QAware GmbH, profile picture
Hochgeladen vonQAware GmbH
PDF, PPTX295 aufrufe

Holistische Sicherheit für Microservice Architekturen

Das Dokument behandelt die holistische Sicherheit für Microservice-Architekturen und betont die höheren Sicherheitsanforderungen im Vergleich zu monolithischen Systemen. Es werden verschiedene Architekturebenen und Sicherheitsmaßnahmen aufgeführt, einschließlich des Einsatzes von Sicherheitsarchitekturen, API-Gateways und Sicherheitsmustern aus dem Domain-Driven Design. Zudem wird auf die Notwendigkeit eingegangen, Sicherheitskomponenten und -protokolle auf allen Ebenen der Softwarearchitektur zu implementieren, um robuste und skalierbare Systeme zu gewährleisten.

Software
Verwandte Themen:
API Gateway

Präsentation einbetten

Als PDF, PPTX herunterladen
Holistische Sicherheit für Microservice Architekturen OOP 2020 // @LeanderReimer #cloudnativenerd {{ 04.02.2020 }}
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware #whoami 2 Mario-Leander Reimer Chief Software Architect QAware GmbH
https://imgur.com/gallery/LGAZEqu The Monolith
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Monolithische Systeme waren vergleichsweise einfach abzusichern. • Kleinere Angriffsfläche in Bezug auf die öffentlichen APIs. • Keine Verteilung. Kaum IPC. • Überschaubarer Technologie-Stack • Geringe Infrastruktur-Komplexität • Managed Infrastruktur (OS Updates, Version Upgrades, Patches) • Lange Release-Zyklen. One Team. 4 Monolithic Vintage System Users system.example.com
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Microservice-basierte Systeme sind komplexer. Ihre Absicherung ist deutlich aufwändiger. • Starke Verteilung und zahlreiche Kommunikationskanäle • Heterogener Technologie-Stack • Hohe Infrastruktur-Komplexität mit vielen Komponenten • Neues Betriebsmodell mit mehr Verantwortung beim Entwickler • Kurze Release Zyklen. Viele Teams. 5 Service A Service B Service C Service X Service Y Service Z Users
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Microservice-basierte Systeme müssen auf allen Ebenen und Sichten der Softwarearchitektur gesichert werden. 6 TI - ArchitekturT - ArchitekturA - Architektur Konzeptionelle Sicht Modulsicht Ausführungssicht Programmsicht Anforderungen Komponenten Schnittstellen Nachbarsysteme Anwendungsfälle Entitätenmodell Rechner Netzwerke Infrastruktur Produkte Bibliotheken Frameworks Technologien
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Die Sicherheitsarchitektur eines Systems sichert die Architektur auf den verschiedenen Ebenen. 7 Anwendungs-Architektur Technische Architektur Sichere Anwendungs-Architektur Sichere Technische Architektur Sicherheits-Anforderungen Security Targets Externe Quellen:
 OWASP Top 10, BSI, PSA, Technische Infrastruktur Sichere Technische InfrastrukturSicherheits
 Architektur
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Die Sicherheitsarchitektur besteht aus abgesicherten Komponenten und Kommunikationskanälen. 8 Komponente A Komponente B Kanal A-B Trust boundary
 (Abgesicherter) Kommunikationskanal Komponente Schnittstelle über einen Gatekeeper gesichert • Ein System besteht aus Komponenten. Diese sind durch Kommunikationskanäle verbunden. • Beispiele für Komponenten: Datacenter, VMs, Container, App Server, Datenbanken, Softwaremodule, Browser, … • Jede Komponente wird von jemanden bereitgestellt, der vertrauenswürdig oder nicht vertrauenswürdig ist. • Jede Komponente hat eine definierte Sicherheit (von unsicher bis sehr sicher): Wie gründlich muss der Gatekeeper sein: Vom Jedermanns-Recht bis zur Festung • Jeder Kanal hat eine definierte Sicherheit (von sehr sicher bis unsicher): Wie robust ist der Kanal und das dabei verwendete Protokoll gegenüber den typischen Angriffen?
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Sicherheitskomponenten können Sicherheitsgruppen bilden mit harten Grenzkontrollen oder laxer innerer Sicherheit. 9 Komponente A Komponente B Komponente D Komponente C Strenge Sicherheit Schwache Sicherheit Keine Sicherheit Sicherheitsgruppe und
 Trust Boundary
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Konzepte aus dem Domain Driven Design helfen beim Entwurf der Sicherheitsarchitektur. • Bounded Context definiert die fachlichen Systemgrenzen • Fachlicher und technischer Schnitt mit Event Storming • Anti-Corruption Layer kapselt und isoliert die Zugriffe zwischen Bounded Contexts • Value Objects: self-validated, immutable Data Types 10
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Introducing DHARMA: Domain Hierarchy Access Regulation for Microservices Architecture • Nützliche Access Control Mechanismen für Microservices • Network-Level Controls: Segmentation, SSL/TLS, SPIFFE • Infrastructure: Network Overlays, Proxies / API Gateways, Service Meshes • Application Level Controls: API keys, OAuth 2.0, OpenID Connect, JWT • Die API Access Control Design Methodology mit DHARMA: 1. Identify Trust Domains 2. Define trust and access mechanisms 3. Determine interior and boundary endpoints 4. Select domain implementation platforms 11 https://www.ca.com/content/dam/ca/us/files/ebook/securing-microservice-apis-sustainable-and-scalable-access-control.pdf
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware12 DMZ A Shared PaaS Reverse Proxy Reverse Proxy Namespace Bounded Context A APIGateway Reverse Proxy Users 3rd Party Apps Mobile Namespace Security Context SecurityAPIGateway Auth Token <-> JWT Auth Service 
 X Auth Service 
 Y Auth Service 
 Z Service A Service B JWKS
 Service 3 JWT JWT 5 2 2 1 4 4 1. Proprietary Authentication Token 2. Authorise and swap token to JSON Web Token 3. Propagate Token 4. Verify Token with JSON Web Key Set 5. Propagate Token 6. Like 4. Verify Token with JSON Web Key Set
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware13 W E N S Ingress Egress API Gateways für Nord-Süd Kommunikation Service Meshes für Ost-West Kommunikation
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware15 API Gateways are like the Façade Pattern in
 Cloud Native Application Design and Microservice Architectures
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware • Traffic Management: Path, Header, Host based Routing, Path Rewrite • Security: AAA, Terminate TLS, Support for JWT and JWKS, Open ID • Quality of Service: Rate Limiting, Quota • Observability: Logging, Monitoring, Tracing, Auditing • Resiliency: Circuit Breaker, Retry, Timeouts • Protocol Translation: XML to JSON, gRPC to JSON, … • Transformation: Fan Out / Collect, Backend for Frontend, GraphQL • Rollout and Deployment: A/B Deployment, Canary Release, et.al. 16
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Four Categories of API Gateways A. API Management Solutions: Kong, Tyk, Mulesoft, 3scale, Apigee, … B. Build Your Own API Gateway: Netflix Zuul 2, Spring Cloud Gateway, Vert.x, Ballerina, Camel, … C. Service Proxies: Envoy, Nginx, OpenResty, Traefik, … D. Cloud Native API Gateways: KrakenD, Ambassador, Gloo, Maesh, … 17
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Container Orchestration Patterns 1. Sidecar Container: Extend container behaviour • Log Extraction / Reformatting (fluentd, logstash) • Scheduling (cron, quartz) 18 2. Ambassador Container: Proxy communication • TLS Tunnel (stunnel, ghostunnel) • Circuit Breaking (Envoy, Linkerd, Istio) • Request Monitoring (Istio, Linkerd) 3. Adapter Container: Provide a standardized interface • Monitoring (Prometheus) • Configuration (ConfigMaps, Secrets)
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware19
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Istio Service Mesh Architecture and Components 20
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Service Mesh für Arme auf Basis Envoy 21
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware22
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware The 4C’s of Cloud Native Security 23 Cloud Cluster Container Code https://kubernetes.io/docs/concepts/security/overview/#the-4c-s-of-cloud-native-security
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Code • Apply Defensive Programming Practices: Educate and Read • 3rd Party Dependency Security: Trusted Repositories (Nexus, Artifactory), Build Tool Integration (OWASP Plugins) • Static Code Analysis: Google Error Prone, Sonar, et.al. • Dynamic Probing Attacks als Teil der CI/CD Pipeline: Headless OWASP Zed Attack Proxy, Crashtest Security Suite • Zero Trust Mindset: Access over TLS only, limit port ranges 24
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Container • Disallow Privileged Users. • Build minimal images. Consider Distroless. • Use Trusted Registries and Trusted Images. • Container Vulnerability Scanning und OS Dependency Security als Teil der CI/CD Pipeline mit Tools wie Claire • Image Signing and Enforcement: CNCF Projects (TUF and Notary) are useful tools for signing container images and maintaining a system of trust, IBM’s Portieris for enforcement. 25 # Start by building the application. FROM golang:1.12 as build WORKDIR /go/src/app ADD . /go/src/app RUN go get -d -v ./... RUN go build -o /go/bin/app # Now copy it into our base image. FROM gcr.io/distroless/base COPY --from=build /go/bin/app / CMD ["/app"]
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Cluster • Sowohl die Komponenten des Clusters selbst auch die Applications-Komponenten müssen gesichert werden. Empfehlung: Nutze einen Managed Cluster as a Service Dienst. • Application secrets management (and encrypting them in etcd at rest) 
 https://kubernetes.io/docs/concepts/configuration/secret/ • Pod Security Policies: 
 https://kubernetes.io/docs/concepts/policy/pod-security-policy/ • Quality of Service (and Cluster resource management) 
 https://kubernetes.io/docs/tasks/configure-pod-container/quality-service-pod/ • Network Policies: 
 https://kubernetes.io/docs/concepts/services-networking/network-policies/ • TLS For Kubernetes Ingress:
 https://kubernetes.io/docs/concepts/services-networking/ingress/#tls 26
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Cloud • Beachte die Cloud Provider Security Guidelines! 27 IaaS Provider Link Alibaba Cloud https://www.alibabacloud.com/trust-center Amazon Web Services https://aws.amazon.com/security/ Google Cloud Platform https://cloud.google.com/security/ IBM Cloud https://www.ibm.com/cloud/security Microsoft Azure https://docs.microsoft.com/en-us/azure/security/azure-security VMWare VSphere https://www.vmware.com/security/hardening-guides.html
// OOP 2020 // Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Holistische Sicherheit für Microservice-basierte Systeme betrifft alle Ebenen vom Entwurf bis zum Betrieb. 28 Infrastructure Certificates Tokens Passwords Security Testing DAST + SAST Secure Components Domain Driven Design Security Patterns Sicherheitsanforderungen Schutzbedarfsanalyse Angreifer-Analyse OWASP Top 10 Defensive Programming Dependencies Package Signing Container Security
Mario-Leander Reimer Chief Software Architect, QAware GmbH mario-leander.reimer@qaware.de https://www.qaware.de https://speakerdeck.com/lreimer/ &

Weitere ähnliche Inhalte

PDF
Enterprise Cloud Native ist das neue Normal
vonQAware GmbH
 
PDF
Enterprise Cloud Native ist das neue Normal
vonQAware GmbH
 
PDF
Mit LoRaWAN und Serverless zur eigenen Smart-Office-Lösung
vonQAware GmbH
 
PDF
Enterprise Cloud Native ist das neue Normal
vonQAware GmbH
 
PDF
Holistische Sicherheit für Microservice-basierte Systeme
vonQAware GmbH
 
PDF
Der Status Quo des Chaos Engineerings
vonQAware GmbH
 
PDF
Der Cloud Native Stack in a Nutshell. #CloudExpoEurope
vonMario-Leander Reimer
 
PDF
Per Anhalter zu Cloud-nativen API Gateways
vonQAware GmbH
 
Enterprise Cloud Native ist das neue Normal
vonQAware GmbH
 
Enterprise Cloud Native ist das neue Normal
vonQAware GmbH
 
Mit LoRaWAN und Serverless zur eigenen Smart-Office-Lösung
vonQAware GmbH
 
Enterprise Cloud Native ist das neue Normal
vonQAware GmbH
 
Holistische Sicherheit für Microservice-basierte Systeme
vonQAware GmbH
 
Der Status Quo des Chaos Engineerings
vonQAware GmbH
 
Der Cloud Native Stack in a Nutshell. #CloudExpoEurope
vonMario-Leander Reimer
 
Per Anhalter zu Cloud-nativen API Gateways
vonQAware GmbH
 

Was ist angesagt?

PDF
Kubernetes ist so viel mehr als ein Container Orchestrierer
vonQAware GmbH
 
PDF
Softwerkskammer Chemnitz Special Pecha Kucha Night
vonChristinaLerch1
 
PDF
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
vonQAware GmbH
 
PDF
Enterprise Cloud Native ist das neue Schwarz
vonQAware GmbH
 
PDF
Making the internet faster HTTP/3 und QUIC
vonQAware GmbH
 
PDF
Per Anhalter durch den Cloud Native Stack (Extended Edition) #oop2017
vonMario-Leander Reimer
 
PDF
A Hitchhiker’s Guide to the Cloud Native Stack. #ContainerConf
vonMario-Leander Reimer
 
PDF
Agil zum Ziel: Erfolgsfaktoren für agile IT-Großprojekte
vonQAware GmbH
 
PDF
Cloud Native Migration: Wie IT-Landschaften ihren Weg auf eine Cloud-Native-P...
vonQAware GmbH
 
PDF
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
vonQAware GmbH
 
PDF
Dataservices - Data Processing mit Microservices
vonQAware GmbH
 
PDF
In-Memory Computing mit Apache Ignite und Kubernetes
vonQAware GmbH
 
PDF
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
vonNETWAYS
 
PDF
Cloud Connectivity - Herausforderungen und Loesungen
vonDaniel Steiger
 
PDF
Continuous Delivery für Cloud-native Anwendungen auf Cloud-nativer Infrastruktur
vonQAware GmbH
 
PDF
Enterprise CI/CD: Continuous Integration & Delivery im Enterprise-Umfeld
vonQAware GmbH
 
PDF
Steinzeit war gestern! Wege der cloud-nativen Evolution
vonQAware GmbH
 
PDF
In den sicheren Hafen jax2020
vonStephan Kaps
 
PDF
Leveraging the Power of Solr with Spark
vonQAware GmbH
 
PDF
Kaps - Es muss nicht immer Kubernetes sein
vonStephan Kaps
 
Kubernetes ist so viel mehr als ein Container Orchestrierer
vonQAware GmbH
 
Softwerkskammer Chemnitz Special Pecha Kucha Night
vonChristinaLerch1
 
Kontinuierliches (Nicht)-Funktionales Testen von Microservices auf K8s
vonQAware GmbH
 
Enterprise Cloud Native ist das neue Schwarz
vonQAware GmbH
 
Making the internet faster HTTP/3 und QUIC
vonQAware GmbH
 
Per Anhalter durch den Cloud Native Stack (Extended Edition) #oop2017
vonMario-Leander Reimer
 
A Hitchhiker’s Guide to the Cloud Native Stack. #ContainerConf
vonMario-Leander Reimer
 
Agil zum Ziel: Erfolgsfaktoren für agile IT-Großprojekte
vonQAware GmbH
 
Cloud Native Migration: Wie IT-Landschaften ihren Weg auf eine Cloud-Native-P...
vonQAware GmbH
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
vonQAware GmbH
 
Dataservices - Data Processing mit Microservices
vonQAware GmbH
 
In-Memory Computing mit Apache Ignite und Kubernetes
vonQAware GmbH
 
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
vonNETWAYS
 
Cloud Connectivity - Herausforderungen und Loesungen
vonDaniel Steiger
 
Continuous Delivery für Cloud-native Anwendungen auf Cloud-nativer Infrastruktur
vonQAware GmbH
 
Enterprise CI/CD: Continuous Integration & Delivery im Enterprise-Umfeld
vonQAware GmbH
 
Steinzeit war gestern! Wege der cloud-nativen Evolution
vonQAware GmbH
 
In den sicheren Hafen jax2020
vonStephan Kaps
 
Leveraging the Power of Solr with Spark
vonQAware GmbH
 
Kaps - Es muss nicht immer Kubernetes sein
vonStephan Kaps
 

Ähnlich wie Holistische Sicherheit für Microservice Architekturen

PDF
Per Anhalter durch den Cloud Native Stack. #SEACONHH
vonMario-Leander Reimer
 
PDF
Per Anhalter zu Cloud Nativen API Gateways
vonQAware GmbH
 
PPTX
Alle reden über Microservices - Wie haben wir es bei LeanIX gemacht @ EA Conn...
vonLeanIX GmbH
 
PDF
Per Anhalter durch den Cloud Native Stack (extended edition)
vonQAware GmbH
 
PDF
Microservices - Was EAs zu Microservices wissen sollten
vonJan Thielscher
 
PDF
Cloud Native & Java EE: Freund oder Feind?
vonQAware GmbH
 
PDF
Cloud Native und Java EE: Freund oder Feind?
vonJosef Adersberger
 
PDF
Java Aktuell Bernd Zuther Canary Releases mit der Very Awesome Microservices ...
vonBernd Zuther
 
Per Anhalter durch den Cloud Native Stack. #SEACONHH
vonMario-Leander Reimer
 
Per Anhalter zu Cloud Nativen API Gateways
vonQAware GmbH
 
Alle reden über Microservices - Wie haben wir es bei LeanIX gemacht @ EA Conn...
vonLeanIX GmbH
 
Per Anhalter durch den Cloud Native Stack (extended edition)
vonQAware GmbH
 
Microservices - Was EAs zu Microservices wissen sollten
vonJan Thielscher
 
Cloud Native & Java EE: Freund oder Feind?
vonQAware GmbH
 
Cloud Native und Java EE: Freund oder Feind?
vonJosef Adersberger
 
Java Aktuell Bernd Zuther Canary Releases mit der Very Awesome Microservices ...
vonBernd Zuther
 

Mehr von QAware GmbH

PDF
Process Transparency Through Data Mining
vonQAware GmbH
 
PDF
From Chat to CO₂ - The environmental cost of AI
vonQAware GmbH
 
PDF
TNG_Architecting Green Software - An Introduction_Nils-Oliver Linden&Alexande...
vonQAware GmbH
 
PDF
Testing in Terraform: only for platform nerds?
vonQAware GmbH
 
PDF
Your Legacy, Upgraded AI-Powered Java Modernisation with Konveyor
vonQAware GmbH
 
PDF
Testen nicht vergessen - wie man zuverlässige Chatbots (Agenten) baut
vonQAware GmbH
 
PDF
QAware_Mario-Leander_Reimer_Architecting and Building a K8s-based AI Platform...
vonQAware GmbH
 
PDF
Frontends mit Hilfe von KI entwickeln.pdf
vonQAware GmbH
 
PDF
Mit ChatGPT Dinosaurier besiegen - Möglichkeiten und Grenzen von LLM für die ...
vonQAware GmbH
 
PDF
50 Shades of K8s Autoscaling #JavaLand24.pdf
vonQAware GmbH
 
PDF
Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...
vonQAware GmbH
 
PPTX
Fully-managed Cloud-native Databases: The path to indefinite scale @ CNN Mainz
vonQAware GmbH
 
PDF
Down the Ivory Tower towards Agile Architecture
vonQAware GmbH
 
PDF
"Mixed" Scrum-Teams – Die richtige Mischung macht's!
vonQAware GmbH
 
PDF
Make Developers Fly: Principles for Platform Engineering
vonQAware GmbH
 
PDF
Der Tod der Testpyramide? – Frontend-Testing mit Playwright
vonQAware GmbH
 
PDF
Was kommt nach den SPAs
vonQAware GmbH
 
PDF
Cloud Migration mit KI: der Turbo
vonQAware GmbH
 
PDF
Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die See...
vonQAware GmbH
 
PDF
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
vonQAware GmbH
 
Process Transparency Through Data Mining
vonQAware GmbH
 
From Chat to CO₂ - The environmental cost of AI
vonQAware GmbH
 
TNG_Architecting Green Software - An Introduction_Nils-Oliver Linden&Alexande...
vonQAware GmbH
 
Testing in Terraform: only for platform nerds?
vonQAware GmbH
 
Your Legacy, Upgraded AI-Powered Java Modernisation with Konveyor
vonQAware GmbH
 
Testen nicht vergessen - wie man zuverlässige Chatbots (Agenten) baut
vonQAware GmbH
 
QAware_Mario-Leander_Reimer_Architecting and Building a K8s-based AI Platform...
vonQAware GmbH
 
Frontends mit Hilfe von KI entwickeln.pdf
vonQAware GmbH
 
Mit ChatGPT Dinosaurier besiegen - Möglichkeiten und Grenzen von LLM für die ...
vonQAware GmbH
 
50 Shades of K8s Autoscaling #JavaLand24.pdf
vonQAware GmbH
 
Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...
vonQAware GmbH
 
Fully-managed Cloud-native Databases: The path to indefinite scale @ CNN Mainz
vonQAware GmbH
 
Down the Ivory Tower towards Agile Architecture
vonQAware GmbH
 
"Mixed" Scrum-Teams – Die richtige Mischung macht's!
vonQAware GmbH
 
Make Developers Fly: Principles for Platform Engineering
vonQAware GmbH
 
Der Tod der Testpyramide? – Frontend-Testing mit Playwright
vonQAware GmbH
 
Was kommt nach den SPAs
vonQAware GmbH
 
Cloud Migration mit KI: der Turbo
vonQAware GmbH
 
Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die See...
vonQAware GmbH
 
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
vonQAware GmbH
 

Holistische Sicherheit für Microservice Architekturen

  • 1.
    Holistische Sicherheit für MicroserviceArchitekturen OOP 2020 // @LeanderReimer #cloudnativenerd {{ 04.02.2020 }}
  • 2.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware #whoami 2 Mario-Leander Reimer Chief Software Architect QAware GmbH
  • 3.
  • 4.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Monolithische Systeme waren vergleichsweise einfach abzusichern. • Kleinere Angriffsfläche in Bezug auf die öffentlichen APIs. • Keine Verteilung. Kaum IPC. • Überschaubarer Technologie-Stack • Geringe Infrastruktur-Komplexität • Managed Infrastruktur (OS Updates, Version Upgrades, Patches) • Lange Release-Zyklen. One Team. 4 Monolithic Vintage System Users system.example.com
  • 5.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Microservice-basierte Systeme sind komplexer. Ihre Absicherung ist deutlich aufwändiger. • Starke Verteilung und zahlreiche Kommunikationskanäle • Heterogener Technologie-Stack • Hohe Infrastruktur-Komplexität mit vielen Komponenten • Neues Betriebsmodell mit mehr Verantwortung beim Entwickler • Kurze Release Zyklen. Viele Teams. 5 Service A Service B Service C Service X Service Y Service Z Users
  • 6.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Microservice-basierte Systeme müssen auf allen Ebenen und Sichten der Softwarearchitektur gesichert werden. 6 TI - ArchitekturT - ArchitekturA - Architektur Konzeptionelle Sicht Modulsicht Ausführungssicht Programmsicht Anforderungen Komponenten Schnittstellen Nachbarsysteme Anwendungsfälle Entitätenmodell Rechner Netzwerke Infrastruktur Produkte Bibliotheken Frameworks Technologien
  • 7.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Die Sicherheitsarchitektur eines Systems sichert die Architektur auf den verschiedenen Ebenen. 7 Anwendungs-Architektur Technische Architektur Sichere Anwendungs-Architektur Sichere Technische Architektur Sicherheits-Anforderungen Security Targets Externe Quellen:
 OWASP Top 10, BSI, PSA, Technische Infrastruktur Sichere Technische InfrastrukturSicherheits
 Architektur
  • 8.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Die Sicherheitsarchitektur besteht aus abgesicherten Komponenten und Kommunikationskanälen. 8 Komponente A Komponente B Kanal A-B Trust boundary
 (Abgesicherter) Kommunikationskanal Komponente Schnittstelle über einen Gatekeeper gesichert • Ein System besteht aus Komponenten. Diese sind durch Kommunikationskanäle verbunden. • Beispiele für Komponenten: Datacenter, VMs, Container, App Server, Datenbanken, Softwaremodule, Browser, … • Jede Komponente wird von jemanden bereitgestellt, der vertrauenswürdig oder nicht vertrauenswürdig ist. • Jede Komponente hat eine definierte Sicherheit (von unsicher bis sehr sicher): Wie gründlich muss der Gatekeeper sein: Vom Jedermanns-Recht bis zur Festung • Jeder Kanal hat eine definierte Sicherheit (von sehr sicher bis unsicher): Wie robust ist der Kanal und das dabei verwendete Protokoll gegenüber den typischen Angriffen?
  • 9.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Sicherheitskomponenten können Sicherheitsgruppen bilden mit harten Grenzkontrollen oder laxer innerer Sicherheit. 9 Komponente A Komponente B Komponente D Komponente C Strenge Sicherheit Schwache Sicherheit Keine Sicherheit Sicherheitsgruppe und
 Trust Boundary
  • 10.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Konzepte aus dem Domain Driven Design helfen beim Entwurf der Sicherheitsarchitektur. • Bounded Context definiert die fachlichen Systemgrenzen • Fachlicher und technischer Schnitt mit Event Storming • Anti-Corruption Layer kapselt und isoliert die Zugriffe zwischen Bounded Contexts • Value Objects: self-validated, immutable Data Types 10
  • 11.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Introducing DHARMA: Domain Hierarchy Access Regulation for Microservices Architecture • Nützliche Access Control Mechanismen für Microservices • Network-Level Controls: Segmentation, SSL/TLS, SPIFFE • Infrastructure: Network Overlays, Proxies / API Gateways, Service Meshes • Application Level Controls: API keys, OAuth 2.0, OpenID Connect, JWT • Die API Access Control Design Methodology mit DHARMA: 1. Identify Trust Domains 2. Define trust and access mechanisms 3. Determine interior and boundary endpoints 4. Select domain implementation platforms 11 https://www.ca.com/content/dam/ca/us/files/ebook/securing-microservice-apis-sustainable-and-scalable-access-control.pdf
  • 12.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware12 DMZ A Shared PaaS Reverse Proxy Reverse Proxy Namespace Bounded Context A APIGateway Reverse Proxy Users 3rd Party Apps Mobile Namespace Security Context SecurityAPIGateway Auth Token <-> JWT Auth Service 
 X Auth Service 
 Y Auth Service 
 Z Service A Service B JWKS
 Service 3 JWT JWT 5 2 2 1 4 4 1. Proprietary Authentication Token 2. Authorise and swap token to JSON Web Token 3. Propagate Token 4. Verify Token with JSON Web Key Set 5. Propagate Token 6. Like 4. Verify Token with JSON Web Key Set
  • 13.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware13 W E N S Ingress Egress API Gateways für Nord-Süd Kommunikation Service Meshes für Ost-West Kommunikation
  • 15.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware15 API Gateways are like the Façade Pattern in
 Cloud Native Application Design and Microservice Architectures
  • 16.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware • Traffic Management: Path, Header, Host based Routing, Path Rewrite • Security: AAA, Terminate TLS, Support for JWT and JWKS, Open ID • Quality of Service: Rate Limiting, Quota • Observability: Logging, Monitoring, Tracing, Auditing • Resiliency: Circuit Breaker, Retry, Timeouts • Protocol Translation: XML to JSON, gRPC to JSON, … • Transformation: Fan Out / Collect, Backend for Frontend, GraphQL • Rollout and Deployment: A/B Deployment, Canary Release, et.al. 16
  • 17.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Four Categories of API Gateways A. API Management Solutions: Kong, Tyk, Mulesoft, 3scale, Apigee, … B. Build Your Own API Gateway: Netflix Zuul 2, Spring Cloud Gateway, Vert.x, Ballerina, Camel, … C. Service Proxies: Envoy, Nginx, OpenResty, Traefik, … D. Cloud Native API Gateways: KrakenD, Ambassador, Gloo, Maesh, … 17
  • 18.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Container Orchestration Patterns 1. Sidecar Container: Extend container behaviour • Log Extraction / Reformatting (fluentd, logstash) • Scheduling (cron, quartz) 18 2. Ambassador Container: Proxy communication • TLS Tunnel (stunnel, ghostunnel) • Circuit Breaking (Envoy, Linkerd, Istio) • Request Monitoring (Istio, Linkerd) 3. Adapter Container: Provide a standardized interface • Monitoring (Prometheus) • Configuration (ConfigMaps, Secrets)
  • 19.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware19
  • 20.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Istio Service Mesh Architecture and Components 20
  • 21.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Service Mesh für Arme auf Basis Envoy 21
  • 22.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware22
  • 23.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware The 4C’s of Cloud Native Security 23 Cloud Cluster Container Code https://kubernetes.io/docs/concepts/security/overview/#the-4c-s-of-cloud-native-security
  • 24.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Code • Apply Defensive Programming Practices: Educate and Read • 3rd Party Dependency Security: Trusted Repositories (Nexus, Artifactory), Build Tool Integration (OWASP Plugins) • Static Code Analysis: Google Error Prone, Sonar, et.al. • Dynamic Probing Attacks als Teil der CI/CD Pipeline: Headless OWASP Zed Attack Proxy, Crashtest Security Suite • Zero Trust Mindset: Access over TLS only, limit port ranges 24
  • 25.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Container • Disallow Privileged Users. • Build minimal images. Consider Distroless. • Use Trusted Registries and Trusted Images. • Container Vulnerability Scanning und OS Dependency Security als Teil der CI/CD Pipeline mit Tools wie Claire • Image Signing and Enforcement: CNCF Projects (TUF and Notary) are useful tools for signing container images and maintaining a system of trust, IBM’s Portieris for enforcement. 25 # Start by building the application. FROM golang:1.12 as build WORKDIR /go/src/app ADD . /go/src/app RUN go get -d -v ./... RUN go build -o /go/bin/app # Now copy it into our base image. FROM gcr.io/distroless/base COPY --from=build /go/bin/app / CMD ["/app"]
  • 26.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Cluster • Sowohl die Komponenten des Clusters selbst auch die Applications-Komponenten müssen gesichert werden. Empfehlung: Nutze einen Managed Cluster as a Service Dienst. • Application secrets management (and encrypting them in etcd at rest) 
 https://kubernetes.io/docs/concepts/configuration/secret/ • Pod Security Policies: 
 https://kubernetes.io/docs/concepts/policy/pod-security-policy/ • Quality of Service (and Cluster resource management) 
 https://kubernetes.io/docs/tasks/configure-pod-container/quality-service-pod/ • Network Policies: 
 https://kubernetes.io/docs/concepts/services-networking/network-policies/ • TLS For Kubernetes Ingress:
 https://kubernetes.io/docs/concepts/services-networking/ingress/#tls 26
  • 27.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Cloud • Beachte die Cloud Provider Security Guidelines! 27 IaaS Provider Link Alibaba Cloud https://www.alibabacloud.com/trust-center Amazon Web Services https://aws.amazon.com/security/ Google Cloud Platform https://cloud.google.com/security/ IBM Cloud https://www.ibm.com/cloud/security Microsoft Azure https://docs.microsoft.com/en-us/azure/security/azure-security VMWare VSphere https://www.vmware.com/security/hardening-guides.html
  • 28.
    // OOP 2020// Holistische Sicherheit für Microservice Architekturen // @LeanderReimer #cloudnativenerd #qaware Holistische Sicherheit für Microservice-basierte Systeme betrifft alle Ebenen vom Entwurf bis zum Betrieb. 28 Infrastructure Certificates Tokens Passwords Security Testing DAST + SAST Secure Components Domain Driven Design Security Patterns Sicherheitsanforderungen Schutzbedarfsanalyse Angreifer-Analyse OWASP Top 10 Defensive Programming Dependencies Package Signing Container Security
  • 29.
    Mario-Leander Reimer Chief SoftwareArchitect, QAware GmbH mario-leander.reimer@qaware.de https://www.qaware.de https://speakerdeck.com/lreimer/ &