Internet Explorer wird von unserer Website nicht unterstützt. Um die Sicherheit Ihres Browsing-Erlebnisses zu erhöhen, verwenden Sie bitte Chrome, Safari, Firefox oder Edge.
Infrastruktursoftware
Dharmesh Thakker, René Bonvanie, Danel Dayan | 18. Mai 2021
Authentifizierung und Autorisierung, Post-Auth0: Styra* und Erweitern der Identität auf alle Ebenen des Cloud-basierten Anwendungsstapels

Die kürzliche Übernahme des Identitäts- und Authentifizierungs-Startups Auth0 durch Okta im Wert von 6,5 Milliarden US-Dollar rückte diesen zunehmend wichtigen Sektor der Unternehmenssoftware ins Rampenlicht, insbesondere da immer mehr Workloads in die Cloud verlagert werden. Aber wir glauben, dass die Benutzerauthentifizierung – die Validierung, dass ein Benutzer wirklich der ist, für den er sich ausgibt – nur der Anfang des Kampfes um die Online-Sicherheit für die heutigen Unternehmen ist.

Ebenso wichtig, aber vielleicht nicht so gut verstanden, ist die Notwendigkeit einer qualitativ hochwertigen Autorisierung oder die Sicherstellung, dass ein authentifizierter Benutzer oder Dienst über die richtigen Berechtigungen zum Ausführen bestimmter Aktionen verfügt.

Die Autorisierung ist in fast jeder Benutzer- oder Dienstinteraktion vorhanden. Beispielsweise reicht es in manchen Situationen möglicherweise nicht aus zu wissen, dass ein Mitarbeiter ein Entwickler ist; Es ist auch wichtig zu wissen, dass er/sie auch ein Systemadministrator mit erhöhten Rechten in der Kubernetes-Konsole ist. Auf Anwendungsebene können Autorisierungsrichtlinien beinhalten, zu bestimmen, ob ein Benutzer schreibgeschützte Rechte für Felder innerhalb einer Anwendung hat oder ob er eine bestimmte Aktion innerhalb einer Anwendung ausführen kann. Dies kann von verschiedenen Faktoren wie Standort, Privilegien oder Administratorrechten abhängen. Traditionell wurde diese Autorisierungs- oder Berechtigungslogik fest codiert oder in den Anwendungscode eingebettet.

Bei Battery sind die Themen Benutzer- und Dienstidentität sowie programmgesteuerte Berechtigungen und Zugriff häufig aufgetaucht, als wir Entwicklertools und identitätsbasierte Authentifizierungs- und Autorisierungssicherheitsunternehmen bewertet haben. Diese Arbeit führte zu unseren früheren Investitionen in JFrog* für binäre Repositorys; Cypress* für die Testautomatisierung; und Bridgecrew* für Entwicklersicherheitsautomatisierung.

Während die Authentifizierung der erste Schritt eines Anwendungssicherheitsprogramms ist, haben wir bei unserer Arbeit festgestellt, dass die Autorisierung ein viel komplexeres Problem ist, das Auswirkungen hat, die über die einfache Validierung der Identität hinausgehen. Während wir einige Zeit in dieser Kategorie verbrachten, bewunderten wir das beliebte Open-Source-Projekt Open Policy Agent (OPA), einen einheitlichen Richtliniendurchsetzungsagenten und eine Sprache zur Implementierung von Autorisierungskontrollen und Policy-as-Code. Das führte uns auch zu Styra*, dem Unternehmen, das OPA kommerziell verwaltet und sich schnell zum Entwicklerstandard für die Anwendungsautorisierung entwickelt hat. Zu diesem Zweck freuen wir uns, unsere Investition in Styra bekannt zu geben, und freuen uns über die Gelegenheit, mit dem Führungsteam des Unternehmens zusammenzuarbeiten.

Wie sind wir hierher gekommen?

Identity and Access Management (IAM) hat sich aufgrund seiner strategischen Bedeutung in einer zunehmend digitalen Welt durchgesetzt. Die Verwaltung der Identität eines Benutzers oder Dienstes ist ein wichtiger Bestandteil des Sicherheitsprogramms eines jeden Unternehmens. Diese Bedeutung wurde während der Covid-19-Pandemie noch verstärkt, da jedes Unternehmen, vom Einzelhandel über die Unterhaltung bis hin zum Reisen und Handel, Initiativen zur digitalen Transformation beschleunigte, um die Arbeit von zu Hause aus zu ermöglichen, die Online-Funktionen zu verbessern und seine Kunden besser zu bedienen.

Während die Authentifizierung weitgehend durch Dienste wie Auth0 gelöst wurde, wurde deutlich, dass die Autorisierung für Unternehmen ein umständlicher und manueller Prozess bleibt. Traditionell wurde es durch Legacy-Sprachen wie XACML definiert oder auf einfache Zugriffskontrollen in Kombination mit rollenbasierten Kontrolllisten reduziert, die manuell verwaltet oder in die Geschäftslogik der Anwendung fest codiert werden.

Wir haben gelernt, dass, je mehr Anwendungen in der Cloud entwickelt und bereitgestellt wurden, herkömmliche Perimeter-Sicherheitsrichtlinien mit modernen Cloud-nativen oder hybriden Workloads nicht funktionierten. Autorisierungsentscheidungen mussten näher an Anwendungen getroffen werden, und Organisationen wie Atlassian, Pinterest und Goldman Sachs benötigten unter anderem standardisierte Richtlinien-Frameworks, um Richtlinien in großem Maßstab für ihre explodierende Anzahl von Cloud-Diensten zentral definieren, überwachen und durchsetzen zu können Anwendungen. Dies hat uns deutlich gemacht, dass die Autorisierungsrichtlinienlogik von der Anwendungslogik getrennt sein muss und dass OPA die Führung hinter dieser Bewegung übernommen hat.

Die Autorisierung berührt jede Ebene des Anwendungsstapels.

Ein Teil der heutigen Komplexität der Autorisierung ist die Fläche, die sie abdeckt. Bei der Autorisierung geht es darum, Benutzern und Diensten die Erlaubnis zu erteilen, auf eine bestimmte Ressource oder Funktion auf jeder Ebene des Stacks zuzugreifen, vom Anwendungsclient bis zur API, dem Dienst oder der Datenbank. Die verschiedenen Arten von Anwendungen, die von Organisationen entwickelt und bereitgestellt werden, wie z. B. native Anwendungen, Webanwendungen und Microservices, haben alle ihre eigenen Identitäts- und Zugriffsanforderungen, die jeweils Autorisierungsrichtlinien erfordern. Wir sahen dies als Gelegenheit für ein Unternehmen, die richtige Abstraktionsebene zu definieren, um Policy-as-Code zu implementieren und als horizontale Ebene zu dienen, die Autorisierungskontrollen vereinheitlicht.

Unsere Investition in Styra

Styra und OPA werden schnell zum De-facto-Standard für die Implementierung von Richtlinienkontrollen im gesamten Technologie-Stack, von der Autorisierung von Service zu Service bis hin zur Autorisierung von Endbenutzeranwendungen. Das Feedback aus unserer sorgfältigen Prüfung hat gezeigt, dass Styra/OPA schnell zu einer der fünf wichtigsten Prioritäten geworden ist, wenn es um Cloud-Initiativen und einen Tier-0-Service geht (eine typische Nomenklatur zur Beschreibung der höchsten Kritikalitätsstufe für Software von Drittanbietern, ähnlich wie AWS oder Datadog *).

Heute hat das Unternehmen eine der weltweit größten Open-Source-Communities mit über 65 Millionen Downloads und mehr als 4.000 Community-Mitgliedern in einigen der fortschrittlichsten Cloud-nativen Unternehmen. Styra ermöglicht Entwicklern das Schreiben, Implementieren und Testen von Zugriffssteuerungsrichtlinien für den gesamten Anwendungsstapel von Infrastrukturressourcen bis zum Anwendungsclient. Nachdem wir viel Zeit mit der Evaluierung und Investition in Entwicklertools und Sicherheit verbracht haben, freuen wir uns über die Partnerschaft mit dem Styra-Team und glauben, dass sie das Potenzial haben, ein kategoriedefinierendes Unternehmen für die Autorisierung zu werden, so wie es Auth0 für die Developer-First-Authentifizierung getan hat.

Die hierin enthaltenen Informationen beruhen ausschließlich auf der Meinung von Morad Elhafed und sind nicht als Anlageberatung zu verstehen. Dieses Material wird zu Informationszwecken zur Verfügung gestellt und stellt weder eine Rechts-, Steuer- oder Anlageberatung noch ein Angebot zum Verkauf oder eine Aufforderung zum Kauf einer Beteiligung an einem von Battery Ventures oder einem anderen von Battery verwalteten Fonds oder Anlageinstrument dar und darf in keiner Weise als solche angesehen werden. 

Die Informationen und Daten beziehen sich auf den Zeitpunkt der Veröffentlichung, sofern nicht anders angegeben.

Inhalte, die aus Drittquellen stammen, werden zwar als zuverlässig erachtet, wurden jedoch nicht von unabhängiger Seite auf ihre Richtigkeit oder Vollständigkeit hin überprüft und können nicht garantiert werden. Battery Ventures ist nicht verpflichtet, den Inhalt dieses Beitrags zu aktualisieren, zu ändern oder zu ergänzen oder Leser*innen zu benachrichtigen, falls sich darin enthaltene Informationen, Meinungen, Prognosen, Vorhersagen oder Schätzungen ändern oder später ungenau werden.

Die obigen Informationen können Prognosen oder andere zukunftsgerichtete Aussagen zu zukünftigen Ereignissen oder Erwartungen enthalten. Vorhersagen, Meinungen und andere Informationen, die in diesem Video besprochen werden, können sich ständig und ohne Vorankündigung ändern und sind nach dem angegebenen Datum möglicherweise nicht mehr zutreffend. Battery Ventures übernimmt keine Verpflichtung und beabsichtigt auch nicht, diese zukunftsgerichteten Aussagen zu aktualisieren.

*Bezeichnet ein Battery-Portfoliounternehmen. Für eine vollständige Liste aller Battery-Investments klicken Sie bitte hier.

Zurück zum Blog
Ähnliche ARTIKEL