Einen Graben ziehen und seine Burg mit hohen Mauern schützen – so war IT-Sicherheit früher. Doch finstere Kastelle gibt es schon lange nicht mehr und auch in der IT-Security ist der Paradigmenwechsel im vollen Gang: Weg von den alten Burgen hin zum benutzer-freundlichen Hotel. Weg von den großen Applikationen, hin zu agilen Microservices und Microgateways.
Wie ein modernes, professionelles Hotel: So müssen Webservices und IT-Sicherheit heute sein. Vom Sofa aus identifiziert sich der Gast beim digitalen Concierge und erhält von ihm seinen persönlichen Funkschlüssel. Mit dieser zeitlich limitierten Zutrittskarte kann er nicht nur Tag und Nacht das Hotel betreten. Der Schlüssel wird immer wieder an zahlreichen Stellen im Hotel überprüft, ohne dass dies der Gast überhaupt merkt: Die Zutrittskontrollen an der Zimmertüre, an der Minibar oder beim Eintritt zum Frühstücksbuffet sind praktisch unsichtbar — solange die Berechtigung stimmt. So kann das Hotel den Zutritt feingranular kontrollieren und gleichzeitig das Erlebnis personalisieren – je nach Buchung, Status und Vorlieben des Gasts. Schließlich ist der Konsument verwöhnt: Die Big 5 (Google, Apple, Facebook, Amazon, Microsoft – GAFAM) setzen heute den Maßstab für die Kundenerwartung. Unternehmen, die hier nicht mithalten können, verlieren bald den Anschluss.
Einheitliches Sicherheitserlebnis durch vorgelagerte Identifikation
Ein gutes Kundenerlebnis muss einheitlich und einfach sein. Für Sicherheitsthemen wie die Authentifizierung und Zugriffskontrolle heißt das: Einmal lösen und wiederverwenden. Entwickler sollen sich nicht um Passwörter oder 2FA kümmern müssen. Die vorgelagerte Authentifizierung ist ein Standard-Dienst, der so weit wie möglich entkoppelt von den Applikationen ist. Quasi ein Super-Concierge, der jeden Gast kennt und alle gleichzeitig bedienen kann. So hat der Gast immer den gleichen Ansprechpartner und ein einheitliches Kundenerlebnis.
Zentrale Identifikation, verteilte Zugriffskontrolle
Die Authentifizierung in Form von Identity Services wird am besten zentral bereitgestellt. Dies entlastet die Applikationsentwickler und erhöht sowohl Sicherheit als auch Flexibilität. So kann beispielsweise die Login-Methode zentral angepasst werden, ohne alle Applikationen einzeln verändern zu müssen. Die Zugriffskontrollen hingegen sind so weit verstreut und dezentral wie die Hoteldienstleistungen. Auch IT-Architekturen sind zunehmend verteilt und verändern sich dynamisch: Monolithische Webapplikationen werden durch unzählige Microservices abgelöst, bei denen Daten und Applikationen verstreut und von überall zugänglich sind. Durch die automatische Skalierung und das Ausrollen neuer Versionen werden laufend neue Container gestartet. Bei der zunehmenden Komplexität geht schnell ein System vergessen; der umfassende Schutz sensibler Daten wird zur Herausforderung. Die Zugriffskontrolle muss sich deshalb von den äußeren Perimetern in Richtung der einzelnen Dienste verschieben. Statt blindem Vertrauen wird der Hotelgast laufend, aber unauffällig kontrolliert.
Heterogene IT-Strukturen: Mit Microservices und Zero-Trust-Architektur
Am effizientesten und sichersten ist es, wenn diese Kontrollen nicht in der Applikation selbst stattfinden, sondern in einem Microgateway unmittelbar davor. Genauer gesagt in ganz vielen Microgateways: Bei konsequenter Umsetzung von Zero Trust verfügt jeder (Micro-) Service über einen eigenen Microgateway. Auch hier sorgen die Entkopplung und Wiederverwendung der Sicherheitschecks für eine Beschleunigung der Entwicklung. Indirekt sorgen Microgateways also für ein schnelleres Prototyping und die unkomplizierte Lancierung von neuen Angeboten.
Microgateway: Der Erfolgsfaktor für agile IT-Security
Microgateways sind hoch effizient und können schnell und ressourcenschonend implementiert werden. Technisch betrachtet ist ein Microgateway im Kern ein Reverse Proxy, der den durchlaufenden Datenverkehr filtert und den Zutrittsschlüssel (z.B. in Form eines JWT-Tokens) bei jeder Anfrage prüft. Je nach Art des Datenverkehrs agiert das Microgateway dabei als Web Application Firewall oder als API-Security Gateway. Dank einfacher Automatisierung und Optimierung für orchestrierte Containerumgebungen sind Microgateways ein Schlüsselelement jeder DevSecOps-Initiative.
Doppelt genäht hält besser
Das zentrale Security Gateway hat trotz der vielen Microgateways noch nicht ausgedient. Die Rolle des Gateways an der Peripherie des Unternehmensnetzwerks verändert sich dahin, den Grundschutz sicher zu stellen. Denn doppelt genäht hält einfach besser, das predigt jeder Sicherheitsexperte. Diese Rollenanpassung passiert nicht von heute auf morgen und es wird eine Übergangsphase geben, in der noch nicht alle Applikationen ihr eigenes Microgateway haben. Häufig wird es neben den eigenentwickelten Applikationen auch gekaufte Applikationen geben, welche weiterhin zentral geschützt werden sollen. Trotzdem wird mit jeder Applikation, die ein Microgateway nutzt, die Konfiguration des zentralen Gateways einfacher und weniger komplex.
Das Access Management kann ein weiterer Grund sein, warum ein zentrales Gateway grosse Vorteile hat. In modernen Systemen kommt es immer häufiger vor, dass verschiedene Identity Provider für die Authentifizierung der Benutzer eingesetzt werden. Die Verwaltung und Integration der verschiedenen Identity Provider erfolgt normalerweise im Identity und Access Management (IAM). Das IAM prüft alle externen Token und stellt anschließend ein einziges, intern gültiges Token aus. Das vereinfacht die Aufgabe für jedes Microgateway, weil alle Microgateways nur eine Token-Art unterstützen müssen. Es entlastet die Applikationsentwickler, weil die Integration neuer Identity Provider und die Anpassungen für Bestehende im zentralen IAM Service gelöst wird. Diese Transformation von externen Identitäten in ein intern gültiges Token wird vom zentralen Gateway direkt an der Peripherie durchgesetzt.
Intelligente Sicherheit: Zusammendenken, was zusammengehört
Fazit: Geschäftsprozesse und Softwareentwicklung werden immer agiler. Da muss die IT-Security Schritt halten, um nicht zum Bremsklotz zu werden. Dabei führt kein Weg an DevSecOps-Methoden vorbei, die sich am besten mit Microservices, Microgateways und einer Zero-Trust-Architektur umsetzen lassen. Aber dieser Wechsel zu einer agilen Sicherheitskultur geschieht nicht über Nacht und das anschließende Resultat ist kein simples Schwarz-Weiss. Denn eine wirklich performante Sicherheit ist immer eine gestaffelte Sicherheit: Mit einem API-Security Gateway zum Schutz von APIs, mit einem zuverlässigen IAM-System für die zentralen Authentifizierungsprozesse und mit Microgateways, welche die feingranulare Filterung der Anfragen und die Sicherheit des spezifischen Microservices oder Applikation sicherstellen.
Airlock Microgateway: Try-Before-You-Buy
Besser als viele Worte: Testen Sie jetzt gratis das Airlock Microgateway und nutzen Sie kostenlos die Basisfunktionalität. Fortgeschrittene Sicherheitsfunktionen sind jedoch der Premiumversion vorbehalten. Dazu gehört beispielsweise die Prüfung und Durchsetzung von OpenAPI Schnittstellenbeschreibungen.
Blognews direkt in Ihr Postfach
Der Airlock Newsletter informiert Sie laufend über neue Blogartikel.