Garphic Airlock Secure Access Hub

Airlock Gateway 8.6

Starker Schutz, intelligenter Betrieb und OpenShift-Support

Airlock Gateway 8.6 stärkt den Schutz, verbessert die Automatisierung und reduziert den Betriebsaufwand in zentralen Bereichen. Das Release bringt umfassende Verbesserungen für Airlock Anomaly Shield, unterstützt neu Red Hat OpenShift Virtualization, erweitert den DoS-Schutz, automatisiert ACME-Zertifikate nun auch für das Configuration Center und baut die REST-API weiter aus.

Airlock Anomaly Shield: Präzisere Erkennung bei weniger Betriebsaufwand

Airlock Anomaly Shield erkennt verdächtiges Verhalten jetzt präziser und reduziert gleichzeitig den Betriebsaufwand. Gateway 8.6 verbessert die Modellqualität, erweitert die verfügbare Datengrundlage und optimiert die Modellauswertung. Dadurch sinkt die Zahl der False Positives, die Erkennungsgenauigkeit steigt und Upgrades werden einfacher.

Die verbesserte Client-Behaviour-Funktion reduziert False Positives deutlich. Dafür wurden die zugrunde liegenden Modellalgorithmen verbessert und das Training der Modelle verfeinert.

Zusätzlich umfasst die erweiterte Datenerfassung neu auch Content Types von Requests und Responses. Dadurch steht eine breitere Grundlage für die Analyse zur Verfügung, was präzisere Auswertungen und eine höhere Erkennungsgenauigkeit ermöglicht.

Ein neues URL Model verbessert die Verhaltensanalyse zusätzlich. Es bewertet Übergänge zwischen Request-Pfaden und vergleicht diese Sequenzen mit erlernten Nutzungsmustern. Weicht eine Session deutlich von den erwarteten Navigationsabläufen ab, erkennt Anomaly Shield sie als anomal. So lassen sich verdächtige Verhaltensmuster wirksamer identifizieren.

Die optimierte Modellauswertung verbessert die Performance. Anomaly Shield wertet Modelle nur so lange aus, wie die Klassifizierung einer Session unsicher bleibt. Sobald eine Session zuverlässig als normal erkannt wurde, stoppt Anomaly Shield die weitere Modellauswertung. Das reduziert unnötige Verarbeitungsschritte und verbessert die Gesamteffizienz.

Vorinstallierte Modelle machen Upgrades auf die aktuelle Airlock Gateway-Version reibungsloser. Sie machen ein unmittelbares Modelltraining direkt nach dem Upgrade überflüssig und beschleunigen den Upgrade-Prozess. Wenn die Trainingsaufgabe mit der empfohlenen Einstellung «retrain and enforce» arbeitet, trainiert Anomaly Shield die Modelle automatisch in der ersten Nacht nach dem Upgrade neu. Nach 35 Tagen führt Anomaly Shield automatisch ein vollständiges Retraining durch, sobald genügend Daten gesammelt wurden. Wir empfehlen, sowohl «retrain and enforce» als auch «training data collection» zu aktivieren, um den Betriebsaufwand gering zu halten und eine optimale Modellperformance sicherzustellen.

Das erweiterte Redis Monitoring verwaltet die Datenbankbereinigung automatisch anhand der aktuellen Bedingungen. Es passt das Cleanup-Verhalten dynamisch an den Füllstand der Redis-Datenbank und die aktuelle Traffic-Last an. Das sorgt für eine effiziente Ressourcennutzung und eine stabile Systemperformance.

Red Hat OpenShift Virtualization: Betreiben Sie Gateway auf OpenShift

Mit Gateway 8.6 lässt sich Airlock Gateway mit Red Hat OpenShift Virtualization betreiben. Kunden können OpenShift damit als Kubernetes-Plattform standardisieren und bestehende Workloads per «Lift & Shift» übernehmen, während sie weiterhin auf ein bewährtes Security Gateway setzen.

Der Betrieb von Airlock Gateway auf OpenShift ermöglicht einen stärker deklarativen, Kubernetes-nativen Deployment-Ansatz.

Vorteile:

  • OpenShift-Support: Airlock Gateway lässt sich in Red Hat OpenShift betreiben. Damit kann die eigene Kubernetes-Strategie konsequent weitergeführt werden.
  • Deklaratives Deployment: Kubernetes-native Deployment-Konfigurationen sorgen für planbare und wiederholbare Rollouts.
  • Migration zu Microgateway: Da Airlock Microgateway OpenShift-zertifiziert ist, können Kunden Schritt für Schritt und Service für Service von Airlock Gateway zu Airlock Microgateway migrieren.

Diese Erweiterung stärkt die Eignung von Airlock Gateway für moderne Plattformteams. Kunden können heute auf OpenShift standardisieren und behalten gleichzeitig einen klaren, schrittweisen Weg in Richtung Airlock Microgateway.

DoS-Schutz: Backends vor Angriffen schützen

Airlock Gateway stärkt den Schutz vor Denial-of-Service-Angriffen (DoS) und hilft, Backend-Systeme vor solchem Traffic abzuschirmen. Indem schädliche Akteure bereits auf Layer 3 blockiert werden, lässt sich unerwünschter Traffic mit weniger Ressourcen stoppen. Das verbessert die Gesamtperformance und reduziert unnötige Last auf Backend-Services.

Vorteile:

  • Höhere Performance: Airlock Gateway blockiert DoS-Angriffe frühzeitig auf Layer 3, reduziert dadurch die Last und verbessert die Gesamteffizienz.
  • Backend-Schutz: Backend-Services werden auch unter Angriff verfügbar und widerstandsfähig gehalten.
  • Bessere Einblicke: Operative Verbesserungen sorgen für mehr Transparenz bei Angriffssituationen und beim Schutzverhalten.

Diese Funktion wurde in engem Austausch mit ausgewählten Kunden entwickelt. So stellt Airlock sicher, dass sie reale Anforderungen moderner Operations- und Security-Teams adressiert.

ACME Services: Zertifikatsautomatisierung für das Configuration Center

Mit Gateway 8.6 erweitern wir die ACME-Automatisierung auf die Management-Oberfläche. Zusätzlich zu den Zertifikaten für geschützte Webapplikationen kann Gateway nun auch Zertifikate für das Configuration Center über DNS-01 bereitstellen und erneuern. DNS-01 eignet sich besonders für Endpunkte, die nicht öffentlich erreichbar sind.

Vorteile:

  • Automatisierte Zertifikate für das Configuration Center: DNS-01 ermöglicht ACME-basierte Zertifikate für die Management-Oberfläche.
  • Konsistentes Zertifikatsmanagement: Zertifikate für geschützte Webapplikationen und das Configuration Center lassen sich mit demselben automatisierten Ansatz verwalten.
  • Weniger Betriebsaufwand und Risiko: Die vollständig automatisierte Ausstellung und Erneuerung hilft, abgelaufene Zertifikate auf kritischen administrativen Zugriffspfaden zu verhindern.

Diese Verbesserung stärkt die Sicherheit administrativer Zugriffe und reduziert gleichzeitig den manuellen Aufwand für die Zertifikatspflege.

REST-API-Erweiterungen: Mehr Automatisierung, weniger Aufwand

Die REST-API von Airlock Gateway ist ein zentraler Baustein, um Konfigurationsaufgaben in grossen Umgebungen zu automatisieren. Das Automatisierungstoolkit bietet Kunden und Partnern nun mehr Kontrolle in den folgenden Bereichen: 

  • Mapping-Import: Der optionale Strict Mode macht automatisierte Workflows sicherer und berechenbarer, indem der Import bei nicht aufgelösten Referenzen fehlschlägt.
  • Allow Rules: Allow Rules können neu über die REST-API erstellt und aktualisiert werden.
  • ICAP: Derselbe ICAP-Service kann neu mehrfach innerhalb eines einzelnen Mappings verwendet werden, was flexiblere Inspection-Flows ermöglicht.
  • Zugriffsrollen: Neue dedizierte Rollen für Read-only- und Full Access sorgen für eine klarere Trennung von Berechtigungen und einen sichereren Betrieb in automatisierten Umgebungen.
  • Dokumentation: Verschiedene Verbesserungen an der Dokumentation erleichtern die Implementierung und den Arbeitsalltag.

Diese Erweiterungen machen die REST-API zu einem noch leistungsfähigeren Werkzeug für vollständig automatisierte Konfigurationsworkflows.

Add-on Tomcat: Nur noch Tomcat 11 unterstützt (Java 17+ notwendig)

Wie bereits in der Release-Kommunikation zu Gateway 8.5 angekündigt, ist das Add-on Tomcat ab Gateway 8.6 ausschliesslich in Version 11 verfügbar.

Upgrade-Verhalten:

  • Ein Upgrade ist möglich, wenn kein Add-on Tomcat installiert ist oder wenn Add-on Tomcat 11 installiert ist.
  • Ein Upgrade ist nicht möglich, wenn Add-on Tomcat 9 installiert ist.

Ab Gateway 8.6 wird nur noch Tomcat 11 unterstützt. Dies setzt Java 17 oder neuer voraus. Bitte aktualisieren Sie Ihre Applikationen entsprechend oder betreiben Sie sie extern auf einer älteren Tomcat-Version.

End of life

NTLM-Support: End of Life

NTLM ist seit mehr als drei Jahrzehnten Teil der Windows-Authentifizierung, erfüllt aber heutige Sicherheitsanforderungen nicht mehr. Microsoft stuft NTLM als veraltet ein und entwickelt Windows konsequent in Richtung Kerberos-basierter Authentifizierung weiter. Network NTLM soll in künftigen Windows-Versionen standardmässig deaktiviert werden.

Microsoft weist auf mehrere Sicherheitsrisiken von NTLM hin, darunter schwache Kryptografie, fehlende Serverauthentifizierung sowie die Anfälligkeit für Replay-, Relay-, Pass-the-Hash- und Man-in-the-Middle-Angriffe.

Diese Entwicklung betrifft auch das Software-Ökosystem rund um Airlock Gateway. Von Gateway verwendete Bibliotheken wie Curl stellen die Unterstützung für NTLM ein. Deshalb beendet Airlock Gateway die Unterstützung für NTLM-basierte Integrationsszenarien.

Dies betrifft:

  • NTLM-Passthrough: Clients authentifizieren sich über Airlock Gateway an Backend-Systemen.
  • NTLM-SSO-Credential-Propagation: Benutzeridentitäten werden per NTLM an Backend-Systeme weitergegeben.
  • Front-Side NTLM: Authentisierung von Clients in Airlock IAM mittels NTLM

Airlock Gateway 8.6 ist das letzte Release, das Front-Side NTLM, NTLM-Passthrough und NTLM-SSO-Credential-Propagation unterstützt. Diese Funktionen werden mit dem nächsten Release entfernt.

Wir empfehlen, auf moderne und sicherere Authentifizierungsprotokolle wie OIDC oder Kerberos zu migrieren.

Gehärtete Filterregeln dank Bug Bounties

Nicht zuletzt hat auch unser seit 2020 erfolgreich laufendes Airlock Bug Bounty Programm zu zahlreichen Sicherheitsverbesserungen geführt, die in den aktuellen Release einfliessen. Wir danken den White Hackern, die ihre Findings mit uns teilen. Hier erfahren Sie mehr über das Airlock Bug Bounty Programm.

Einfaches Update

Airlock Gateway 8.6 ist jetzt auf der Airlock Techzone verfügbar. Das Update auf diese Minor-Version erfordert keine manuellen Anpassungen – Ihre bestehende Konfiguration kann problemlos migriert und aktiviert werden. Einen detaillierten Überblick über alle Neuerungen und Korrekturen finden Sie in den Release Notes.

Airlock Gateway 8.6

Release-Video

In unserem Release-Video erhalten Sie alle Details zu Airlock Gateway 8.6.

Wir informieren Sie

-Unsere Whitepaper-

Whitepaper: IAM as a Service

Dieses Whitepaper zeigt, wie IAM as a Service die Einführung von bzw. den Wechsel zu einem modernen, flexibel anpassbaren und zukunftssicheren cIAM erleichtert.

Whitepaper anfordern

Whitepaper: Sprechen Sie Token?

Dieses Whitepaper zeigt, wie Security-Verantwortliche Identitäten über Domänengrenzen hinweg zuverlässig autorisieren können, ohne Agilität oder Benutzerfreundlichkeit zu beeinträchtigen – mit einem Ansatz, der WAAP, Microgateways und Token Exchange verbindet.

Whitepaper anfordern

Whitepaper: Die Puzzleteile moderner Authentifizierung

Beim Identitätsmanagement verhält es sich wie bei einem Puzzle: Man muss das Gesamtbild verstehen, die relevanten Puzzleteile identifizieren und sie in der richtigen Reihenfolge zusammensetzen. Dieses Whitepaper zeigt, wie das gelingt.

Whitepaper anfordern

Whitepaper: Wie wird Ihr CIAM zum Erfolgsfaktor?

Steigende Anforderungen an Sicherheit und Benutzerfreundlichkeit machen Customer Identity and Access Management unverzichtbar. Finden Sie in diesem Whitepaper heraus, wie Sie mit der richtigen CIAM-Strategie Ihren Wettbewerbsvorteil sichern.

Jetzt kostenlos anfordern

Whitepaper: Sicherheit für cloudnative Anwendungen

Wie es Unternehmen gelingt, die Sicherheit von Web-Applikationen und APIs in Kubernetes zu gewährleisten lesen Sie hier im Whitepaper "Sicherheit für cloudnative Anwendungen“, das in Zusammenarbeit zwischen heise und Airlock entstanden ist.

Whitepaper anfordern

Whitepaper: Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern