Ein seit einiger Zeit diskutiertes, in der Praxis viel zu selten umgesetztes Thema sind Anwendungssicherheitsinfrastrukturen. Hinter dem sperrigen und ungenauen Begriff verbirgt sich das Ziel, Sicherheit aus dem Anwendungscode zu "externalisieren" und von außen einfach steuer- und nachvollziehbar zu realisieren.
Der Begriff Anwendungssicherheitsinfrastrukturen (Application Security Infrastructures; ASI) hat sich durchgesetzt, auch wenn in ihrem Mittelpunkt eine Serviceschicht für Governance, Identitäts- und Zugriffsmanagement und ergänzende Sicherheitsfunktionen steht. Dass diese Services von einer geeigneten Infrastruktur zu liefern sind, steht außer Frage, doch geht es im Kern nicht um die Infrastruktur, sondern um die Serviceschicht. Anwendungen können die Services nutzen, dafür grundlegende Funktionen wie die Authentifizierung oder eine Rollen-Autorisierung von Benutzern zu ersetzen...
Hier geht es zum gesamten Artikel im heise security channel