:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/8c/54/8c54744c036ec61da10210ccedac6e6f/0115622026.jpeg "Automatisierte Sicherheit gehört für viele Unternehmen schon dazu, berichtet Synopsys. (Bild: PandaStockArt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/c6/77/c6778a56d0b6c6c4f0cd541bf8f87286/0115365909.jpeg "Die Linux-Kernel-Technologie eBPF hilft, Transparenz in die Kommunikation von Kubernetes-Clustern zu bringen. (Bild: <a href=https://unsplash.com/photos/background-pattern-GSiEeoHcNTQ>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/3a/86/3a861660380c36be8f5c30437efc7f0c/0115482665.jpeg "Visual Studio Code lässt sich als ein Flatpak von Flathub beziehen und auf einer beliebigen unterstützen Distribution mit einem simplen Befehl einrichten. (Bild: Flathub.org / Microsoft)")
:quality(80)/p7i.vogel.de/wcms/14/7c/147c7bac4c8372a856eb6d7938b0295f/0115093862.jpeg "Von Key-Value-Stores über In-Memory- bis hin zu Graph-Datenbanken: NoSQL kennzeichnet sich durch verschiedene Typen, die oft kombiniert werden. (Bild: <a href=https://pixabay.com/users/placidplace-25572496/>Placidplace</a>)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/7e/53/7e53270c23873649b7e27c3fec4b36f8/0115274382.jpeg "Technische Schulden häufen sich beinahe zwangsläufig an, Ki kann diesen Prozess leider deutlich beschleunigen. (Bild: <a href=https://unsplash.com/de/@and_machines>and machines</a>)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Sicherheit in Anwendungen und Netzwerken erhöhen Traffic-Steuerung und Zero Trust per Service Mesh
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/135400/135488/65.jpg "Insider Research Cover-1400x1400px.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Next-Gen-Anwendungen, -Architekturen und -Netzwerke erfordern auch einen Sicherheitsansatz der nächsten Generation. Wie Service Meshes die IT-Security unterstützen, zeigt dieser Artikel.
Unternehmen befinden sich bei ihrer digitalen Transformation in einem ständigen Wettstreit mit potenziellen Hackern, Angreifern und böswillig agierenden Personen – und das aus gutem Grund. Die Sicherheitsgrenzen sind verschwunden, die Angriffsfläche nimmt weiter zu und immer neue Angriffsvektoren tauchen auf.
Hinzu kommen globale Verwerfungen und eine geografisch verteilte, immer häufiger von zu Hause arbeitende Belegschaft. Angesichts dessen verwundert es nicht, dass Sicherheitslücken, Hacks und Angriffe die täglichen Nachrichten füllen.
Technologien der nächsten Generation - wie moderne Cloud-Native-Ansätze und Microservices – haben die Netzwerkgrenze (Perimeter) eliminiert. Vor noch gar nicht so langer Zeit trennte ein Perimeter ein Unternehmen von der Außenwelt. Heute gibt es kein „Innen“ und „Außen“; alles wird als „Außen“ betrachtet.
Eine größere Angriffsfläche, also eine größere Zahl ungeschützter und potenziell angreifbarer Ressourcen, öffnet Cyberkriminellen mehr Einfallstore. Wie können Unternehmen ihre Angriffsfläche reduzieren, ihre Sicherheitsvorkehrungen verstärken und ihr Gesamtrisiko verringern? Um genau diese Frage geht es in diesem Beitrag.
Prio Nr. 1: Sicherheit
Warum ist Sicherheit für die meisten Unternehmen von größter Bedeutung? Aktuelle Studien zeigen: Für 83 Prozent der Unternehmen „geht es nicht darum, ob eine Datenschutzverletzung eintritt, sondern wann – in der Regel passiert das mehr als einmal.“ Die durchschnittlichen Kosten einer Datenschutzverletzung weltweit belaufen sich auf 4,35 Millionen US-Dollar (aktuell circa 4,016 Millionen Euro).
Vorausschauende Unternehmen haben Defense in Depth (DiD) implementiert, einen mehrschichtigen, koordinierten Ansatz mit mehreren Sicherheitsmaßnahmen, um die wertvollen Daten und Informationen zu schützen. Zero Trust, ein anderer aktuell propagierter Ansatz bedeutet im Grunde genommen: Prüfen, prüfen und nochmals prüfen, dann vertrauen und verifizieren. Der Report „The State of Zero Trust Security 2022“ zeigt, wie sehr der Ansatz bereits um sich greift.
Die Einsicht, dass Unternehmen nur mit einem neuen Sicherheitsansatz der veränderten Bedrohungslage Rechnung tragen können, ist also vorhanden. Die Zeit aber drängt, das auch umzusetzen. Behörden, Konzerne sowie kleine und mittlere Unternehmen kämpfen damit, ihre Ressourcen zu sichern – und das mit zahlreichen Teams, an mehreren Geräten und mehreren Standorten. Eine der größten Herausforderungen ist es dabei, genau zu bestimmen, was alles gesichert werden muss.
Microservices und moderne Anwendungen bestehen aus exponentiell mehr Teilen als frühere Generationen von Anwendungen. Ein Microservice kann zehn Einzelteile enthalten, während eine frühere Anwendung nur eines hatte. Wer diese mehrteiligen Anwendungen und Services aufschlüsselt, muss berücksichtigen, wie all diese Teile über das Netzwerk kommunizieren – ein Netzwerk, dem von Natur aus nicht getraut werden sollte.
Service Mesh als Lösung
Mit dem Cloud-nativen Ansatz entwickeln Unternehmen neue Arten von Anwendungen und Microservices, die einfacher zu skalieren sind und einen höheren Geschäftswert schaffen. Bei Microservices besteht die Software aus kleinen, unabhängigen Services, die über genau definierte Schnittstellen (APIs) kommunizieren.
Dies führt zu neuen Sicherheitsrisiken (und einer größeren Angriffsfläche). Grundsätzlich wird mehr Datenverkehr über das Netzwerk abgewickelt, was bedeutet, dass mehr Bestandteile von Anwendungen verfolgt werden müssen. Außerdem kommt es zu mehr (und häufigeren) Änderungen an diesen Anwendungen. Und mit der Ausweitung von Cloud-Native-Initiativen wächst die Zahl der Entwickler und der Anwendungsentwickler-Teams.
Dies wirft mehrere Fragen auf: Ist das Netzwerk vertrauenswürdig? Wenn immer mehr Teams zu diesen Anwendungen beitragen, wie lässt sich sicherstellen, dass alle Beteiligten identifiziert werden können? Wie lässt sich die Sicherheit von Anwendungen und Services, die außerhalb der eigenen Domäne liegen, verwalten? Wie kann man weiterhin alles validieren, wenn es immer wieder zu Änderungen kommt? Wie können Auftragnehmer und die von ihnen erstellte Software geprüft werden? Hier kann ein Service Mesh helfen.
Ein Service Mesh kann als ein Netzwerk-Framework beschrieben werden, das für Beobachtbarkeit, Sicherheit und Zuverlässigkeit von verteilten Anwendungen sorgt. Dies geschieht auf dem Plattform-Layer und nicht auf der Anwendungsschicht. Da Cloud-native Anwendungen in der Regel aus Dutzenden oder Hunderten von Microservices bestehen, ist die Kommunikation zwischen den Services entscheidend – aber schwierig zu verwalten.
Ein Service Mesh steuert die Kommunikation von Service zu Service über ein Netzwerk effektiv (und sicher) und ermöglicht die Überwachung und Verwaltung des Datenverkehrs zwischen den Anwendungen (‚application traffic monitoring‘). Je mehr ein Unternehmen bei der Erstellung von Software auf Microservices angewiesen ist, desto mehr kann es von einem Service Mesh profitieren.
Da immer mehr Unternehmen Microservices standardisieren (und Kubernetes dabei eine zentrale Rolle spielt), wenden sich ebenfalls immer mehr einem Service Mesh zum Betreiben dieser Architektur zu. Tatsächlich zeigt unsere Umfrage zum Stand der Service-Mesh-Implementierung im Jahr 2022, dass 85 Prozent der befragten Unternehmen ihre Anwendungen auf eine Microservice-Architektur umstellen.
Gar 87 Prozent berichten, dass sie ein Service Mesh nutzen oder evaluieren, um eine immer komplexere Anwendungsumgebung zu verwalten. Gleichzeitig entwickelt sich Istio zum Kubernetes des Service Mesh. Führende Unternehmen entscheiden sich mit einem Verhältnis von fast drei zu eins für ein Service Mesh auf Basis von Istio.
Service Mesh als (sichere) Traffic-Steuerung
Ein Service Mesh bewältigt die größten Herausforderungen bei der Entwicklung und Sicherung von Microservices und modernen Anwendungen – verschiedene Teams mit unterschiedlichen Sprachen und Rahmenbedingungen. Der Schlüssel hierzu ist, dass Authentifizierung und Autorisierung auf eine gemeinsame Infrastrukturschicht verlagert werden.
Das Service Mesh hilft bei der Authentifizierung zwischen den Services, um einen sicheren Datenfluss zu gewährleisten und die Autorisierung von Service zu Service und vom Endnutzer zum Service durchzusetzen. Es setzt rollenbasierte Zugriffskontrolle (RBAC) und attributbasierte Zugriffskontrolle (ABAC) durch. Und es kann sowohl die Identität eines Microservice als auch die Ressource (Server), auf der der Microservice läuft, validieren.
Innerhalb des Netzwerks übernimmt das Service Mesh die Kontrolle des Datenverkehrs, so dass die Anwendungs-Entwicklerteams sich auf ihre eigentliche Aufgabe konzentrieren können. Sie müssen sich nicht darum kümmern, diese Anwendungen zu sichern. Es bietet einheitliche Sicherheitsrichtlinien für den internen und externen Datenverkehr und eine flexible Authentifizierung von Nutzern und Rechnern.
Gleichzeitig ermöglicht das Service Mesh eine kryptografisch vertrauenswürdige Authentifizierung sowohl für Nutzer (Menschen) als auch für Maschinen oder Anwendungen. Die kryptografische Sicherheit hängt von Schlüsseln zur Ver- und Entschlüsselung von Daten ab, um Nutzer zu verifizieren und ihre Identität zu validieren. Es ermöglicht nicht nur verschlüsselte Pfade zwischen Anwendungen, sondern auch eine flexible Ausfallsicherung (und eine erhöhte Betriebszeit) sowie Sicherheitsprotokollierung und -überwachung.
Service Mesh und Zero Trust
Der Zero-Trust-Ansatz ist für schnelllebige, Cloud-native Anwendungsumgebungen unerlässlich. Viele Unternehmen und Behörden setzen auf das Service Mesh bei ihren Zero-Trust-Initiativen.
Behörden zum Beispiel betreiben viel Aufwand damit, um Infrastrukturen (einschließlich kritischer Infrastrukturen) vor Hackern, böswilligen Akteuren und Angreifern zu schützen. Diese können von innen – durch verärgerte Mitarbeiter oder Verstöße von Auftragnehmern/Lieferanten – oder außen – Bedrohungen aus dem Ausland – kommen. Infolgedessen geht es nicht um Insider vs. Outsider; jeder ist ein Outsider. Vertraut wird erst, wenn die Vertrauenswürdigkeit bewiesen ist.
Ein Service Mesh unterstützt dabei Menschen, Geräte und Rollen zu authentifizieren, kryptografisch zu validieren und zu autorisieren. Man kann ein Service Mesh auch verwenden, um Richtlinien durchzusetzen und potenzielle Bedrohungen zu erkennen: Wenn ein Wissensarbeiter ein bestimmtes Traffic-Limit überschreitet oder mit einer privaten Datenbank „spricht“, lässt sich dies schnell unterbinden.
Genehmigte Traffic-Muster lassen sich damit genauso definieren wie Regeln dafür, wer sich womit beschäftigen darf. Das beliebte und in der Branche bewährte Istio Service Mesh ermöglicht konsistente Sicherheit von Layer 4 (Geräte, Verbindungen) bis Layer 7 (Anwendungen), kryptografische Identität sowie bekannte Sicherheitsmuster sowohl für den internen als auch für den externen Datenverkehr. Istio Service Mesh, das von der CNCF (Cloud Native Computing Foundation) verwaltet wird, hat sich in Kubernetes-Umgebungen durchgesetzt.
Service Mesh ist eine Mainstream-Technologie, die relativ einfach zu implementieren und für Unternehmen in jedem Bereich anwendbar ist. Es ist ein effektiver und effizienter Weg, um eine vertrauenswürdige Netzwerksicherheit zu erreichen und im Idealfall dafür zu sorgen, dass ein Unternehmen den Verstößen, Hacks und Bedrohungen von morgen einen Schritt voraus ist.
* Brian Gracely, Vice President Product Strategy, Solo.io
(ID:49235131)
:quality(80)/p7i.vogel.de/wcms/28/90/28904432a86f47bebd12640ed5307d9e/0108770377.jpeg "Das Service Mesh wird integraler Bestandteil von Cloud-native- und Sicherheitsprojekten. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/2e/5e/2e5ecf5727ab823ef67da81f2640f91f/0109365824.jpeg "Service-Meshes erfordern eine sorgfältige Planung, fachkundige Anleitung und den Einsatz Cloud-agnostischer Tools. (Bild: <a href=https://pixabay.com/users/mjh_shikder-21129657/>MJH Shikder</a>)")