Application Security Made in Switzerland

Transkript

1 Application Security Made in Switzerland

2 Übersicht Fast so alt wie das Internet die Frage nach der Internetsicherheit. Auf diese Frage gibt es eine zuverlässige Antwort: Die Airlock Suite von Ergon. Denn die Airlock Suite basiert auf Schweizer Ingenieurskunst und auf durchdachten Konzepten, die auch bei komplexen Herausforderungen überzeugen. So kombiniert die Airlock Suite die Themen Filterung und Authentisierung in einer abgestimmten Gesamtlösung, die auch punkto Usability und Services neue Massstäbe setzt. WAF Login IAM Online-Banking, E-Commerce, Mobile- Access: Die Airlock Web Appli cation Firewall schützt Ihre Internet- Anwendungen zuverlässig. Mit systematischen Kontroll- und Filterungsmechanismen und vielfältigen Erweiterungsoptionen. Im Zusammenspiel mit Airlock WAF ermöglicht Airlock Login die zuver lässige Authentisierung und Autorisierung von Benutzern. Doch Airlock Login steht nicht nur für optimale Sicherheit, sondern auch für hohe Usability und Kosteneffizienz. Airlock IAM ist die zentrale Authentifizierungsplattform mit Enterprise- Funktionen. Sie ermöglicht Kunden, Partnern oder Mitarbeitenden mit einmaliger Anmeldung den sicheren Zugang zu Daten und Anwen dungen und automatisiert die Benutzeradministration. Sicherheit auf Bankenniveau Die Airlock WAF ist heute in der Schweiz De-facto-Standard im E-Banking. Dank unserer Erfahrung im internationalen Finanzsektor profitieren Sie von best - möglicher Online-Sicherheit zuverlässig, effizient, prozessorientiert. Kostenreduktion Intelligente Software-Architektur, zentrale Authentisierungsfunktionalität und moderne User Self Services machen Airlock zu einer äusserst kos - tenattraktiven Lösung, mit der Sie IT-Aufwände nachhaltig reduzieren können. Lösungen aus einer Hand Einzelne Lösungen in einem Gesamtpaket auch das ist die Airlock Suite. Denn so unterschiedlich Ihre Anforderungen auch sind: Airlock Suite garantiert durchdachte Lösungen aus einer Hand-skalierbar und flexibel. Flexibilität Die Airlock Suite ist so flexibel wie Ihre Bedürfnisse. Denn Airlock passt sich an: an bestehende Umgebungen, neue Herausforderungen und individuelle Bedürfnisse. Für eine optimale Investitionssicherheit und massgeschneiderte Lösungen. User Self-Services Vergessene Passwörter, verlorene Logins, neue Benutzerkonti zum Kundensupport gehören viele Routine - aufgaben. Daher setzen wir auf durchdachte User Self Services. So redu ziert Airlock Kosten und steigert die Zufrie denheit der Kunden. Swiss made Mit Sicherheit höchste Qualität das bietet Ihnen die Airlock Suite. Denn unsere Security-Applikationen werden ausschliesslich in der Schweiz entwickelt. Für höchste Zuverlässigkeit, Präzision und Perfektion.

3 Produktinformation WAF Die Airlock Web Application Firewall bietet eine einzigartige Kombination von Schutzmechanismen für Webapplikationen. Ob es um die Einhaltung von PCI DSS, die Sicherung von Onlinebanking oder den Schutz von E-Commerce geht: Airlock WAF sorgt für mehr Sicherheit bei Internetanwendungen nachhaltig und mit vielen durchdachten Funktionalitäten. Mit Airlock WAF können Unternehmen das Potenzial des Internets nutzen, ohne dabei die Sicherheit und Verfügbarkeit ihrer Webapplikationen und Webservices zu gefährden. Sämtliche Zugriffe werden auf allen Ebenen systematisch kontrolliert und gefiltert. Im Zusammenspiel mit einer Authentisierungslösung wie Airlock Login oder Airlock IAM kann Airlock WAF die vorgelagerte Authentisierung und Autorisierung von Benutzern erzwingen. Dies ermöglicht eine einheitliche und zentrale Single Sign-on-Infrastruktur. Sämtliche wichtigen Informationen werden zudem über Monitoring- & Reporting-Funktionen zur Verfügung gestellt. Als eine der wenigen Web Application Firewall-Lösung auf dem Markt deckt Airlock WAF das gesamte Spektrum für den optimalen Schutz von komplexen Webumgebungen ab. Reverse Proxy und Web Application Firewall Als sicherer Reverse Proxy und Web Application Firewall in einem bietet Airlock WAF eine einmalige Kombination von Schutzmechanismen. Sämtliche Zugriffe werden systematisch kontrolliert und gefiltert. Zentraler Einstiegspunkt zur Erlangung der Kontrolle Alle Webzugriffe werden von Airlock WAF kontrolliert. Für Anwendungen mit Benutzerauthentisierung sind keine anonymen Interaktionen möglich. Airlock deckt alle relevanten Ebenen ab und reduziert Kosten und Abhängigkeiten. Kürzere Time-to-market dank Virtual Patching Virtual Patching lässt sich so erklären: Secure now, fix later. Das heisst: Dank Airlock WAF können Sie Server und Dienste sehr einfach virtualisieren und sichern. Gleichermassen werden auch Sicherheitslücken virtuell geschlossen. Der Vorteil: Sicherheitsrelevante Schwachstellen können schnell und zentral über alle Applikationen entschärft werden. Höhere Verfügbarkeit und Performance Webapplikationen und Webservices müssen sich nur mit erlaubten Benutzern und gültigem Datenverkehr beschäftigen. Load-Balancing und Failover-Funktionen garantieren zusätzlich hohe Verfügbarkeit. SIEM-Integration Die Airlock Operations App für Splunk Enterprise stellt aggre - gierte Management Reports für Sicherheitsthemen und Applikationsbenutzung zur Verfügung. So können Netzwerkadministratoren mit Hilfe diverser Dashboards sicherheitskritische Events untersuchen oder Applikations- und Performance-Probleme schnell lösen. Einfacher Betrieb Airlock ist eine linuxbasierte Softwareappliance mit gehärtetem Betriebsystem und läuft auf den üblichen Hardware plattformen, in Virtual Machines und in der Cloud. Airlock ist schnell und einfach installierbar und ermöglicht einen kosteneffizienten Betrieb. Airlock Systemübersicht SAML Assertion Flickering Mobile TAN Client Certificate Cross Domain SSO with SAML or OAuth 2.0 Corporate Network Kerberos/ Smart Card Password Management/ Transaction Signing RADIUS Client A B C D Mobile TAN Mobile OTP Database/ Directory PKI Applications Application in other Domain

4 Produktinformation Login Sinnvoll, schlank und sicher: Airlock Login ist der perfekte Zusatz für Airlock WAF und ermöglicht die zuverlässige Authentisierung und Autorisierung von Benutzern. Während Airlock IAM mit umfangreichen Zusatzfunktionen aufwarten kann, überzeugt Airlock Login mit einem einfachen Handling und einem attraktiven Preis. Solide Basis für mehr Durch die direkte Integration mit Airlock WAF ermöglicht Airlock Login eine schnelle und günstige Umsetzung von vorgelagerter Authentisierung. Falls Zusatzfunktionalitäten wie Webservice-Schnittstellen, Step-up-Authentisierungs workflows, Unterstützung von Cross-domain SSO oder User Self Services gefragt sind, ist ein Upgrade zu Airlock IAM denkbar einfach. Das Einspielen einer neuen Lizenz reicht aus, um Airlock IAM Funktionen zu aktivieren. Sichere und starke Authentisierung Heute verlangt praktisch jede Webanwendung eine Benutzer identifikation für bestimmte Zugriffe. Airlock Login ermöglicht dank der vorgelagerten Authentisierung getrennt von der Businesslogik die zentrale Sicherung von Kunden- und Mitarbeiter-Logins und unterstützt diverse interne und externe Authentisierungsmittel (Token). Einmaliges Anmelden (SSO) Airlock Login stellt sicher, dass auch bestehende Webappli kationen mit eigenen Benutzerstämmen einfach in die vereinheit lichte Web Single Sign-on-Infrastruktur integriert werden können. Einfache Konfiguration auch zur Laufzeit Mit der grafischen Oberfläche können Konfigurationen effi zient bearbeitet und validiert werden. Die flexible Architektur von Airlock Login ermöglicht Konfigurationsänderungen zur Laufzeit ohne Session-Verlust oder Betriebsunterbruch. Airlock Login und Airlock IAM im Vergleich Komponenten Webbasierte Loginapplikation Webbasierte Administrationsoberfläche Integrierte Datenbank für Benutzerprofile Service Container für Batch Jobs und Briefgenerierung Technische Schnittstellen Authentisierung 1- und 2-Faktor Authentisierung Passwortprüfung gegenüber Directory (LDAP, MSAD), OTP Token Server via RADIUS, RSA SecurID, MTAN (SMS), Client Zertifikate Role-based Access Control (RBAC) Komplexe Authentisierungs-Workflows (z.b. Step-up, Step-down) Unterstützung diverser weiterer Authentisierungsmittel Dynamic Access Control (basierend auf Umgebungsattributen) Loginapplikation Passwortwechsel und Passwort-Reset via Portalfunktion User Self Services Weitere Funktionen (z.b. Representation, AGBs, Wartungsmeldungen) Single Sign-on (SSO) / Identity Federation Einfaches SSO (z.b. mit Cookies, HTTP Header, On-behalf Form Login, back-side Kerberos) Cross-domain SSO und Identity Federation Identity Management Benutzersuche und -anzeige Identitäts- und Rolleninformationen verwalten, aggregieren und provisionieren Deployment Integration auf Airlock WAF Deployment ausserhalb Airlock WAF Mandantenfähigkeit

5 Produktinformation IAM Airlock IAM ist die zentrale Authentifizierungsplattform mit Enterprise-Funktionen. Sie ermöglicht Kunden, Partnern oder Mitarbeitenden mit einmaliger Anmeldung den sicheren Zugang zu Daten und Anwendungen und automatisiert die Benutzeradministration. SSO für heterogene Applikations landschaften Neben einer Vielzahl von unterstützten SSO-Mechanismen (u.a. SAML, OpenID Connect) akzeptiert Airlock IAM auch Authen tisierungs tickets, die von anderen Stellen ausgestellt wurden. Anmelden über Unternehmensgrenzen hinweg Beim Federated Identity Management (FIdM) ermöglicht Airlock IAM Single Sign-on über die Unternehmensgrenze hinweg und übernimmt dabei als zentraler Identity Provider (IDP) Registrierung, Anmeldung und Daten management der Benutzerdaten. Die Synchronisation der Benutzerdaten mit Drittsystemen erfolgt automatisch über standardisierte Schnittstellen. So ist stets ein konsistenter Stand der Benutzer daten für alle Parteien garantiert. Ein weiterer Nutzen ist die einfache Bedienbarkeit (Usability). Die konkreten Dienste (Service Provider) kommen aus anderen Domänen und nutzen dabei die via SAML, OAuth oder OpenID Connect übermittelten Anmeldungsdaten. Authentifizierungsdienste Airlock IAM verfügt über integrierte Authentifizierungsdienste wie Matrix-Karte, Mobile TAN via SMS und Mobile OTP. Diese Varianten sind sehr kostengünstig, da keine Tokens oder spezielle Hardware für den Betrieb beschafft werden müssen. Ihre Verwaltung ist vollständig integriert. Zusätzlich unterstützt Airlock IAM eine Vielzahl an Authentisierungsdiensten sowie Hardware und Software Tokens. Zentralisierung der Benutzerdaten Airlock IAM ist die zentrale Schaltstelle für die Ver wal tung der Authentisierungsdaten. Airlock IAM stellt anderen Applikationen oder Komponenten in SOA-Umgebungen eine Webservice-Schnittstelle (SOAP oder REST) zur Verfügung, die Aktionen rund ums Authentifizieren anbietet: So kann Airlock IAM auch komplexe Passwortrichtlinien durchsetzen, während der Passwortwechsel trotzdem dezentral in einer Business Applikation erfolgt. User Self-Services Neben der Benutzeradministration existieren User Self Services, die den gesamten Lebenszyklus eines Benutzerzugangs beim Single Sign-on abdecken. Der Workflow zur Adminis tration der Benutzerdaten umfasst Selbstregistrierung, Selbst migration, Passwortänderung, Selbsterfassen von untergeordneten Logins und Portalfunktionen für die Übersicht über alle Benutzerdaten. Features Airlock WAF Secure Reverse Proxy Terminierung von TCP / IP SSL, SSL VPN, HTTP / S, AMF, JSON und SOAP / XML-Filter Multi-Level Filtering Dynamic White Listing URL Encryption Smart Form Protection Cookie Protection Load Balancing ICAP Content Filtering Content Rewriter (Raw, HTML) Access Control, Authentication & SSO HSM Support Airlock Operations App für Splunk Airlock Login Unterstützte Token OTP Token via Radius (RSA SecurID, Kobil SecOVID, VASCO Digipass, etc.), Client-Zertifikate (X.509, SuisseID, etc.) Integrierte Token Passwort, Mobile TAN, -OTP Single Sign-on Kerberos, HTTP Cookies, HTTP Headers, URL-Tickets, Basic Auth, Form Post on behalf Benutzerverzeichnisse JDBC Datenbanken, LDAP Directories / MS ActiveDirectory Automatischer Passwort-Reset, Portalfunktion Betriebssysteme Java-basiert: Linux, Windows, VMWare Betriebliches Failover, Audit-Log, Log Viewer, Web-based Administration Console, Hot-Deployment ohne Restart Airlock IAM zusätzlich zu Airlock Login Unterstützte Token CrontoSign, Kobil AST, Swisscom MobileID, OATH -Tokens Integrierte Token Mobile OTP, Matrix-Karte, Vasco Identity Federation SAML 2.0 IDP / SP, OAuth 2.0, OpenID Connect Single Sign-on NTLM Integrierte Datenbank für Benutzererweiterung Benutzerverwaltung / IAM Benutzer-, Token- und Rollenverwaltung, Reportengine, Password Policy Enforcement User Self-Services Selbstregistrierung und migration, Selbstverwaltung, Kiosk- und Portalfunktion für eigene Benutzerdaten Schnittstellen Webapplikation, RADIUS, SOAP, REST, EAP / TLS 802.1X Betriebliches Mandantenfähigkeit, Statistik-Auswertungen

6 Ergon Informatik AG Merkurstrasse 43 CH 8032 Zürich twitter.com/ergonairlock Copyright Notice Copyright 2015 Ergon Informatik AG. All Rights Reserved. All technical documentation that is made available by Ergon Informatik AG is the copyrighted work of Ergon Informatik AG and is owned by Ergon Informatik AG. Ergon, the Ergon logo, «smart people smart software» and Airlock are registered trademarks of Ergon Informatik AG. Microsoft and ActiveDirectory are registered trademarks or trademarks of Microsoft Corporation in the United States and /or other countries. Other products or trademarks mentioned are the property of their respective owners. smart people smart software 1984 gegründet und mit aktuell 235 Mitarbeitenden gehört Ergon Informatik AG heute zu den traditions- und erfolgreichsten Informatikdienstleistern der Schweiz. Über 80 % aller Mitarbeitenden sind Softwareentwickler mit Hochschulabschluss. Die meisten davon sind Informatik ingenieure der ETH Zürich, einer der zehn Top-Univer sitäten der Welt. Zudem wurde Ergon Informatik AG mehrfach für ihre nachhaltige Personalpolitik ausgezeichnet. Ergon Informatik AG ist breit diversifiziert und erbringt Dienstleistungen für unterschiedlichste Branchen. Herausragende Kompetenzen weist Ergon im Bereich Finanzdienstleistungen, E-Banking, Telekommunikation und Security aus hat Ergon das erste E-Banking der Schweiz entwickelt. Das Security- Produkt Airlock ist seit dem Jahr 2002 am Markt und heute bei über 300 Kunden weltweit im Einsatz. Weitere Informationen unter