:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/d0/52/d05265b738654350e7d819867affca43/0109507650.jpeg "Die Minimierung der Speichernutzung von Smart Contracts kann zu massiven Einsparungen führen. (Bild: <a href=https://pixabay.com/users/jievani-21902109/>Jievani Weerasinghe</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/66/186655e9134fe3b945da166b7feb7135/0111465990.jpeg "Ziel sollte bei B2B-Anwendungen sein, dass die User Experience genauso überzeugt wie bei B2C-Apps. (© BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/c7/97c7a05ac5a646694120d027dcc042fa/0111573077.jpeg "Dank einiger Tools kann jeder selbst testen, ob die eigene Website auch wirklich DSGVO-konform ist. (Bild: © – fotohansel – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dd/d7/ddd7f2c4859b85a8b1688f38e3092085/0111289633.jpeg "Code-Fragmente machen das Programmieren deutlich effizienter. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/f8/3f/f83fb5a4d26dc22680f3e18abf76b22b/0112120630.jpeg "Über den Security Tab in der Jira Software Cloud lassen sich Sicherheitsprobleme schnell anzeigen, filtern, priorisieren und beheben. (Bild: Atlassian)")
Atlassian integriert populäre DevSecOps-Tools :quality(80)/p7i.vogel.de/wcms/fe/ad/fead485d5a58bf88def0f18c26dd44f5/0110853381.jpeg "Neben gewissen Hard und Soft Skills ist es wichtig, dass Developer ihre eigene Nische finden. (Bild: <a href=https://www.pexels.com/@punttim/>Tim Gouw</a>)")
:quality(80)/p7i.vogel.de/wcms/08/c5/08c570a57a8bcb6c8de7662e3ea3ecaf/0112066693.jpeg "Das Open-Source-Projekt Git 2.41 umfasst neue Funktionen und Fehlerkorrekturen von über 95 Mitwirkenden. (Bild: Git)")
:quality(80)/p7i.vogel.de/wcms/22/37/2237e6f7da0afd0bc9660071e5772dbb/0111322090.jpeg "Observability erweitert und ergänzt das klassische Monitoring um Bigdata und KI – und erlaubt somit einen umfassend datengestützen Blick auf Detailfragen. (Bild: © lexiconimages - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2e/89/2e899f48fe0ae3adc502ac74b23b81ee/0111867208.jpeg "Als Teil der Backstage.io-Community stellt Red Hat die eigens für den Developer Hub entwickelten Plug-ins für alle bereit. (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/9e/fa/9efa0cc7438c341e53e44ab403510441/0111640567.jpeg "Der Open-Source-Scanner Trivy lässt sich unter anderem per CLI aufrufen und unterstützt nun auch die Kubernetes-Benchmarks des CIS. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/b8/bf/b8bfcf221961042a9d80a661969868af/0111108621.jpeg "Der Abbau von technischen Schulden bindet Ressourcen, die für aktuelle Projekte dringend benötigt werden. (Bild: © – profit_image – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3e/61/3e61a6ad22070f1d8239744aa90462ad/0111352868.jpeg "Der sogenannte „Renovate Bot“ aktualisiert nicht selbst, sondern stellt Merge-Requests an das Development Team. (Bild: <a href=https://pixabay.com/de/users/mohamed_hassan-5229782/>Mohamed Hassan</a>)")
:quality(80)/p7i.vogel.de/wcms/a1/2b/a12b814d8d4e1d5ae4d9817d12f5a2d5/0110227353.jpeg "BPMN ist ein intuitives Tool, das sich zu einem Standardverfahren für die Visualisierung von Geschäftsprozess-Workflows entwickelt hat. (© NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ee/4e/ee4e8297cfd46fc9c8c320f1eeec2684/0111409621.jpeg "Im Kern ist ein immutable System unveränderlich, im Zuge von Aktualisierungen wird es komplett neu ausgerollt. (Bild: <a href=https://unsplash.com/@shubzweb3>Shubham's Web3</a>)")
:quality(80)/p7i.vogel.de/wcms/40/35/403577de25d85c367070cfa293d57e17/0110619848.jpeg "Deno soll gegenüber Node.js einige Vorteile bergen, darunter den der Schnelligkeit. (Bild: Deno)")
:quality(80)/p7i.vogel.de/wcms/64/e5/64e5bb62907eb2ef143867915a18f8c1/0112124486.jpeg "MariaDB hat SkySQL aktualisiert und unter anderem eine überarbeitete Benutzeroberfläche eingeführt. (Bild: MariaDB)")
:quality(80)/p7i.vogel.de/wcms/52/01/5201560a889ec559b10fd1fa267d3e42/0112103983.jpeg "Das „monday dev“-Toolkit erweitert die Work-OS-Plattform um Tools für agiles Arbeiten. (Bild: Monday.com)")
:quality(80)/p7i.vogel.de/wcms/d7/5d/d75dd4e7e5614676caa077f8959c7931/0111672406.jpeg "Typischer ereignisgesteuerter IT-Automatisierungsprozess (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/47/95/47956b35ff608be7a8bbfe6bdc0522de/0111105620.jpeg "Laut einer aktuellen Progress-Studie bereiten Datenverzerrungen deutschen Unternehmen immer noch Kopfzerbrechen. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/50/1e/501e67c0fb83d75fc4e0959b137e349b/0111403157.jpeg "Large Language Models verstehen natürliche Sprache, können übersetzen, auf Basis ihrer Daten neuen Text generieren und vieles mehr. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/19/31/1931878346987d5f61c5ed1b967599ae/0104711006.jpeg "Datenstrukturen werden in der Regel auf die Verarbeitung durch Algorithmen hin optimiert. (Bild: Kittiphat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
Sicherheit in Anwendungen und Netzwerken erhöhen Traffic-Steuerung und Zero Trust per Service Mesh
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
Next-Gen-Anwendungen, -Architekturen und -Netzwerke erfordern auch einen Sicherheitsansatz der nächsten Generation. Wie Service Meshes die IT-Security unterstützen, zeigt dieser Artikel.
Unternehmen befinden sich bei ihrer digitalen Transformation in einem ständigen Wettstreit mit potenziellen Hackern, Angreifern und böswillig agierenden Personen – und das aus gutem Grund. Die Sicherheitsgrenzen sind verschwunden, die Angriffsfläche nimmt weiter zu und immer neue Angriffsvektoren tauchen auf.
Hinzu kommen globale Verwerfungen und eine geografisch verteilte, immer häufiger von zu Hause arbeitende Belegschaft. Angesichts dessen verwundert es nicht, dass Sicherheitslücken, Hacks und Angriffe die täglichen Nachrichten füllen.
Technologien der nächsten Generation - wie moderne Cloud-Native-Ansätze und Microservices – haben die Netzwerkgrenze (Perimeter) eliminiert. Vor noch gar nicht so langer Zeit trennte ein Perimeter ein Unternehmen von der Außenwelt. Heute gibt es kein „Innen“ und „Außen“; alles wird als „Außen“ betrachtet.
Eine größere Angriffsfläche, also eine größere Zahl ungeschützter und potenziell angreifbarer Ressourcen, öffnet Cyberkriminellen mehr Einfallstore. Wie können Unternehmen ihre Angriffsfläche reduzieren, ihre Sicherheitsvorkehrungen verstärken und ihr Gesamtrisiko verringern? Um genau diese Frage geht es in diesem Beitrag.
Prio Nr. 1: Sicherheit
Warum ist Sicherheit für die meisten Unternehmen von größter Bedeutung? Aktuelle Studien zeigen: Für 83 Prozent der Unternehmen „geht es nicht darum, ob eine Datenschutzverletzung eintritt, sondern wann – in der Regel passiert das mehr als einmal.“ Die durchschnittlichen Kosten einer Datenschutzverletzung weltweit belaufen sich auf 4,35 Millionen US-Dollar (aktuell circa 4,016 Millionen Euro).
Vorausschauende Unternehmen haben Defense in Depth (DiD) implementiert, einen mehrschichtigen, koordinierten Ansatz mit mehreren Sicherheitsmaßnahmen, um die wertvollen Daten und Informationen zu schützen. Zero Trust, ein anderer aktuell propagierter Ansatz bedeutet im Grunde genommen: Prüfen, prüfen und nochmals prüfen, dann vertrauen und verifizieren. Der Report „The State of Zero Trust Security 2022“ zeigt, wie sehr der Ansatz bereits um sich greift.
Die Einsicht, dass Unternehmen nur mit einem neuen Sicherheitsansatz der veränderten Bedrohungslage Rechnung tragen können, ist also vorhanden. Die Zeit aber drängt, das auch umzusetzen. Behörden, Konzerne sowie kleine und mittlere Unternehmen kämpfen damit, ihre Ressourcen zu sichern – und das mit zahlreichen Teams, an mehreren Geräten und mehreren Standorten. Eine der größten Herausforderungen ist es dabei, genau zu bestimmen, was alles gesichert werden muss.
Microservices und moderne Anwendungen bestehen aus exponentiell mehr Teilen als frühere Generationen von Anwendungen. Ein Microservice kann zehn Einzelteile enthalten, während eine frühere Anwendung nur eines hatte. Wer diese mehrteiligen Anwendungen und Services aufschlüsselt, muss berücksichtigen, wie all diese Teile über das Netzwerk kommunizieren – ein Netzwerk, dem von Natur aus nicht getraut werden sollte.
Service Mesh als Lösung
Mit dem Cloud-nativen Ansatz entwickeln Unternehmen neue Arten von Anwendungen und Microservices, die einfacher zu skalieren sind und einen höheren Geschäftswert schaffen. Bei Microservices besteht die Software aus kleinen, unabhängigen Services, die über genau definierte Schnittstellen (APIs) kommunizieren.
Dies führt zu neuen Sicherheitsrisiken (und einer größeren Angriffsfläche). Grundsätzlich wird mehr Datenverkehr über das Netzwerk abgewickelt, was bedeutet, dass mehr Bestandteile von Anwendungen verfolgt werden müssen. Außerdem kommt es zu mehr (und häufigeren) Änderungen an diesen Anwendungen. Und mit der Ausweitung von Cloud-Native-Initiativen wächst die Zahl der Entwickler und der Anwendungsentwickler-Teams.
Dies wirft mehrere Fragen auf: Ist das Netzwerk vertrauenswürdig? Wenn immer mehr Teams zu diesen Anwendungen beitragen, wie lässt sich sicherstellen, dass alle Beteiligten identifiziert werden können? Wie lässt sich die Sicherheit von Anwendungen und Services, die außerhalb der eigenen Domäne liegen, verwalten? Wie kann man weiterhin alles validieren, wenn es immer wieder zu Änderungen kommt? Wie können Auftragnehmer und die von ihnen erstellte Software geprüft werden? Hier kann ein Service Mesh helfen.
Ein Service Mesh kann als ein Netzwerk-Framework beschrieben werden, das für Beobachtbarkeit, Sicherheit und Zuverlässigkeit von verteilten Anwendungen sorgt. Dies geschieht auf dem Plattform-Layer und nicht auf der Anwendungsschicht. Da Cloud-native Anwendungen in der Regel aus Dutzenden oder Hunderten von Microservices bestehen, ist die Kommunikation zwischen den Services entscheidend – aber schwierig zu verwalten.
Ein Service Mesh steuert die Kommunikation von Service zu Service über ein Netzwerk effektiv (und sicher) und ermöglicht die Überwachung und Verwaltung des Datenverkehrs zwischen den Anwendungen (‚application traffic monitoring‘). Je mehr ein Unternehmen bei der Erstellung von Software auf Microservices angewiesen ist, desto mehr kann es von einem Service Mesh profitieren.
Da immer mehr Unternehmen Microservices standardisieren (und Kubernetes dabei eine zentrale Rolle spielt), wenden sich ebenfalls immer mehr einem Service Mesh zum Betreiben dieser Architektur zu. Tatsächlich zeigt unsere Umfrage zum Stand der Service-Mesh-Implementierung im Jahr 2022, dass 85 Prozent der befragten Unternehmen ihre Anwendungen auf eine Microservice-Architektur umstellen.
Gar 87 Prozent berichten, dass sie ein Service Mesh nutzen oder evaluieren, um eine immer komplexere Anwendungsumgebung zu verwalten. Gleichzeitig entwickelt sich Istio zum Kubernetes des Service Mesh. Führende Unternehmen entscheiden sich mit einem Verhältnis von fast drei zu eins für ein Service Mesh auf Basis von Istio.
Service Mesh als (sichere) Traffic-Steuerung
Ein Service Mesh bewältigt die größten Herausforderungen bei der Entwicklung und Sicherung von Microservices und modernen Anwendungen – verschiedene Teams mit unterschiedlichen Sprachen und Rahmenbedingungen. Der Schlüssel hierzu ist, dass Authentifizierung und Autorisierung auf eine gemeinsame Infrastrukturschicht verlagert werden.
Das Service Mesh hilft bei der Authentifizierung zwischen den Services, um einen sicheren Datenfluss zu gewährleisten und die Autorisierung von Service zu Service und vom Endnutzer zum Service durchzusetzen. Es setzt rollenbasierte Zugriffskontrolle (RBAC) und attributbasierte Zugriffskontrolle (ABAC) durch. Und es kann sowohl die Identität eines Microservice als auch die Ressource (Server), auf der der Microservice läuft, validieren.
Innerhalb des Netzwerks übernimmt das Service Mesh die Kontrolle des Datenverkehrs, so dass die Anwendungs-Entwicklerteams sich auf ihre eigentliche Aufgabe konzentrieren können. Sie müssen sich nicht darum kümmern, diese Anwendungen zu sichern. Es bietet einheitliche Sicherheitsrichtlinien für den internen und externen Datenverkehr und eine flexible Authentifizierung von Nutzern und Rechnern.
Gleichzeitig ermöglicht das Service Mesh eine kryptografisch vertrauenswürdige Authentifizierung sowohl für Nutzer (Menschen) als auch für Maschinen oder Anwendungen. Die kryptografische Sicherheit hängt von Schlüsseln zur Ver- und Entschlüsselung von Daten ab, um Nutzer zu verifizieren und ihre Identität zu validieren. Es ermöglicht nicht nur verschlüsselte Pfade zwischen Anwendungen, sondern auch eine flexible Ausfallsicherung (und eine erhöhte Betriebszeit) sowie Sicherheitsprotokollierung und -überwachung.
Service Mesh und Zero Trust
Der Zero-Trust-Ansatz ist für schnelllebige, Cloud-native Anwendungsumgebungen unerlässlich. Viele Unternehmen und Behörden setzen auf das Service Mesh bei ihren Zero-Trust-Initiativen.
Behörden zum Beispiel betreiben viel Aufwand damit, um Infrastrukturen (einschließlich kritischer Infrastrukturen) vor Hackern, böswilligen Akteuren und Angreifern zu schützen. Diese können von innen – durch verärgerte Mitarbeiter oder Verstöße von Auftragnehmern/Lieferanten – oder außen – Bedrohungen aus dem Ausland – kommen. Infolgedessen geht es nicht um Insider vs. Outsider; jeder ist ein Outsider. Vertraut wird erst, wenn die Vertrauenswürdigkeit bewiesen ist.
Ein Service Mesh unterstützt dabei Menschen, Geräte und Rollen zu authentifizieren, kryptografisch zu validieren und zu autorisieren. Man kann ein Service Mesh auch verwenden, um Richtlinien durchzusetzen und potenzielle Bedrohungen zu erkennen: Wenn ein Wissensarbeiter ein bestimmtes Traffic-Limit überschreitet oder mit einer privaten Datenbank „spricht“, lässt sich dies schnell unterbinden.
Genehmigte Traffic-Muster lassen sich damit genauso definieren wie Regeln dafür, wer sich womit beschäftigen darf. Das beliebte und in der Branche bewährte Istio Service Mesh ermöglicht konsistente Sicherheit von Layer 4 (Geräte, Verbindungen) bis Layer 7 (Anwendungen), kryptografische Identität sowie bekannte Sicherheitsmuster sowohl für den internen als auch für den externen Datenverkehr. Istio Service Mesh, das von der CNCF (Cloud Native Computing Foundation) verwaltet wird, hat sich in Kubernetes-Umgebungen durchgesetzt.
Service Mesh ist eine Mainstream-Technologie, die relativ einfach zu implementieren und für Unternehmen in jedem Bereich anwendbar ist. Es ist ein effektiver und effizienter Weg, um eine vertrauenswürdige Netzwerksicherheit zu erreichen und im Idealfall dafür zu sorgen, dass ein Unternehmen den Verstößen, Hacks und Bedrohungen von morgen einen Schritt voraus ist.
* Brian Gracely, Vice President Product Strategy, Solo.io
(ID:49235131)
:quality(80)/images.vogel.de/vogelonline/bdb/1952200/1952282/original.jpg "Who is who: Bei einer Zero-Trust-Richtlinie gilt es, vor einem Zugriff jeden Benutzer bzw. jede Transaktion zu überprüfen. (Delphix)")
:quality(80)/images.vogel.de/vogelonline/bdb/1958000/1958061/original.jpg "Nach Wunsch von Google segelt das Istio-Projekt künftig unter der Flagge der Cloud Native Computing Foundation. (Google)")