© best_vector/Shutterstock.com
Windows Developer
Kolumne: Stropek as a Service

Zero Trust: Netzwerksicherheit durch virtuelle Netzwerke in der Azure Cloud

In den vielen Azure-Cloud-Architekturworkshops, die ich in den letzten Monaten begleiten durfte, kam eine Frage so sicher wie das Amen in der Kirche: PaaS-Dienste in VNets isolieren oder keine VNets verwenden? Die Frage ist nicht so einfach zu beantworten, wie es auf den ersten Blick scheint. Zwar können VNets richtig gemacht die Sicherheit eines Gesamtsystems auf jeden Fall erhöhen, sie erhöhen aber auch die Kosten - und das zum Teil beträchtlich. Kunden sagen mir zwar oft, dass Sicherheit höchste Priorität hat und hier nicht gespart werden darf. Wenn die Zahlen aber auf dem Tisch liegen, kommen sie ins Grübeln. Aber beginnen wir von vorne: Woher kommt eigentlich die Tendenz, alles in der Cloud in virtuelle Netzwerke einzusperren?

Rainer Stropek


PerimetersecurityDiese Form der Netzwerksicherheit ist heutzutage obsolet. Die Annahme, dass ein lokales Netzwerk sicher ist, entbehrt oft jeder Grundlage. Die Belegschaft bringt eigene Computer mit (Bring Your Own Device, BYOD), viele möchten von unterwegs auf die Unternehmensserver zugreifen, externe Dienstleister gehen ein und aus und brauchen eine Verbindung zum Unternehmensnetz etc.Zero Trust NetworksDie wenigsten Kunden, mit denen ich zu tun habe, arbeiten nach diesem Prinzip, wenn es um das lokale Netzwerk geht. Gültige Zertifikate für interne Webseiten? Fehlanzeige. IP-Whitelisting für interne Datenbankserver? Das wäre viel zu kompliziert.In der CloudEs spricht (außer den höheren Kosten) nichts gegen diesen Ansatz, im Gegenteil. VNets können zusätzliche Sicherheit bieten. Wenn aber das VNet über ein VPN mit dem Firmennetz verbunden und dem ohne Weiteres vertraut wird, ist die erhöhte Sicherheit schon wieder in Frage zu stellen.Anders sieht die Sache aus, wenn man den erwähnten Zero-Trust-Network-Ansatz gewöhnt ist. Das Internet ist dann nur ein weiteres, unsicheres Netzwerk. Jedes System muss den Zugriff über entsprechende Policies und Verschlüsselungsmaßnahmen schützen, unabhängig davon, woher der Traffic kommt.Doppelt hält besser, ist aber teuer Will man Azure App Service in ein VNet einbinden, braucht man den Isolated Service Plan. Erstens ist die Rechenleistung in diesem Plan teurer als die in den anderen und zweitens zahlt man pro sogenanntem App Service Environment eine Flat Fee von knapp 1 000 Euro pro Monat. Möchte man den Azure Service Bus in einem VNet nutzen, funktionieren erstens die Integrationen in einige andere Azure-Dienste nicht mehr. Zweitens ist der Premiumplan Voraussetzung. Wenn man die Leistungsfähigkeit dieses Preisplans eigentlich nicht braucht, bezahlt man die VNet-Integration ziemlich teuer (Mindestpreis Standardplan 0,0114 €/Stunde vs. 0,783 €/Stunde im Premiumplan). Azure API Management ist ein nützlicher Dienst, wenn man öffentliche Web-APIs anbieten möchte. Für VNet-Unterstützung braucht man in Produktion den Premiumplan, der zwar eine Menge Rechenleistung mitbringt, mit über 2 300 €/Monat aber nicht billig ist. Kleinere Anwendungen kämen vielleicht mit dem Standardplan aus, der schon für unter 580 €/Monat zu haben ist.DevSecOps automatisches Generieren von starken Passwörtern, die automatisch regelmäßig geändert werden sicheres Ablegen von Connection Strings in Azure Key Vault Nutzung von Azure Managed Identity sta...

Windows Developer
Kolumne: Stropek as a Service

Zero Trust: Netzwerksicherheit durch virtuelle Netzwerke in der Azure Cloud

In den vielen Azure-Cloud-Architekturworkshops, die ich in den letzten Monaten begleiten durfte, kam eine Frage so sicher wie das Amen in der Kirche: PaaS-Dienste in VNets isolieren oder keine VNets verwenden? Die Frage ist nicht so einfach zu beantworten, wie es auf den ersten Blick scheint. Zwar können VNets richtig gemacht die Sicherheit eines Gesamtsystems auf jeden Fall erhöhen, sie erhöhen aber auch die Kosten - und das zum Teil beträchtlich. Kunden sagen mir zwar oft, dass Sicherheit höchste Priorität hat und hier nicht gespart werden darf. Wenn die Zahlen aber auf dem Tisch liegen, kommen sie ins Grübeln. Aber beginnen wir von vorne: Woher kommt eigentlich die Tendenz, alles in der Cloud in virtuelle Netzwerke einzusperren?

Rainer Stropek


PerimetersecurityDiese Form der Netzwerksicherheit ist heutzutage obsolet. Die Annahme, dass ein lokales Netzwerk sicher ist, entbehrt oft jeder Grundlage. Die Belegschaft bringt eigene Computer mit (Bring Your Own Device, BYOD), viele möchten von unterwegs auf die Unternehmensserver zugreifen, externe Dienstleister gehen ein und aus und brauchen eine Verbindung zum Unternehmensnetz etc.Zero Trust NetworksDie wenigsten Kunden, mit denen ich zu tun habe, arbeiten nach diesem Prinzip, wenn es um das lokale Netzwerk geht. Gültige Zertifikate für interne Webseiten? Fehlanzeige. IP-Whitelisting für interne Datenbankserver? Das wäre viel zu kompliziert.In der CloudEs spricht (außer den höheren Kosten) nichts gegen diesen Ansatz, im Gegenteil. VNets können zusätzliche Sicherheit bieten. Wenn aber das VNet über ein VPN mit dem Firmennetz verbunden und dem ohne Weiteres vertraut wird, ist die erhöhte Sicherheit schon wieder in Frage zu stellen.Anders sieht die Sache aus, wenn man den erwähnten Zero-Trust-Network-Ansatz gewöhnt ist. Das Internet ist dann nur ein weiteres, unsicheres Netzwerk. Jedes System muss den Zugriff über entsprechende Policies und Verschlüsselungsmaßnahmen schützen, unabhängig davon, woher der Traffic kommt.Doppelt hält besser, ist aber teuer Will man Azure App Service in ein VNet einbinden, braucht man den Isolated Service Plan. Erstens ist die Rechenleistung in diesem Plan teurer als die in den anderen und zweitens zahlt man pro sogenanntem App Service Environment eine Flat Fee von knapp 1 000 Euro pro Monat. Möchte man den Azure Service Bus in einem VNet nutzen, funktionieren erstens die Integrationen in einige andere Azure-Dienste nicht mehr. Zweitens ist der Premiumplan Voraussetzung. Wenn man die Leistungsfähigkeit dieses Preisplans eigentlich nicht braucht, bezahlt man die VNet-Integration ziemlich teuer (Mindestpreis Standardplan 0,0114 €/Stunde vs. 0,783 €/Stunde im Premiumplan). Azure API Management ist ein nützlicher Dienst, wenn man öffentliche Web-APIs anbieten möchte. Für VNet-Unterstützung braucht man in Produktion den Premiumplan, der zwar eine Menge Rechenleistung mitbringt, mit über 2 300 €/Monat aber nicht billig ist. Kleinere Anwendungen kämen vielleicht mit dem Standardplan aus, der schon für unter 580 €/Monat zu haben ist.DevSecOps automatisches Generieren von starken Passwörtern, die automatisch regelmäßig geändert werden sicheres Ablegen von Connection Strings in Azure Key Vault Nutzung von Azure Managed Identity sta...

Neugierig geworden?


   
Loading...

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang