Einsatz von Reverse Proxy

Ein RP-PEP (Reverse Proxy-Policy Enforcement Point) ist ein Gateway, durch welchen sämtliche eingehenden und ausgehenden Daten einer angeschlossenen Applikation geschleust werden. Im Gegensatz zu einer Web Application Firewall (WAF), kontrolliert der RP-PEP die Daten nicht, sondern autorisiert nur den Zugriff mittels einer grobkörnigen Rolle (.ALLOW-role). eIAM Integration mit RP-PEP und Access Management

Die Standardintegration beinhaltet nicht die Verwendung eines RP-PEP, sondern verwendet eine STS-PEP (oder PEP-less) Einrichtung. Nur bei Integrationen in die SZ+ Zone und bei erhöhtem Schutzbedarf gemäß Si001, ist die Verwendung eines RP-PEP erforderlich. eIAM unterscheidet verschiedene Authentifizierungsstärken gemäss . Gemäss aktueller Zonenpolicy erlaubt eIAM nur QoA min. 50 für SZ+ und BV-Netz.

Si001 – IT-Grundschutz in der Bundesverwaltung

Die Notwendigkeit betr. RP-PEP aus Sicht Bund ist in der Si001 - IKT-Grundschutz in der Bundesverwaltung (ersetzt Si002 und Si003. resp. integriert diese) definiert. 
  • Bei SZ+ und BV-Netz muss ein RP-PEP vor der Applikation sein. Der PEP muss die Authentifizierung am Zonenübergang sicherstellen.
    • Es muss nicht zwingend ein eIAM RP-PEP sein
    • eIAM unterscheidet verschiedene Authentifizierungsstärken gemäss . Gemäss aktueller Zonenpolicy erlaubt eIAM nur QoA min. 50 für SZ+ und BV-Netz.
  • Ressourcen in der SZ (nicht SZ+) müssen ohne eIAM RP-PEP exponiert werden können

Der Einsatz von eIAM RP-PEPs ist aus Sicht eIAM aus folgenden Gründen zu minimieren:
  • Die Integration und der Betrieb der Fachapplikation in eIAM wird teurer und komplizierter
    • Erhöhtes Testing
    • Releasemanagement (PEP und Applikation) 
      • Sowohl bei Updates des eIAM-PEP als auch bei Releases der Applikation selbst ist immer der eIAM RP-PEP involviert
    • Koordination
      • Bei jedem Change müssen mehrere Organisationseinheiten (ggfs. über mehrere Ämter und Firmen) koordiniert werden
    • Mehr Komponenten sind involviert, Komponenten, die man selbst nicht betreibt
  • RP-PEP erhöht kaum die Sicherheit einer Applikation
    • WAF kommt vom BIT (braucht es keinen RP-PEP)

Die Notwendigkeit aus Sicht Kundenprojekt dennoch einen RP-PEP einzusetzen könnte sein:
  • SSO Anforderungen an bestehende Integrationen mit RP-PEP und unter Wiederverwendung desselben FQDN.
  • Applikation soll unter einem bei eIAM als RP-PEP bestehenden FQDN integriert werden.
  • Erhöhung der Sicherheit für Applikation. 
    • LB-WAF ist bereits ein Reverse Proxy.
    • eIAM RP-PEP kann URL-Paths filtern.
    • Es werden keine Stack-Traces und Cookies an den Browser gegeben.