Home » Fachbeiträge » Cybersecurity » Wie Sie Identitätszentrierte Zero Trust Architekturen umsetzen

Wie Sie Identitätszentrierte Zero Trust Architekturen umsetzen

Einen Graben ziehen und seine Burg mit hohen Mauern schützen – so war IT-Sicherheit früher. Doch finstere Kastelle gibt es schon lange nicht mehr und auch in der IT-Security ist der Paradigmenwechsel im vollen Gang: Weg von den alten Burgen hin zum benutzer-freundlichen Hotel. Weg von den großen Applikationen, hin zu agilen Microservices, APIs und Microgateways.

4 Min. Lesezeit
Airlock
Foto: Airlock

Advertorial

Was haben Webservices und IT-Sicherheit mit einem modernen Hotel zu tun?

Wie ein modernes, professionelles Hotel: So müssen Webservices und IT-Sicherheit heute sein. Vom Sofa aus identifiziert sich der Gast beim digitalen Concierge und erhält von ihm seinen persönlichen Funkschlüssel. Mit dieser zeitlich limitierten Zutrittskarte kann er nicht nur Tag und Nacht das Hotel betreten. Der Schlüssel wird immer wieder an zahlreichen Stellen im Hotel überprüft, ohne dass dies der Gast überhaupt merkt: Die Zutrittskontrollen an der Zimmertüre, an der Minibar oder beim Eintritt zum Frühstücksbuffet sind praktisch unsichtbar — solange die Berechtigung stimmt. So kann das Hotel den Zutritt feingranular kontrollieren und gleichzeitig das Erlebnis personalisieren – je nach Buchung, Status und Vorlieben des Gasts. Schließlich ist der Konsument verwöhnt: Die Big 5 (Google, Apple, Facebook, Amazon, Microsoft – GAFAM) setzen heute den Maßstab für die Kundenerwartung. Unternehmen, die hier nicht mithalten können, verlieren bald den Anschluss.

Einheitliches Sicherheitserlebnis durch vorgelagerte Identifikation

Ein gutes Kundenerlebnis muss einheitlich und einfach sein. Für Sicherheitsthemen wie die Authentifizierung und Zugriffskontrolle heißt das: Einmal lösen und wiederverwenden. Entwickler sollen sich nicht um Passwörter oder 2FA kümmern müssen. Die vorgelagerte Authentifizierung ist ein Standard-Dienst, der so weit wie möglich entkoppelt von den Applikationen ist. Quasi ein Super-Concierge, der jeden Gast kennt und alle gleichzeitig bedienen kann. So hat der Gast immer den gleichen Ansprechpartner und ein einheitliches Kundenerlebnis.

Zentrale Identifikation, verteilte Zugriffskontrolle

Die Authentifizierung in Form von Identity Services wird am besten zentral bereitgestellt. Dies entlastet die Applikationsentwickler und erhöht sowohl Sicherheit als auch Flexibilität. So kann beispielsweise die Login-Methode zentral angepasst werden, ohne alle Applikationen einzeln verändern zu müssen. Die Zugriffskontrollen hingegen sind so weit verstreut und dezentral wie die Hoteldienstleistungen. Auch IT-Architekturen sind zunehmend verteilt und verändern sich dynamisch: Monolithische Webapplikationen werden durch unzählige Microservices abgelöst, bei denen Daten und Applikationen verstreut und von überall zugänglich sind. Durch die automatische Skalierung und das Ausrollen neuer Versionen werden laufend neue Container gestartet. Bei der zunehmenden Komplexität geht schnell ein System vergessen; der umfassende Schutz sensibler Daten wird zur Herausforderung. Die Zugriffskontrolle muss sich deshalb von den äußeren Perimetern in Richtung der einzelnen Dienste verschieben. Statt blindem Vertrauen wird der Hotelgast laufend, aber unauffällig kontrolliert.

Heterogene IT-Strukturen: Mit Microservices und Zero-Trust-Architektur

SAH-Funkschau

Bei konsequenter Umsetzung von Zero Trust verfügt jeder (Micro-) Service über einen eigenen Microgateway.

Am effizientesten und sichersten ist es, wenn diese Kontrollen nicht in der Applikation selbst stattfinden, sondern in einem Microgateway unmittelbar davor. Genauer gesagt in ganz vielen Microgateways: Bei konsequenter Umsetzung von Zero Trust verfügt jeder (Micro-) Service über einen eigenen Microgateway. Auch hier sorgen die Entkopplung und Wiederverwendung der Sicherheitschecks für eine Beschleunigung der Entwicklung. Indirekt sorgen Microgateways also für ein schnelleres Prototyping und die unkomplizierte Lancierung von neuen Angeboten.

Microgateway: Der Erfolgsfaktor für agile IT-Security

Microgateways sind hoch effizient und können schnell und ressourcenschonend implementiert werden. Technisch betrachtet ist ein Microgateway im Kern ein Reverse Proxy, der den durchlaufenden Datenverkehr filtert und den Zutrittsschlüssel (z.B. in Form eines JWT-Tokens) bei jeder Anfrage prüft. Je nach Art des Datenverkehrs agiert das Microgateway dabei als Web Application Firewall oder als API-Security Gateway. Dank einfacher Automatisierung und Optimierung für orchestrierte Containerumgebungen sind Microgateways ein Schlüsselelement jeder DevSecOps-Initiative.

>> Airlock Microgateway entdecken

Doppelt genäht hält besser

Das zentrale Security Gateway hat trotz der vielen Microgateways noch nicht ausgedient. Die Rolle des Gateways an der Peripherie des Unternehmensnetzwerks verändert sich dahin, den Grundschutz sicher zu stellen. Denn doppelt genäht hält einfach besser, das predigt jeder Sicherheitsexperte. Diese Rollenanpassung passiert nicht von heute auf morgen und es wird eine Übergangsphase geben, in der noch nicht alle Applikationen ihr eigenes Microgateway haben. Häufig wird es neben den eigenentwickelten Applikationen auch gekaufte Applikationen geben, welche weiterhin zentral geschützt werden sollen. Trotzdem wird mit jeder Applikation, die ein Microgateway nutzt, die Konfiguration des zentralen Gateways einfacher und weniger komplex.

Das Access Management kann ein weiterer Grund sein, warum ein zentrales Gateway grosse Vorteile hat. In modernen Systemen kommt es immer häufiger vor, dass verschiedene Identity Provider für die Authentifizierung der Benutzer eingesetzt werden. Die Verwaltung und Integration der verschiedenen Identity Provider erfolgt normalerweise im Identity und Access Management (IAM). Das IAM prüft alle externen Token und stellt anschließend ein einziges, intern gültiges Token aus. Das vereinfacht die Aufgabe für jedes Microgateway, weil alle Microgateways nur eine Token-Art unterstützen müssen. Es entlastet die Applikationsentwickler, weil die Integration neuer Identity Provider und die Anpassungen für Bestehende im zentralen IAM Service gelöst wird. Diese Transformation von externen Identitäten in ein intern gültiges Token wird vom zentralen Gateway direkt an der Peripherie durchgesetzt.

Intelligente Sicherheit: Zusammendenken, was zusammengehört

Fazit: Geschäftsprozesse und Softwareentwicklung werden immer agiler. Da muss die IT-Security Schritt halten, um nicht zum Bremsklotz zu werden. Dabei führt kein Weg an DevSecOps-Methoden vorbei, die sich am besten mit Microservices, Microgateways und einer Zero-Trust-Architektur umsetzen lassen. Aber dieser Wechsel zu einer agilen Sicherheitskultur geschieht nicht über Nacht und das anschließende Resultat ist kein simples Schwarz-Weiss. Denn eine wirklich performante Sicherheit ist immer eine gestaffelte Sicherheit: Mit einem API-Security Gateway zum Schutz von APIs, mit einem zuverlässigen IAM-System für die zentralen Authentifizierungsprozesse und mit Microgateways, welche die feingranulare Filterung der Anfragen und die Sicherheit des spezifischen Microservices oder Applikation sicherstellen.

Cutting Edge Applikations- und API-Sicherheit

Auf der it-sa 2023 können Sie auf dem Kongress mehr über die neuen Risikofaktoren in verteilten Containerumgebungen erfahren. Es werden die neuen Bedrohungen aufgezeigt und welche neuen Ansätze verfolgt werden müssen.

Zur kostenlosen Anmeldung: https://www.airlock.com/itsa

Andere interessante Fachbeiträge

Cybercrime-Trends

Cybercrime-Trends 2024: Wachsenden KI-Risiken mit einer Human Firewall begegnen

Die Landschaft der Cyber-Bedrohungen entwickelt sich rasant weiter, vorangetrieben durch den zunehmenden Einsatz von KI. Diese Technologie eröffnet Cyberkriminellen neue Möglichkeiten, ihre Angriffe zu verfeinern und zu personalisieren. Um den stetigen Veränderungen gewachsen zu sein, ist es unerlässlich, auf dem Laufenden zu bleiben und ein tiefes Verständnis der KI-getriebenen Risiken zu entwickeln. Nur so können wir uns und unsere Organisationen wirksam schützen.

PGM1 Anwendung

Einfallstor Glas – Einbruch im Wandel

Noch vor zehn Jahren waren Glasbruchmelder ein absolutes Muss in jedem durchdachten Sicherheitskonzept. Erstaunlicherweise neigen heute viele dazu, auf sie zu verzichten - eine Entscheidung, die auf falschen Annahmen beruht. Glasbruchmelder sind nach wie vor unverzichtbar und sollten als integraler Bestandteil einer umfassenden Sicherheitsarchitektur betrachtet werden.

Hirschvogel Gebäude

Umfassende, flexible Zutrittskontrolle sorgt für Sicherheit bei Hirschvogel

Die Hirschvogel Group mit Stammsitz im oberbayerischen Denklingen zählt im Bereich der Massivumformung von Stahl und Aluminium zu den weltweit größten Automobilzulieferern – in so gut wie jedem Auto in Deutschland und in nahezu jedem dritten weltweit stecken Komponenten von Hirschvogel.