:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453e9510c0b5ec232436c67b757ec4c/0109343935.jpeg "Die Nonce sorgt für Ordnung innerhalb einer Blockkette, lässt sich aber auch aktiv für sicherheitsrelevante Aktivitäten nutzen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/04/68/04689667589ad630b19fe77b9a7babc7/0109404868.jpeg "Mit Effekten von Motion-UI kann jedes Unternehmen seine Produktbereitstellungsquoten schnell verbessern. (Bild: <a href=https://github.com/foundation/motion-ui>Foundation CSS auf GitHub</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/14/c614e97ce76ae02ed694f2660dee3efc/0110374544.jpeg "WebGoat ist eine bewusst unsicher konzipierte Docker-Anwendung. (Bild: © – anttoniart – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/12/b4126a87dc658d03d79de40f241b3738/0110245419.jpeg "Beim „Green Coding“ geht es darum, Software möglichst energieeffizient und damit nachhaltig zu programmieren. (Bild: © – ArtemisDiana – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/e7/0fe7f900a0b01f30902f3c7209857b5e/0110554825.jpeg "Jörg Noack, Consol: „DevOps ist nichts, was Unternehmen allgemein und Entwickler-Teams speziell ‚on the run‘ umsetzen können.“ (Bild: Consol)")
:quality(80)/p7i.vogel.de/wcms/06/8b/068b715609066fc32136cb84cba7787e/0110333503.jpeg "Die Architektur der Microsoft AKS Edge Essentials. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/7f/47/7f47414337bafb5fa6a0cac40dce6101/0109278962.jpeg "Die Möglichkeiten von Sysbox im Überblick. (Bild: <a href=https://github.com/nestybox/sysbox/tree/master/docs/figures>Nestybox via GitHub</a>)")
:quality(80)/p7i.vogel.de/wcms/92/74/9274f298d0379fd1f70425c82054160b/0110295392.jpeg "In der echten Welt sind Container solide Storage-Einheiten. In der IT benötigen Container zusätzlichen Storage, da sie selbst nur flüchtige Software-Einheiten darstellen. (Bild: Achim Banck - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/28/b1280f3563f48b0d3f49ec4c0f5c116c/0109915179.jpeg "Pure Storage sorgt mit dem Observability and Monitoring Service für optimierte Transparenz in IT-Umgebungen. (Bild: Pure Storage)")
:quality(80)/p7i.vogel.de/wcms/79/e6/79e65075f5eca3f177c438b5d5778240/0109951044.jpeg "Die fehlende Kommunikation ist mittlerweile kein ernsthaftes Gegenargument mehr für eine Outsourcing-Strategie. (Bild: <a href=https://www.pexels.com/@thisisengineering/>ThisIsEngineering</a>)")
:quality(80)/p7i.vogel.de/wcms/4d/76/4d763e8fab15113bc86a1b3a0ea99808/0110053611.jpeg "Cloud-gestützte Anwendungen machen Betriebsstrukturen schnell agil und modern. Damit werden Unternehmen vor allem für die Generation Z attraktiv. (Bild: tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/16/04/160481e1af171c4e5f385bf8eb9eb6ae/0110498754.jpeg "Oracle stellt in Zusammenarbeit mit der OpenJDK-Community alle sechs Monate eine neue Version des Oracle Java Development Kit bereit. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351a0c0c6dad9d13c882bd69ee6ca42/0110012670.jpeg "Modelldatei zur Repräsentation des Schemas. (Bild: Krypzcyk & Bochkor / DbSchema)")
:quality(80)/p7i.vogel.de/wcms/b4/a6/b4a61bbbfe9a9cf25c84765622ea0158/0110026310.jpeg "Tabnine kann Code mithilfe von Anweisungen in menschlicher Sprache generieren und vervollständigen. (Bild: <a href=https://www.tabnine.com/>Tabnine</a>)")
:quality(80)/p7i.vogel.de/wcms/8c/69/8c69011ea441f70be8b619b91f24d294/0110241904.jpeg "Einstein GPT ist laut Salesforce die erste generative KI für CRM. (Bild: Salesforce)")
:quality(80)/p7i.vogel.de/wcms/64/91/6491be5132b77668c299ce6e466ca14c/0109296609.jpeg "Microcontroller-Boards gibt es zuhauf, wir stellen einige Arduino-Alternativen vor. (Bild: <a href=https://pixabay.com/users/aakelner-9429309/>Alexander Kelner</a>)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Spezielle Sicherheitsprobleme API-Kommunikation von Microservices absichern
Microservices-Architekturen unterliegen anderen Sicherheitsrisiken als monolithische Architekturen. Deshalb ist es wichtig, sich mit diesen Themen zu beschäftigen, bevor man Microservices in seine IT-Umgebung integriert.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/104600/104681/65.png "Logo-ColorVersion-CMYK.png ()")
:fill(fff,0)/p7i.vogel.de/companies/62/44/62441f164417b/fastly-logo-2020--3-.jpeg "fastly-logo-2020--3- (Fastly)"){kind=logo}
Mit Microservices lässt sich die Anwendungsentwicklung und bereitstellung in einen zügigen und nahtlosen Vorgang verwandeln. Riesige, monolithische Anwendungen zerfallen dadurch in eine Gruppe individueller und unabhängiger Dienste.
Solche Architekturen passen sehr gut zu iterativen und agilen Entwicklungsstrategien und werden technologisch durch Werkzeuge wie Containerisierung ermöglicht. Sie passen sehr gut zu unternehmerischen, API-basierten Anwendungsfällen und strukturell in die DevOps-Bewegung.
Viele der heutigen wachstumsstärksten Organisationen wie Netflix, Uber und Lyft haben den Sprung bereits gewagt: Entweder durch den Übergang auf Microservices oder durch ihren unmittelbaren Einsatz bei Anwendungsprogrammen von Anfang an.
Größere Angriffsfläche als Monolithen
Auf Microservices basierende Anwendungsprogramme unterscheiden sich stark von Anwendungen, die als einzelne große Monolithen implementiert sind. Nach dem Zergliedern einer Anwendung in einzelne Dienste wird den betreffenden Organisationen meist sehr schnell klar, dass sie damit möglicherweise die Büchse der Pandora geöffnet haben.
Mikrodienste können nämlich vertrauenswürdigen Kunden über APIs und Internet-Endpunkte direkten Zugriff auf interne Daten und Dienste ermöglichen. Dieser direkte Zugriff vergrößert die potenzielle Angriffsfläche, die deshalb gut gesichert werden muss.
Besonderheiten des API-Schutzes
Microservice-Anwendungen stützen sich für die interne Kommunikation sehr stark auf APIs. Deshalb ist es sinnvoll, einige dieser APIs nach außen freizugeben, und durch leistungsfähige Javascript-Clients Webseiten und Ansichten auf das Client-Gerät erstellen zu lassen. Das heißt also, der Schutz von APIs stellt eine ganz andere Herausforderung dar als das Sichern von normalem Internet-Datenverkehr.
Im Vergleich zu komplexen HTML-Vorgängen, die über HTTP-Datenverkehr laufen, lassen sich APIs verhältnismäßig einfach absichern. APIs sind strukturierter und bieten klar definierte Authentisierungs- und Berechtigungsmaßnahmen sowie klar definierte und leicht verständliche Abfrage- und Antwortformate.
Möglicherweise stellen APIs jedoch mehr Funktionen zur Verfügung und geben sensible interne Informationen preis. Deshalb ist es enorm wichtig, alle von außen zugänglichen APIs sorgfältig zu prüfen, um so die eventuell freigegebenen Daten sowie die mit ihnen interagierenden Systeme zu bestimmen.
In vielen Fällen ist es für die betreffenden Organisationen eher schwierig, ein intern verwendetes API nachträglich abzusichern. Stattdessen empfiehlt es sich, für die externe Kommunikation ein eigenes „bereinigtes“ API zu entwickeln und mit Sicherheitsfunktionen wie begrenzter Durchsatzrate (rate-limiting), Detail-Protokollierung und Abtrennungsmechanismen auszustatten.
APIs für externen Zugriff per Gateway absichern
Durch ein geeignetes API-Gateway, das einen einzigen Zugangspunkt zum System erlaubt, vermeidet man, dass Clients über ihren öffentlichen Endpunkt Anfragen direkt an jeden Microservice stellen. Dabei muss es sich keineswegs um ein spezielles Gerät handeln.
In vielen Anwendungsfällen können Organisationen einen intelligenten Reverse Proxy einsetzen, mit dem sie API-Anfragen prüfen und authentisieren sowie deren Datenrate einschränken können. Er stellt dann eine Art Pförtner dar, erlaubt nur Anfragen, die bestimmte Kriterien erfüllen und protokolliert alle Vorgänge.
Die entsprechenden Organisationen sollten sicherstellen, dass der gesamte API-Verkehr TLS-verschlüsselt ist (TLS = Transport Layer Security), und dass jeder API-Client sowohl eine Anwendungs-ID (einen API-Schlüssel oder ein anderes „Shared Secret“) als auch eine Nutzer-ID (ein SSL-Zertifikat oder OAuth-Token) verwendet. Bei anonymen API-Anfragen sollte außerdem eine eindeutige User-ID verwendet, die Datenrate beschränkt und der Datenverkehr protokolliert werden.
Interne Sicherheit einer Microservices-Anwendung
Man sollte die anderen Bestandteile der Anwendung stets kritisch betrachten. Auch wenn sie heute vollkommen vertrauenswürdig sind, so gibt es keine Garantie dafür, wie stark die Zahl der Clients der Anwendung in Zukunft wachsen wird.
Deshalb sollten die betreffenden Organisationen als Standard für die gesamte interne Kommunikation TLS einsetzen und eine Zertifikatsprüfung sowohl für Nutzer (Clients) als auch Anbieter (Server) von Grund auf in die Architektur einbauen. Die durch die verschlüsselten Verbindungen entstehenden Leistungseinbußen können durch Proxy-Beschleunigung minimiert werden.
Zur Sicherung des internen Datenverkehrs sollte für den gesamten Netzwerk-Datenverkehr SSL-Verschlüsselung zum Einsatz kommen. Dies kann über PKI, eine Public-Key-Infrastruktur, geschehen, womit eine fein abgestimmte Authentisierung und Zugangssteuerung für den gesamten internen Datenverkehr erzielt wird.
Vor dem Wechsel auf Microservices müssen sich Unternehmen also gründlich mit den Sicherheitsaspekten einer solchen Infrastruktur auseinandersetzen und diese auch verstehen. Wenn alle diese Herausforderungen von Anfang an berücksichtigt werden, sind die Organisationen gut vorbereitet und können die Flexibilität und Skalierbarkeit von Microservices in vollem Umfang nutzen.
* Owen Garrett verfügt über mehr als 15 Jahre Erfahrung in Software-Technologie und Produkt-Management bei Unternehmen wie Riverbed und OnApp, wo er Technologien zur Software-Lastverteilung und Anwendungsbereitstellung entwickelte. Er hat diverse Patente im Bereich Software-Technologie angemeldet, unter anderem zum Routing von Netzwerk-Datenverkehr und zum Management von Client-Datenanfragen. Heute leitet Owen Garrett die Produkt- und Markteinführungsstrategie für die Web-Beschleunigungs- und Bereitstellungstechnologien von NGINX.
(ID:44944255)
:quality(80)/images.vogel.de/vogelonline/bdb/1895000/1895014/original.jpg "APIs sind insbesondere für bestimmte Angriffstypen anfällig. Keine davon sind neu. Auf Grund fehlender Maßnahmen sind sie häufig sehr effektiv. (Sergey Nivens - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1896100/1896169/original.jpg "Um eine vernünftige Lastverteilung zu gewährleisten, erhält jeder aufrufende Microservice eigenen integrierten Load Balancer. (geralt)")