Airlock Gateway 8.6
Airlock Gateway 8.6 stärkt den Schutz, verbessert die Automatisierung und reduziert den Betriebsaufwand in zentralen Bereichen. Das Release bringt umfassende Verbesserungen für Airlock Anomaly Shield, unterstützt neu Red Hat OpenShift Virtualization, erweitert den DoS-Schutz, automatisiert ACME-Zertifikate nun auch für das Configuration Center und baut die REST-API weiter aus.
Airlock Anomaly Shield: Präzisere Erkennung bei weniger Betriebsaufwand
Airlock Anomaly Shield erkennt verdächtiges Verhalten jetzt präziser und reduziert gleichzeitig den Betriebsaufwand. Gateway 8.6 verbessert die Modellqualität, erweitert die verfügbare Datengrundlage und optimiert die Modellauswertung. Dadurch sinkt die Zahl der False Positives, die Erkennungsgenauigkeit steigt und Upgrades werden einfacher.
Die verbesserte Client-Behaviour-Funktion reduziert False Positives deutlich. Dafür wurden die zugrunde liegenden Modellalgorithmen verbessert und das Training der Modelle verfeinert.
Zusätzlich umfasst die erweiterte Datenerfassung neu auch Content Types von Requests und Responses. Dadurch steht eine breitere Grundlage für die Analyse zur Verfügung, was präzisere Auswertungen und eine höhere Erkennungsgenauigkeit ermöglicht.
Ein neues URL Model verbessert die Verhaltensanalyse zusätzlich. Es bewertet Übergänge zwischen Request-Pfaden und vergleicht diese Sequenzen mit erlernten Nutzungsmustern. Weicht eine Session deutlich von den erwarteten Navigationsabläufen ab, erkennt Anomaly Shield sie als anomal. So lassen sich verdächtige Verhaltensmuster wirksamer identifizieren.
Die optimierte Modellauswertung verbessert die Performance. Anomaly Shield wertet Modelle nur so lange aus, wie die Klassifizierung einer Session unsicher bleibt. Sobald eine Session zuverlässig als normal erkannt wurde, stoppt Anomaly Shield die weitere Modellauswertung. Das reduziert unnötige Verarbeitungsschritte und verbessert die Gesamteffizienz.
Vorinstallierte Modelle machen Upgrades auf die aktuelle Airlock Gateway-Version reibungsloser. Sie machen ein unmittelbares Modelltraining direkt nach dem Upgrade überflüssig und beschleunigen den Upgrade-Prozess. Wenn die Trainingsaufgabe mit der empfohlenen Einstellung «retrain and enforce» arbeitet, trainiert Anomaly Shield die Modelle automatisch in der ersten Nacht nach dem Upgrade neu. Nach 35 Tagen führt Anomaly Shield automatisch ein vollständiges Retraining durch, sobald genügend Daten gesammelt wurden. Wir empfehlen, sowohl «retrain and enforce» als auch «training data collection» zu aktivieren, um den Betriebsaufwand gering zu halten und eine optimale Modellperformance sicherzustellen.
Das erweiterte Redis Monitoring verwaltet die Datenbankbereinigung automatisch anhand der aktuellen Bedingungen. Es passt das Cleanup-Verhalten dynamisch an den Füllstand der Redis-Datenbank und die aktuelle Traffic-Last an. Das sorgt für eine effiziente Ressourcennutzung und eine stabile Systemperformance.
Red Hat OpenShift Virtualization: Betreiben Sie Gateway auf OpenShift
Mit Gateway 8.6 lässt sich Airlock Gateway mit Red Hat OpenShift Virtualization betreiben. Kunden können OpenShift damit als Kubernetes-Plattform standardisieren und bestehende Workloads per «Lift & Shift» übernehmen, während sie weiterhin auf ein bewährtes Security Gateway setzen.
Der Betrieb von Airlock Gateway auf OpenShift ermöglicht einen stärker deklarativen, Kubernetes-nativen Deployment-Ansatz.
Vorteile:
- OpenShift-Support: Airlock Gateway lässt sich in Red Hat OpenShift betreiben. Damit kann die eigene Kubernetes-Strategie konsequent weitergeführt werden.
- Deklaratives Deployment: Kubernetes-native Deployment-Konfigurationen sorgen für planbare und wiederholbare Rollouts.
- Migration zu Microgateway: Da Airlock Microgateway OpenShift-zertifiziert ist, können Kunden Schritt für Schritt und Service für Service von Airlock Gateway zu Airlock Microgateway migrieren.
Diese Erweiterung stärkt die Eignung von Airlock Gateway für moderne Plattformteams. Kunden können heute auf OpenShift standardisieren und behalten gleichzeitig einen klaren, schrittweisen Weg in Richtung Airlock Microgateway.
DoS-Schutz: Backends vor Angriffen schützen
Airlock Gateway stärkt den Schutz vor Denial-of-Service-Angriffen (DoS) und hilft, Backend-Systeme vor solchem Traffic abzuschirmen. Indem schädliche Akteure bereits auf Layer 3 blockiert werden, lässt sich unerwünschter Traffic mit weniger Ressourcen stoppen. Das verbessert die Gesamtperformance und reduziert unnötige Last auf Backend-Services.
Vorteile:
- Höhere Performance: Airlock Gateway blockiert DoS-Angriffe frühzeitig auf Layer 3, reduziert dadurch die Last und verbessert die Gesamteffizienz.
- Backend-Schutz: Backend-Services werden auch unter Angriff verfügbar und widerstandsfähig gehalten.
- Bessere Einblicke: Operative Verbesserungen sorgen für mehr Transparenz bei Angriffssituationen und beim Schutzverhalten.
Diese Funktion wurde in engem Austausch mit ausgewählten Kunden entwickelt. So stellt Airlock sicher, dass sie reale Anforderungen moderner Operations- und Security-Teams adressiert.
ACME Services: Zertifikatsautomatisierung für das Configuration Center
Mit Gateway 8.6 erweitern wir die ACME-Automatisierung auf die Management-Oberfläche. Zusätzlich zu den Zertifikaten für geschützte Webapplikationen kann Gateway nun auch Zertifikate für das Configuration Center über DNS-01 bereitstellen und erneuern. DNS-01 eignet sich besonders für Endpunkte, die nicht öffentlich erreichbar sind.
Vorteile:
- Automatisierte Zertifikate für das Configuration Center: DNS-01 ermöglicht ACME-basierte Zertifikate für die Management-Oberfläche.
- Konsistentes Zertifikatsmanagement: Zertifikate für geschützte Webapplikationen und das Configuration Center lassen sich mit demselben automatisierten Ansatz verwalten.
- Weniger Betriebsaufwand und Risiko: Die vollständig automatisierte Ausstellung und Erneuerung hilft, abgelaufene Zertifikate auf kritischen administrativen Zugriffspfaden zu verhindern.
Diese Verbesserung stärkt die Sicherheit administrativer Zugriffe und reduziert gleichzeitig den manuellen Aufwand für die Zertifikatspflege.
REST-API-Erweiterungen: Mehr Automatisierung, weniger Aufwand
Die REST-API von Airlock Gateway ist ein zentraler Baustein, um Konfigurationsaufgaben in grossen Umgebungen zu automatisieren. Das Automatisierungstoolkit bietet Kunden und Partnern nun mehr Kontrolle in den folgenden Bereichen:
- Mapping-Import: Der optionale Strict Mode macht automatisierte Workflows sicherer und berechenbarer, indem der Import bei nicht aufgelösten Referenzen fehlschlägt.
- Allow Rules: Allow Rules können neu über die REST-API erstellt und aktualisiert werden.
- ICAP: Derselbe ICAP-Service kann neu mehrfach innerhalb eines einzelnen Mappings verwendet werden, was flexiblere Inspection-Flows ermöglicht.
- Zugriffsrollen: Neue dedizierte Rollen für Read-only- und Full Access sorgen für eine klarere Trennung von Berechtigungen und einen sichereren Betrieb in automatisierten Umgebungen.
- Dokumentation: Verschiedene Verbesserungen an der Dokumentation erleichtern die Implementierung und den Arbeitsalltag.
Diese Erweiterungen machen die REST-API zu einem noch leistungsfähigeren Werkzeug für vollständig automatisierte Konfigurationsworkflows.
Add-on Tomcat: Nur noch Tomcat 11 unterstützt (Java 17+ notwendig)
Wie bereits in der Release-Kommunikation zu Gateway 8.5 angekündigt, ist das Add-on Tomcat ab Gateway 8.6 ausschliesslich in Version 11 verfügbar.
Upgrade-Verhalten:
- Ein Upgrade ist möglich, wenn kein Add-on Tomcat installiert ist oder wenn Add-on Tomcat 11 installiert ist.
- Ein Upgrade ist nicht möglich, wenn Add-on Tomcat 9 installiert ist.
Ab Gateway 8.6 wird nur noch Tomcat 11 unterstützt. Dies setzt Java 17 oder neuer voraus. Bitte aktualisieren Sie Ihre Applikationen entsprechend oder betreiben Sie sie extern auf einer älteren Tomcat-Version.
End of life
NTLM-Support: End of LifeNTLM ist seit mehr als drei Jahrzehnten Teil der Windows-Authentifizierung, erfüllt aber heutige Sicherheitsanforderungen nicht mehr. Microsoft stuft NTLM als veraltet ein und entwickelt Windows konsequent in Richtung Kerberos-basierter Authentifizierung weiter. Network NTLM soll in künftigen Windows-Versionen standardmässig deaktiviert werden.
Microsoft weist auf mehrere Sicherheitsrisiken von NTLM hin, darunter schwache Kryptografie, fehlende Serverauthentifizierung sowie die Anfälligkeit für Replay-, Relay-, Pass-the-Hash- und Man-in-the-Middle-Angriffe.
Diese Entwicklung betrifft auch das Software-Ökosystem rund um Airlock Gateway. Von Gateway verwendete Bibliotheken wie Curl stellen die Unterstützung für NTLM ein. Deshalb beendet Airlock Gateway die Unterstützung für NTLM-basierte Integrationsszenarien.
Dies betrifft:
- NTLM-Passthrough: Clients authentifizieren sich über Airlock Gateway an Backend-Systemen.
- NTLM-SSO-Credential-Propagation: Benutzeridentitäten werden per NTLM an Backend-Systeme weitergegeben.
- Front-Side NTLM: Authentisierung von Clients in Airlock IAM mittels NTLM
Airlock Gateway 8.6 ist das letzte Release, das Front-Side NTLM, NTLM-Passthrough und NTLM-SSO-Credential-Propagation unterstützt. Diese Funktionen werden mit dem nächsten Release entfernt.
Wir empfehlen, auf moderne und sicherere Authentifizierungsprotokolle wie OIDC oder Kerberos zu migrieren.
Gehärtete Filterregeln dank Bug Bounties
Nicht zuletzt hat auch unser seit 2020 erfolgreich laufendes Airlock Bug Bounty Programm zu zahlreichen Sicherheitsverbesserungen geführt, die in den aktuellen Release einfliessen. Wir danken den White Hackern, die ihre Findings mit uns teilen. Hier erfahren Sie mehr über das Airlock Bug Bounty Programm.
Einfaches Update
Airlock Gateway 8.6 ist jetzt auf der Airlock Techzone verfügbar. Das Update auf diese Minor-Version erfordert keine manuellen Anpassungen – Ihre bestehende Konfiguration kann problemlos migriert und aktiviert werden. Einen detaillierten Überblick über alle Neuerungen und Korrekturen finden Sie in den Release Notes.
Airlock Gateway 8.6
Release-VideoIn unserem Release-Video erhalten Sie alle Details zu Airlock Gateway 8.6.