© Excellent backgrounds/Shutterstock.com
Java Magazin
Security in Microservice-Architekturen

Zentral oder dezentral?

In Zeiten von Microservice-Architekturen und der damit einhergehenden technologischen Flexibilität ergibt sich oft die interessante Frage, wie weit diese Flexibilität sinnvollerweise gehen sollte. Besonders beim Thema Sicherheit prallen hier oft unterschiedliche Ansätze aufeinander: Zum einen will man die Flexibilität einzelner Microservice-Teams in Bezug auf ihre Architekturentscheidungen nicht einschränken, zum anderen erscheint ein Thema wie Security als prädestiniert dafür, ausschließlich in Form zentraler Vorgaben und Einschränkungen daherzukommen.

Christian Schneider


Welche zentralen und dezentralen Aspekte der Security bei der Frage nach Flexibilität wichtig sind, lässt sich anhand von drei prominenten Securityfragestellungen in Bezug zu Microservice-Architekturen herausarbeiten: Angriffsversuche erkennen, Authentifizierung und Autorisierung sowie Anwendungshärtung. Fangen wir als erste Fragestellung mit dem Thema „Angriffsversuche erkennen“ an: Hierzu bieten sich unterschiedliche Verfahren an, die oft zusammen zum Einsatz kommen. Bei Webanwendungen kommt zwischen dem Frontend-Client (Browser), dem UI-Layer oder, im Falle von aus dem Browser direkt angesprochenen REST-Endpoints, dem Service-Layer oft ein Reverse-Proxy zum Einsatz. Solche zentralen Stellen in einer Systemlandschaft als Schnittstelle zur nicht vertrauenswürdigen Außenwelt werden gerne um eine Web Application Firewall (WAF) ergänzt, da dort sämtliche Requests einer Prüfung unterzogen werden können. Per Definition bietet keine WAF ausreichenden Schutz gegen erfahrene Angreifer. Dennoch liefern WAFs als Teil einer Alarmierungskette frühzeitig Informationen über stattfindende Angriffsversuche. Weiterhin gewinnt eine Anwendung Zeit, da der Angreifer als Erstes die Prüfregeln der WAF umgehen muss, bevor er weiter die Anwendung angreifen kann. Ähnlich zu dieser zentralen Komponente verhält es sich mit einem Intrusion Detection System (IDS), das als Teil innerhalb der Demilitarized Zone (DMZ) ebenfalls Netzwerk- und Systeminformationen überwachen kann und die Chance hat, etwaige Angriffsversuche zu erkennen. Soweit stellt sich der Securityaspekt Angriffserkennung als vermeintlich zentrale Thematik dar – auch innerhalb von Microservice-Architekturen.

Es gibt aber auch dezentrale Ansätze, die im Bereich Angriffserkennung eine Rolle spielen. Besonders bei einzelnen isolierten Microservices bis hin zu Self-contained Systems mit eigenem UI bietet sich zusätzlich eine dezentrale Lösung an: Dies kann in Form von Application Intrusion Detection (AID) als Teil der Microservices der Fall sein. Hierbei erweitert man den Code der Microservices um das Zählen von potenziellen Angriffsereignissen wie bestimmte Exceptions beim Zugriff auf Backensysteme, die z. B. auf Injektion-Versuche hindeuten können, oder auch das Zählen der Berechtigungen nicht zusammenpassender Anfragen (User A will auf Daten von User B zugreifen). Diese und viele weitere Erkennungspunkte können mit dem Open-Source-Projekt OWASP AppSensor [1] innerhalb eines Microservice oder einer Anwendung dezentral g...

Java Magazin
Security in Microservice-Architekturen

Zentral oder dezentral?

In Zeiten von Microservice-Architekturen und der damit einhergehenden technologischen Flexibilität ergibt sich oft die interessante Frage, wie weit diese Flexibilität sinnvollerweise gehen sollte. Besonders beim Thema Sicherheit prallen hier oft unterschiedliche Ansätze aufeinander: Zum einen will man die Flexibilität einzelner Microservice-Teams in Bezug auf ihre Architekturentscheidungen nicht einschränken, zum anderen erscheint ein Thema wie Security als prädestiniert dafür, ausschließlich in Form zentraler Vorgaben und Einschränkungen daherzukommen.

Christian Schneider


Welche zentralen und dezentralen Aspekte der Security bei der Frage nach Flexibilität wichtig sind, lässt sich anhand von drei prominenten Securityfragestellungen in Bezug zu Microservice-Architekturen herausarbeiten: Angriffsversuche erkennen, Authentifizierung und Autorisierung sowie Anwendungshärtung. Fangen wir als erste Fragestellung mit dem Thema „Angriffsversuche erkennen“ an: Hierzu bieten sich unterschiedliche Verfahren an, die oft zusammen zum Einsatz kommen. Bei Webanwendungen kommt zwischen dem Frontend-Client (Browser), dem UI-Layer oder, im Falle von aus dem Browser direkt angesprochenen REST-Endpoints, dem Service-Layer oft ein Reverse-Proxy zum Einsatz. Solche zentralen Stellen in einer Systemlandschaft als Schnittstelle zur nicht vertrauenswürdigen Außenwelt werden gerne um eine Web Application Firewall (WAF) ergänzt, da dort sämtliche Requests einer Prüfung unterzogen werden können. Per Definition bietet keine WAF ausreichenden Schutz gegen erfahrene Angreifer. Dennoch liefern WAFs als Teil einer Alarmierungskette frühzeitig Informationen über stattfindende Angriffsversuche. Weiterhin gewinnt eine Anwendung Zeit, da der Angreifer als Erstes die Prüfregeln der WAF umgehen muss, bevor er weiter die Anwendung angreifen kann. Ähnlich zu dieser zentralen Komponente verhält es sich mit einem Intrusion Detection System (IDS), das als Teil innerhalb der Demilitarized Zone (DMZ) ebenfalls Netzwerk- und Systeminformationen überwachen kann und die Chance hat, etwaige Angriffsversuche zu erkennen. Soweit stellt sich der Securityaspekt Angriffserkennung als vermeintlich zentrale Thematik dar – auch innerhalb von Microservice-Architekturen.

Es gibt aber auch dezentrale Ansätze, die im Bereich Angriffserkennung eine Rolle spielen. Besonders bei einzelnen isolierten Microservices bis hin zu Self-contained Systems mit eigenem UI bietet sich zusätzlich eine dezentrale Lösung an: Dies kann in Form von Application Intrusion Detection (AID) als Teil der Microservices der Fall sein. Hierbei erweitert man den Code der Microservices um das Zählen von potenziellen Angriffsereignissen wie bestimmte Exceptions beim Zugriff auf Backensysteme, die z. B. auf Injektion-Versuche hindeuten können, oder auch das Zählen der Berechtigungen nicht zusammenpassender Anfragen (User A will auf Daten von User B zugreifen). Diese und viele weitere Erkennungspunkte können mit dem Open-Source-Projekt OWASP AppSensor [1] innerhalb eines Microservice oder einer Anwendung dezentral g...

Neugierig geworden?


   
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang