Zentrum für sichere Informationstechnologie – Austria

15

März

2017

Sicherheitsaspekte Web APIs

Kategorie: Cloud Computing, eGovernment, IT-Sicherheit, Web Technologien

Web-APIs sind wesentlicher Baustein des heutigen Webs, sie erlauben effiziente und technologisch neutrale Daten- und Prozessintegration zwischen Akteuren und Plattformen. Als Innovationstreiber spielen Web APIs weiter eine wichtige Rolle, da diese Technologie die Verwirklichung neuer Geschäftsmodelle und Produkte methodisch unterstützt. Diverse Modelle und Implementationen haben die Erzeugung sowie die Etablierung von standardisierten Frameworks für API-Spezifikation motiviert. Weiter lesen…

Dezentralisierung zentralisierter Dienste

Kategorie: Cloud Computing, IT-Sicherheit

Auf Grund der zunehmenden Verbreitung mobiler Geräte hat sich das Nutzerverhalten in den letzten Jahren stark verändert. Typischerweise haben Benutzerinnen und Benutzer mehrere Geräte, auf denen unterschiedliche Dienste genutzt werden, deren Daten möglichst überall verfügbar sein sollen. Dieses Verlangen wird von Serviceanbietern auch befriedigt, auf technischer Ebene allerdings meist durch den Einsatz klassischer Client-Server-Architekturen. Nach wie vor spielen zentrale Instanzen in verteilten Systemen dieser Art eine wichtige Rolle. Bestehende Dienste wurden über die Jahre hinweg zwar stetig weiterentwickelt und an die Nutzergewohnheiten angepasst, ihre grundlegende Struktur bliebt jedoch weitgehend unverändert. Weiter lesen…

CA-lose Authentifizierung von Clouddiensten

Kategorie: Cloud Computing, IT-Sicherheit

Durch den Vormarsch moderner Webtechnologien wie WebRTC ist es immer einfacher möglich, vor allem kurzlebige Dienste von Endgeräten aus anzubieten. Genau wie im Fall statischer, bzw. stationärer Dienste stellt sich auch hier die Frage nach der Authentifizierung angebotener Dienste. Im Rahmen dieses Projekts wurden unterschiedliche Verfahren evaluiert, die potentiell dafür geeignet sind, Entitäten und Services ohne den Einsatz von Zertifizierungsdiensten zu authentifizieren.

Weiter lesen…

Orchestration von verteilten Cloud Anwendungen

Kategorie: Cloud Computing, IT-Sicherheit

Web-APIs spielen eine wichtige Rolle bei der Integration von Daten und Diensten. Viele Web-Dienste bieten heutzutage ein gesondertes Interface in der Form eines Web-APIs an, das den Austausch von Daten und die Verwendung von zur Verfügung gestellten Funktionalitäten ermöglicht. Jedoch ist das Management von Sicherheitsaspekten dieser Schnittstellen komplex und oft undurchsichtig. Aus der Rolle von Web-APIs, die als ein Grundstein und Treiber des modernen Internet und domänenübergreifender Transaktionen gelten, ist es notwendig, die Modellierung und folglich das Sicherheitsmanagement dieser Prozesse weiter zu entwickeln.

Weiter lesen…

Kontextbezogener Datenaustausch

Kategorie: Cloud Computing, eGovernment, IT-Sicherheit

In diesem Projekt wurde eine Token-Struktur definiert, die eine multilaterale und flexible Definition von Autorisierungsanforderungen ermöglicht. Insbesondere zielt diese Struktur, die fortgeschrittene Anforderungen im Bezug auf die Expressivität, Kontextsensitivität sowie die Anpassbarkeit von Autorisierungen zu unterstützen. Weiters haben wir die entsprechende Softwarekomponenten entwickelt, die die Gestaltung, die Analyse sowie die Integration von dieser Struktur unterstützen. Anhand eines Prototyps und einer Fallstudie demonstrieren wir die praktische Anwendung sowie die Vorteile unseres Vorschlags für das Sicherheitsmanagement von domainübergreifenden Datenaustausche.

13

Juli

2016

Serverlösungen zu Cloud-based Mobile Augmentation

Kategorie: Cloud Computing, IT-Sicherheit

Trotz der Tatsache, dass mobile Endgeräte immer leistungsfähiger werden, sind sie nach wie vor in ihrer Funktionalität eingeschränkt. Eine erhöhte Leistungsfähigkeit geht einher mit erhöhtem Stromverbrauch und führt somit zu einer erheblichen Reduktion der Gerätelaufzeit. Aus diesem Grund wurden in den letzten Jahren Frameworks bekannt, die es ermöglichen, dynamisch Rechenleistung von anderen Recheneinheiten zu verwenden in den letzten Jahren bekannt. Diese verfügbaren Frameworks nutzen aber bei Weitem nicht das Potential dieser Technologie aus. Bestehende Lösungen sind meist nur mit einer (Cloud-basierten) Recheneinheit fix verbunden und verwenden diese bei Bedarf.
Weiter lesen…

14

Juni

2016

Dynamische Schlüsselverwendungsrichtlinien

Kategorie: Cloud Computing, IT-Sicherheit

Immer mehr Daten und Ressourcen werden in die Cloud ausgelagert. Auch kryptografische Schlüssel profitieren mittlerweile von den Vorteilen der Cloud. Aktuell verwendete Authentifizierungsmethoden und Abwehrstrategien schaffen es aber oft nicht, Angriffe abzuwehren aber gleichzeitig dem rechtmäßigen Benutzer weiterhin das Service anzubieten. Vielmehr muss der Benutzer oft manuelle Schritte unternehmen, um das Service wieder nutzen zu können. Dadurch bleiben Denial-of-Service Angriffe gegen Benutzer wirksam.

Weiter lesen…

12

Mai

2016

Sicherheitsmanagement von API-basiertem Datenaustausch

Kategorie: Cloud Computing, IT-Sicherheit

Sicherheitsanforderungen – insbesondere jene zur Vertraulichkeit – erfordern IT-Prozesse mit dem Least-Privilege-Prinzip. Das aktuell breit verwendete Autorisierungsprotokoll OAuth 2.0 entspricht diesen Anforderungen nur teilweise. Etwa entfällt wegen frei definierbarer und dienstleisterabhängiger Darstellung von Access-Scopes praktisch die Möglichkeit, die Zugriffsbeschränkungen und -Autorisierungen strukturiert, granular und interoperabel darzustellen. Dieses Problem betrifft insbesondere domänenübergreifenden Datenaustausch, da die Sicherheitsmaßnahmen in verschiedenen Organisationen nur teilweise angewandt werden können.

Die Architektur sowie die einschlägige Ergebnisse wurden im Rahmen des DISSECT Workshops bei der IEEE/IFIP NOMS Konferenz präsentiert. Der vorgeschlagene Ansatz behandelt das Sicherheitsmanagement von API Interaktionen. Die Perspektiven von Dienstanbietern, Klienten und Dateninhaber werden in betrachtet, um die kontextuelle Abhängigkeit bei Datenaustausch, sowie die Granularität und Interoperabilität bei Sicherheitsmanagementprozessen, zu ermöglichen.

18

April

2016

Sichere Integration in der Cloud

Kategorie: Cloud Computing, IT-Sicherheit

Neue Produkte zu Cloud-Integrationsplattformen (iPaaS) leisten einen Mehrwert durch die Integration von diversen Cloud-Diensten von Drittparteien. Somit bietet ein Dienstleister einen Cloud-Dienst an, der die verschiedenen Produkte oder Dienste von anderen Anbietern und Organisationen zusammenfasst, verwendet und orchestriert. Dieses Konzept setzt voraus, dass die Interaktionen, Datenflüsse, Austausche und Dienstverwendungen in einer komplexen, durch verschiedene Domäne fließenden Umgebung stattfinden. Jedoch breitet die daraus resultierende Komplexität die sämtliche Angriffsoberfläche aus und erhöht das Sicherheitsrisiko von gesamten Interaktionen.

Im Rahmen der Konferenz ACM SAC 2016 wurde am 7. April 2016 eine Veröffentlichung präsentiert, die das Thema von Sicherer Integration in der Cloud, und insbesondere aus den Perspektiven von Protokollen, Integrationsplattformen sowie Sicherheitsanforderungen, analysiert.