Microgateway 4

In Kubernetes zu Hause

Kubernetes-nativer Anwendungsschutz:

Das ist neu

Airlock Microgateway basiert ab Version 4.0 auf Envoy Proxy, dem De-facto-Standard für die Datenebene im Kubernetes-Umfeld. Die bewährten Airlock Gateway-Komponenten Apache und Security Gatekeeper passten bezüglich Speicherbedarf und Prozessmodell nicht zur leichtgewichtigen Architektur moderner Cloud-Anwendungen. Als Ersatz wurde mit Envoy ein Proxy gewählt, der für Cloud-native Anwendungen entwickelt wurde und daher ideal in das Kubernetes-Ökosystem passt. Envoy unterstützt moderne Protokolle wie HTTP/3 und ist mit Lua-Skripten erweiterbar und bietet bereits einen grossen Funktionsumfang. Darüber hinaus harmoniert Envoy gut mit einem Service-Mesh wie Istio.

In Kubernetes zu Hause.

Mit oder ohne Service Mesh.

Immer mehr Webanwendungen und APIs werden in Kubernetes betrieben. Einige Kunden setzen dabei auf ein Service Mesh, welches betriebliche Belange wie Transportverschlüsselung, Metriken, Tracing, oder Canary Deployment abdeckt. Was einem Service Mesh jedoch fehlt, ist der umfassende Schutz vor Angriffen auf der Anwendungsebene wie z.B. die OWASP Top 10. 

In diese Lücke springt Airlock Microgateway: Es sorgt dafür, dass unerwünschte Besucher gar nicht erst bis zur Anwendung gelangen. Airlock Microgateway lässt sich perfekt mit Istio Service Mesh kombinieren, setzt dieses aber nicht voraus. Dies ist besonders interessant, wenn Sie heute noch kein Service Mesh einsetzen, sich aber den Weg dorthin nicht versperren wollen. Oder wenn Sie  zwar grundsätzlich ein Service Mesh einsetzen, aber nicht in allen Projekten. So kann auch in einer heterogenen Anwendungslandschaft eine einheitliche Sicherheitsarchitektur umgesetzt werden.

Airlock Microgateway 4 integriert sich nahtlos in die Kubernetes-Umgebung, indem es typische Konzepte wie Operators, Sidecars und Custom Resource Definitions (CRD) verwendet. Das vereinfacht den Einstieg für Kubernetes-Anwender und unterstützt moderne DevOps-Prozesse:
 

  • Einfache und modulare Konfiguration mit und ohne Templates (mit kustomize, helm, etc.)
     
  • Firmenweite Sicherheitsrichtlinien: Securityexperten können mit Tools wie Open Policy Agent, Kyverno oder Kubewarden Leitplanken definieren und beispielsweise verhindern, dass wichtige Sicherheitsfilter in der Produktion deaktiviert werden.
     
  • Security as Code: GitOps-taugliche Deklaration von Infrastruktur und Sicherheitsregeln in yaml-Dateien
     
  • Plugins für moderne IDEs sorgen für automatische Validierung, Code-Vervollständigung und Tooltips beim Editieren der Microgateway Konfiguration.

Ein Service Mesh wie Istio schützt nicht vor Angriffen auf Anwendungsebene wie z.B. den OWASP und OWASP API Top 10.
In diese Lücke springt Airlock Microgateway.

Bewährte Airlock-Sicherheit

für Kubernetes-Cluster

Obwohl der Microgateway-Kern durch Envoy ersetzt wurde, haben wir die bewährten Sicherheitsfunktionen beibehalten. Dazu gehören insbesondere:
 

  • Airlock Deny Rules für den preisgekrönten Schutz vor bekannten Angriffen und Zero-Day-Exploits wie Log4Shell.
     
  • Header Rewrites zum Filtern und Umschreiben von HTTP Headers, oder zum Einfügen von Security Headers wie HSTS, X-Frame-Optionen oder CSP in der Response.
     
  • Request Limiten zur Beschränkung der Grösse des gesamten Request Bodies, der maximalen Anzahl Parameter sowie der maximalen Länge von Parameter-Namen und Werten (auch für JSON-Parameter).
     
  • Telemetrie-Schnittstellen wie Prometheus Metriken und strukturierte Logs im ECS-Format (Elastic Common Schema) erleichtern die Überwachung und Analyse.
     
  • Minimale Containerberechtigungen gemäss dem Principle of Least Privilege (POLP) sind dank dem CNI-Plugin möglich. Reduzierte Open-Source-Abhängigkeiten führen zusätzlich zu einer deutlich kleineren Angriffsfläche im Vergleich zu Microgateway 3.x.

Umstieg von Microgateway 3.x

Die neue Architektur und Funktionsweise von Airlock Microgateway 4.x hat zur Folge, dass sich auch die Konfiguration von den Vorgängerversionen unterscheidet. Gerne unterstützen wir Sie bei der Migration oder bei Fragen zur Umstellung. Airlock Microgateway 3.3 wird noch bis Ende 2023 unterstützt und mit Sicherheits-Updates versorgt.

Kostenlose Community Edition

Die kostenlose Community Edition enthält neu alle wichtigen Sicherheitsfunktionen von Airlock Microgateway. Im Unterschied zur Premium Edition ist sie auf kleine Installationen und die Verwendung im Entwicklungsumfeld ausgerichtet.

Wollen Sie es gleich ausprobieren?

Mit Instruqt können Sie hier Airlock Microgateway gleich ausprobieren: 


Hier können Sie das Microgateway gleich mit Anleitung ausprobieren

(Die Startzeit besträgt ungefähr 3 Minuten)

Airlock Microgateway 4.0 Webinar

Slides

Airlock Microgateway Release Webinar (Deutsch)

Aufzeichnung

Airlock Microgateway 4.0 Webinar (English)

Recording 

Wir informieren Sie

-Unsere Whitepaper-

Whitepaper Agile Sicherheit

Lesen Sie in unserem Whitepaper, das wir mit unserem Gold Partner Knowledge Lab AG erstellt haben, wie Sie agile Security so dynamisch wie Ihr Unternehmen selbst gestalten können. Erfahren Sie, wie die V-Bank AG den Weg in eine agile und sichere Welt geschafft hat

Jetzt Formular ausfüllen und Whitepaper erhalten!

Studie Application- und API-Security 2022

Ergon Airlock hat sich in einer aktuellen Studie in Zusammenarbeit mit CIO, CSO und COMPUTERWOCHE mit der Application und API-Security im Container Umfeld auseinander gesetzt.

Studie anfordern

Zero Trust ist eine Reise

Die kontinuierliche digitale Transformation der Welt schreitet voran und wirkt sich tiefgreifend auf das Privat- und Berufsleben in einer Weise aus, die vor wenigen Jahren noch schwer vorstellbar war.

Dieses Whitepaper behandelt die Effekte der kontinuierlichen Digitalisierung und ihre Auswirkungen.

Kostenlos anfordern

Auf zu DevSecOps

Erfahren Sie in diesem Whitepaper die wichtigsten Erkenntnisse, wie Sie DevSecOps erfolgreich und effizient umsetzen können, welche Sicherheitskomponenten es dafür braucht und welche Vorteile eine Microgateway Architektur bringt.

Kostenlos anfordern

Airlock 2FA - Starke Authentifizierung. Einfach.

Doppelte Sicherheit – das bietet die Zwei-Faktor-Authentifizierung im Bereich IT-Security.

Erfahren Sie in unserem Whitepaper mehr über starke Authentifizierung und die Möglichkeiten, die Airlock bietet.

Kostenlos herunterladen

Weitere Whitepaper

Zu diesen und weiteren Themen stellen wir Ihnen kostenlos Whitepaper zur Verfügung:

  • erfolgreiche IAM Projekte
  • Compliance
  • Datenschutz (DSGVO)
  • Einführung von PSD2
  • PCI DSS Anforderungen
Kostenlos anfordern