© best_vector/Shutterstock.com
Privatsphäre in der Cloud - neue Spielregeln für Azure VNets durch Private Endpoints

Kolumne: Stropek as a Service


In dieser Kolumne habe ich schon mehrmals über Zero Trust Networking geschrieben. Man verabschiedet sich bei diesem Ansatz von der Annahme, dass irgendein Netzwerk sicher ist. Traditionell unterschieden Firmen früher zwischen dem bösen unsicheren Internet und dem sicheren lokalen Netzwerk. Die Grenze zwischen den beiden wurde von Firewalls bewacht. Diese Denkweise kann in der heutigen Zeit nicht mehr aufrechterhalten werden. Erstens haben unzählige Vorfälle gezeigt, dass lokale Netze speziell in großen Organisationen nicht pauschal sicher sind. Zweitens öffnen sich in der heutigen Zeit viele Firmen und bieten APIs bewusst im öffentlichen Internet an.

Zero Trust Networking

Zero Trust Networking bedeutet, dass jede Maschine so behandelt wird, als ob sie mit einer öffentlichen IP-Adresse im Internet erreichbar wäre. An die Stelle von klassischen Firewalls und Perimetersecurity treten Authentifizierung von Benutzern und Geräten, Verschlüsselung und Logging. Das sind die „neuen Firewalls“ im Zero Trust Network. Wer mehr über die Grundlagen von Zero Trust Networking lernen möchte, dem empfehle ich einen Blick auf die BeyondCorp-Initiative von Google [1].

Nicht alles muss ins Internet

Bedeutet Zero Trust Networking auch, dass jeder Service ins öffentliche Internet muss? Nein, keineswegs! Netzwerke zu segmentieren und nur jene gegenseitigen Zugriffe zu erlauben, die notwendig sind, ergibt Sinn und sorgt für zusätzliche Sicherheit. Kombiniert man eine gute Netzwerksegmentierung mit minimalen Containern, die nur die Services enthalten, die tatsächlich notwendig sind, macht man Angreifern das Leben schwer.

Wollte man eine solche Architektur in Microsoft Azure umsetzen, musste man bis vor einigen Monaten auf viele Dienste verzichten beziehungsweise besonders tief in die Tasche greifen, da nicht alle in virtuellen Netzwerken (VNets) verfügbar waren und Preise zum Betrieb von PaaS-Diensten in VNets empfindlich hoch sind. Für Azure App Service brauchte man zum Beispiel den Isolated Service Plan, für den wiederum ein App Service Environment Voraussetzung war, das Basiskosten von fast 1 000 Euro monatlich verursacht. Man hat damit zwar den Vorteil, dass man sich die zugrundeliegenden, virtuellen Server mit keinem anderen Azure-Kunden teilen muss, viele Anwendungen brauchen das aber nicht, sondern wollen einfach nur eine Web-API vom Internet abschotten und den Zugriff auf sie auf ein VNet beschränken.

Azure Private Endpoints

Die neuen Azure Private Endpoints ändern die Sit...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang