Sicherheit in Anwendungen und Netzwerken erhöhen Traffic-Steuerung und Zero Trust per Service Mesh

Ein Gastbeitrag von Brian Gracely * Lesedauer: 6 min |

Anbieter zum Thema

Next-Gen-Anwendungen, -Architekturen und -Netzwerke erfordern auch einen Sicherheitsansatz der nächsten Generation. Wie Service Meshes die IT-Security unterstützen, zeigt dieser Artikel.

Die mit Microservices verbundene Fragmentierung von Anwendungen führt zwangsläufig zu neuen Sicherheitsrisiken und einer größeren Angriffsfläche.
Die mit Microservices verbundene Fragmentierung von Anwendungen führt zwangsläufig zu neuen Sicherheitsrisiken und einer größeren Angriffsfläche.

Unternehmen befinden sich bei ihrer digitalen Transformation in einem ständigen Wettstreit mit potenziellen Hackern, Angreifern und böswillig agierenden Personen – und das aus gutem Grund. Die Sicherheitsgrenzen sind verschwunden, die Angriffsfläche nimmt weiter zu und immer neue Angriffsvektoren tauchen auf.

Hinzu kommen globale Verwerfungen und eine geografisch verteilte, immer häufiger von zu Hause arbeitende Belegschaft. Angesichts dessen verwundert es nicht, dass Sicherheitslücken, Hacks und Angriffe die täglichen Nachrichten füllen.

Technologien der nächsten Generation - wie moderne Cloud-Native-Ansätze und Microservices – haben die Netzwerkgrenze (Perimeter) eliminiert. Vor noch gar nicht so langer Zeit trennte ein Perimeter ein Unternehmen von der Außenwelt. Heute gibt es kein „Innen“ und „Außen“; alles wird als „Außen“ betrachtet.

Eine größere Angriffsfläche, also eine größere Zahl ungeschützter und potenziell angreifbarer Ressourcen, öffnet Cyberkriminellen mehr Einfallstore. Wie können Unternehmen ihre Angriffsfläche reduzieren, ihre Sicherheitsvorkehrungen verstärken und ihr Gesamtrisiko verringern? Um genau diese Frage geht es in diesem Beitrag.

Prio Nr. 1: Sicherheit

Warum ist Sicherheit für die meisten Unternehmen von größter Bedeutung? Aktuelle Studien zeigen: Für 83 Prozent der Unternehmen „geht es nicht darum, ob eine Datenschutzverletzung eintritt, sondern wann – in der Regel passiert das mehr als einmal.“ Die durchschnittlichen Kosten einer Datenschutzverletzung weltweit belaufen sich auf 4,35 Millionen US-Dollar (aktuell circa 4,016 Millionen Euro).

Vorausschauende Unternehmen haben Defense in Depth (DiD) implementiert, einen mehrschichtigen, koordinierten Ansatz mit mehreren Sicherheitsmaßnahmen, um die wertvollen Daten und Informationen zu schützen. Zero Trust, ein anderer aktuell propagierter Ansatz bedeutet im Grunde genommen: Prüfen, prüfen und nochmals prüfen, dann vertrauen und verifizieren. Der Report „The State of Zero Trust Security 2022“ zeigt, wie sehr der Ansatz bereits um sich greift.

Die Einsicht, dass Unternehmen nur mit einem neuen Sicherheitsansatz der veränderten Bedrohungslage Rechnung tragen können, ist also vorhanden. Die Zeit aber drängt, das auch umzusetzen. Behörden, Konzerne sowie kleine und mittlere Unternehmen kämpfen damit, ihre Ressourcen zu sichern – und das mit zahlreichen Teams, an mehreren Geräten und mehreren Standorten. Eine der größten Herausforderungen ist es dabei, genau zu bestimmen, was alles gesichert werden muss.

Microservices und moderne Anwendungen bestehen aus exponentiell mehr Teilen als frühere Generationen von Anwendungen. Ein Microservice kann zehn Einzelteile enthalten, während eine frühere Anwendung nur eines hatte. Wer diese mehrteiligen Anwendungen und Services aufschlüsselt, muss berücksichtigen, wie all diese Teile über das Netzwerk kommunizieren – ein Netzwerk, dem von Natur aus nicht getraut werden sollte.

Service Mesh als Lösung

Mit dem Cloud-nativen Ansatz entwickeln Unternehmen neue Arten von Anwendungen und Microservices, die einfacher zu skalieren sind und einen höheren Geschäftswert schaffen. Bei Microservices besteht die Software aus kleinen, unabhängigen Services, die über genau definierte Schnittstellen (APIs) kommunizieren.

Dies führt zu neuen Sicherheitsrisiken (und einer größeren Angriffsfläche). Grundsätzlich wird mehr Datenverkehr über das Netzwerk abgewickelt, was bedeutet, dass mehr Bestandteile von Anwendungen verfolgt werden müssen. Außerdem kommt es zu mehr (und häufigeren) Änderungen an diesen Anwendungen. Und mit der Ausweitung von Cloud-Native-Initiativen wächst die Zahl der Entwickler und der Anwendungsentwickler-Teams.

Dies wirft mehrere Fragen auf: Ist das Netzwerk vertrauenswürdig? Wenn immer mehr Teams zu diesen Anwendungen beitragen, wie lässt sich sicherstellen, dass alle Beteiligten identifiziert werden können? Wie lässt sich die Sicherheit von Anwendungen und Services, die außerhalb der eigenen Domäne liegen, verwalten? Wie kann man weiterhin alles validieren, wenn es immer wieder zu Änderungen kommt? Wie können Auftragnehmer und die von ihnen erstellte Software geprüft werden? Hier kann ein Service Mesh helfen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Ein Service Mesh kann als ein Netzwerk-Framework beschrieben werden, das für Beobachtbarkeit, Sicherheit und Zuverlässigkeit von verteilten Anwendungen sorgt. Dies geschieht auf dem Plattform-Layer und nicht auf der Anwendungsschicht. Da Cloud-native Anwendungen in der Regel aus Dutzenden oder Hunderten von Microservices bestehen, ist die Kommunikation zwischen den Services entscheidend – aber schwierig zu verwalten.

Ein Service Mesh steuert die Kommunikation von Service zu Service über ein Netzwerk effektiv (und sicher) und ermöglicht die Überwachung und Verwaltung des Datenverkehrs zwischen den Anwendungen (‚application traffic monitoring‘). Je mehr ein Unternehmen bei der Erstellung von Software auf Microservices angewiesen ist, desto mehr kann es von einem Service Mesh profitieren.

Da immer mehr Unternehmen Microservices standardisieren (und Kubernetes dabei eine zentrale Rolle spielt), wenden sich ebenfalls immer mehr einem Service Mesh zum Betreiben dieser Architektur zu. Tatsächlich zeigt unsere Umfrage zum Stand der Service-Mesh-Implementierung im Jahr 2022, dass 85 Prozent der befragten Unternehmen ihre Anwendungen auf eine Microservice-Architektur umstellen.

Gar 87 Prozent berichten, dass sie ein Service Mesh nutzen oder evaluieren, um eine immer komplexere Anwendungsumgebung zu verwalten. Gleichzeitig entwickelt sich Istio zum Kubernetes des Service Mesh. Führende Unternehmen entscheiden sich mit einem Verhältnis von fast drei zu eins für ein Service Mesh auf Basis von Istio.

Service Mesh als (sichere) Traffic-Steuerung

Ein Service Mesh bewältigt die größten Herausforderungen bei der Entwicklung und Sicherung von Microservices und modernen Anwendungen – verschiedene Teams mit unterschiedlichen Sprachen und Rahmenbedingungen. Der Schlüssel hierzu ist, dass Authentifizierung und Autorisierung auf eine gemeinsame Infrastrukturschicht verlagert werden.

Das Service Mesh hilft bei der Authentifizierung zwischen den Services, um einen sicheren Datenfluss zu gewährleisten und die Autorisierung von Service zu Service und vom Endnutzer zum Service durchzusetzen. Es setzt rollenbasierte Zugriffskontrolle (RBAC) und attributbasierte Zugriffskontrolle (ABAC) durch. Und es kann sowohl die Identität eines Microservice als auch die Ressource (Server), auf der der Microservice läuft, validieren.

Innerhalb des Netzwerks übernimmt das Service Mesh die Kontrolle des Datenverkehrs, so dass die Anwendungs-Entwicklerteams sich auf ihre eigentliche Aufgabe konzentrieren können. Sie müssen sich nicht darum kümmern, diese Anwendungen zu sichern. Es bietet einheitliche Sicherheitsrichtlinien für den internen und externen Datenverkehr und eine flexible Authentifizierung von Nutzern und Rechnern.

Gleichzeitig ermöglicht das Service Mesh eine kryptografisch vertrauenswürdige Authentifizierung sowohl für Nutzer (Menschen) als auch für Maschinen oder Anwendungen. Die kryptografische Sicherheit hängt von Schlüsseln zur Ver- und Entschlüsselung von Daten ab, um Nutzer zu verifizieren und ihre Identität zu validieren. Es ermöglicht nicht nur verschlüsselte Pfade zwischen Anwendungen, sondern auch eine flexible Ausfallsicherung (und eine erhöhte Betriebszeit) sowie Sicherheitsprotokollierung und -überwachung.

Service Mesh und Zero Trust

Der Zero-Trust-Ansatz ist für schnelllebige, Cloud-native Anwendungsumgebungen unerlässlich. Viele Unternehmen und Behörden setzen auf das Service Mesh bei ihren Zero-Trust-Initiativen.

Behörden zum Beispiel betreiben viel Aufwand damit, um Infrastrukturen (einschließlich kritischer Infrastrukturen) vor Hackern, böswilligen Akteuren und Angreifern zu schützen. Diese können von innen – durch verärgerte Mitarbeiter oder Verstöße von Auftragnehmern/Lieferanten – oder außen – Bedrohungen aus dem Ausland – kommen. Infolgedessen geht es nicht um Insider vs. Outsider; jeder ist ein Outsider. Vertraut wird erst, wenn die Vertrauenswürdigkeit bewiesen ist.

Ein Service Mesh unterstützt dabei Menschen, Geräte und Rollen zu authentifizieren, kryptografisch zu validieren und zu autorisieren. Man kann ein Service Mesh auch verwenden, um Richtlinien durchzusetzen und potenzielle Bedrohungen zu erkennen: Wenn ein Wissensarbeiter ein bestimmtes Traffic-Limit überschreitet oder mit einer privaten Datenbank „spricht“, lässt sich dies schnell unterbinden.

Genehmigte Traffic-Muster lassen sich damit genauso definieren wie Regeln dafür, wer sich womit beschäftigen darf. Das beliebte und in der Branche bewährte Istio Service Mesh ermöglicht konsistente Sicherheit von Layer 4 (Geräte, Verbindungen) bis Layer 7 (Anwendungen), kryptografische Identität sowie bekannte Sicherheitsmuster sowohl für den internen als auch für den externen Datenverkehr. Istio Service Mesh, das von der CNCF (Cloud Native Computing Foundation) verwaltet wird, hat sich in Kubernetes-Umgebungen durchgesetzt.

Brian Gracely
Brian Gracely
(Bild: Solo.io)

Service Mesh ist eine Mainstream-Technologie, die relativ einfach zu implementieren und für Unternehmen in jedem Bereich anwendbar ist. Es ist ein effektiver und effizienter Weg, um eine vertrauenswürdige Netzwerksicherheit zu erreichen und im Idealfall dafür zu sorgen, dass ein Unternehmen den Verstößen, Hacks und Bedrohungen von morgen einen Schritt voraus ist.

* Brian Gracely, Vice President Product Strategy, Solo.io

(ID:49235131)