webanwendungen vor diesen zu schützen. Da Innovation und technische Weiterentwicklung auch in der IT-Sicherheit ein zweischneidiges Schwert darstellen, werden die Lösungen, welche dem Schutz einer Applikation dienen, wie auch Angriffe auf Applikationen, immer komplexer. 

Dieser Teufelskreis zieht, neben hohen initialen- wie auch laufenden Kosten, einen gesteigerten administrativen Aufwand im Betrieb der Lösungen nach sich. Dadurch werden dem Applikationsschutz dienliche Lösungen entweder gar nicht implementiert oder nur vernachlässigt gewartet. Dies findet die Ursache zumeist in dem Umstand der wachsenden Komplexität wieder - zu groß sind oft die Bedenken durch Änderungen am laufenden System eine nicht sofort erkennbare Funktionseinschränkung zu verursachen.

Die Anzahl der Webanwendungen wächst, daher ist auch von einer erhöhten Anzahl schlecht geschützter Anwendungen auszugehen. Diese Arbeit betrachtet daher die Möglichkeit Lösungen zum Applikationsschutz „as-a-service“ von einem externen Anbieter zu beziehen.

Ziel

Das Ziel dieser Arbeit ist es eine Übersicht über die am Markt verfügbaren modernen Lösungen zur sicheren Applikationsveröffentlichung zu erstellen. Dazu werden ausschließlich Lösungen beleuchtet, welche über eine definierte Menge an Merkmalen verfügen und sich dadurch als moderne, „as-a-service“, Produkte auszeichnen. 

Vertreter von Servicetypen wie beispielsweise „PaaS“ und „SaaS“ werden anhand definierter Metriken bewertet und in Relation gesetzt. Weiters wird auf Eigenheiten in Implementierung und Betrieb eingegangen 

Ergebnis

Durch die Arbeit konnte ein „state-of-the-art“ moderner Lösungen zur Applikationsveröffentlichung ermittelt werden. Je nach eingesetztem Technologiekonzept zeigen sich hier Unterschiede im kundenseitigen Implementierungsprozess. Weiters konnten die analysierten Lösungen gegen eine Menge definierter Metriken verglichen werden, um so die Anwendbarkeit der Lösungen in unterschiedlichen Szenarien festzustellen. Hier wurde ein Hauptaugenmerkt auf die verwendeten Sicherheitstechnologien wie auch auf vorhandene Industriezertifizierungen, beziehungsweise die Möglichkeit die Lösungen im Einklang mit der DSGVO zu implementieren, gelegt.