Microgateway 4
Kubernetes-nativer Anwendungsschutz:
Das ist neuAirlock Microgateway basiert ab Version 4.0 auf Envoy Proxy, dem De-facto-Standard für die Datenebene im Kubernetes-Umfeld. Die bewährten Airlock Gateway-Komponenten Apache und Security Gatekeeper passten bezüglich Speicherbedarf und Prozessmodell nicht zur leichtgewichtigen Architektur moderner Cloud-Anwendungen. Als Ersatz wurde mit Envoy ein Proxy gewählt, der für Cloud-native Anwendungen entwickelt wurde und daher ideal in das Kubernetes-Ökosystem passt. Envoy unterstützt moderne Protokolle wie HTTP/3 und ist mit Lua-Skripten erweiterbar und bietet bereits einen grossen Funktionsumfang. Darüber hinaus harmoniert Envoy gut mit einem Service-Mesh wie Istio.
In Kubernetes zu Hause.
Mit oder ohne Service Mesh.Immer mehr Webanwendungen und APIs werden in Kubernetes betrieben. Einige Kunden setzen dabei auf ein Service Mesh, welches betriebliche Belange wie Transportverschlüsselung, Metriken, Tracing, oder Canary Deployment abdeckt. Was einem Service Mesh jedoch fehlt, ist der umfassende Schutz vor Angriffen auf der Anwendungsebene wie z.B. die OWASP Top 10.
In diese Lücke springt Airlock Microgateway: Es sorgt dafür, dass unerwünschte Besucher gar nicht erst bis zur Anwendung gelangen. Airlock Microgateway lässt sich perfekt mit Istio Service Mesh kombinieren, setzt dieses aber nicht voraus. Dies ist besonders interessant, wenn Sie heute noch kein Service Mesh einsetzen, sich aber den Weg dorthin nicht versperren wollen. Oder wenn Sie zwar grundsätzlich ein Service Mesh einsetzen, aber nicht in allen Projekten. So kann auch in einer heterogenen Anwendungslandschaft eine einheitliche Sicherheitsarchitektur umgesetzt werden.
Airlock Microgateway 4 integriert sich nahtlos in die Kubernetes-Umgebung, indem es typische Konzepte wie Operators, Sidecars und Custom Resource Definitions (CRD) verwendet. Das vereinfacht den Einstieg für Kubernetes-Anwender und unterstützt moderne DevOps-Prozesse:
- Einfache und modulare Konfiguration mit und ohne Templates (mit kustomize, helm, etc.)
- Firmenweite Sicherheitsrichtlinien: Securityexperten können mit Tools wie Open Policy Agent, Kyverno oder Kubewarden Leitplanken definieren und beispielsweise verhindern, dass wichtige Sicherheitsfilter in der Produktion deaktiviert werden.
- Security as Code: GitOps-taugliche Deklaration von Infrastruktur und Sicherheitsregeln in yaml-Dateien
- Plugins für moderne IDEs sorgen für automatische Validierung, Code-Vervollständigung und Tooltips beim Editieren der Microgateway Konfiguration.
Ein Service Mesh wie Istio schützt nicht vor Angriffen auf Anwendungsebene wie z.B. den OWASP und OWASP API Top 10.
In diese Lücke springt Airlock Microgateway.
Bewährte Airlock-Sicherheit
für Kubernetes-ClusterObwohl der Microgateway-Kern durch Envoy ersetzt wurde, haben wir die bewährten Sicherheitsfunktionen beibehalten. Dazu gehören insbesondere:
- Airlock Deny Rules für den preisgekrönten Schutz vor bekannten Angriffen und Zero-Day-Exploits wie Log4Shell.
- Header Rewrites zum Filtern und Umschreiben von HTTP Headers, oder zum Einfügen von Security Headers wie HSTS, X-Frame-Optionen oder CSP in der Response.
- Request Limiten zur Beschränkung der Grösse des gesamten Request Bodies, der maximalen Anzahl Parameter sowie der maximalen Länge von Parameter-Namen und Werten (auch für JSON-Parameter).
- Telemetrie-Schnittstellen wie Prometheus Metriken und strukturierte Logs im ECS-Format (Elastic Common Schema) erleichtern die Überwachung und Analyse.
- Minimale Containerberechtigungen gemäss dem Principle of Least Privilege (POLP) sind dank dem CNI-Plugin möglich. Reduzierte Open-Source-Abhängigkeiten führen zusätzlich zu einer deutlich kleineren Angriffsfläche im Vergleich zu Microgateway 3.x.
Umstieg von Microgateway 3.x
Die neue Architektur und Funktionsweise von Airlock Microgateway 4.x hat zur Folge, dass sich auch die Konfiguration von den Vorgängerversionen unterscheidet. Gerne unterstützen wir Sie bei der Migration oder bei Fragen zur Umstellung. Airlock Microgateway 3.3 wird noch bis Ende 2023 unterstützt und mit Sicherheits-Updates versorgt.
Kostenlose Community Edition
Die kostenlose Community Edition enthält neu alle wichtigen Sicherheitsfunktionen von Airlock Microgateway. Im Unterschied zur Premium Edition ist sie auf kleine Installationen und die Verwendung im Entwicklungsumfeld ausgerichtet.
Wollen Sie es gleich ausprobieren?
Mit Instruqt können Sie hier Airlock Microgateway gleich ausprobieren:
Hier können Sie das Microgateway gleich mit Anleitung ausprobieren
(Die Startzeit besträgt ungefähr 3 Minuten)
Airlock Microgateway Release Webinar (Deutsch)
Aufzeichnung
Airlock Microgateway 4.0 Webinar (English)
Recording