Open-Source-Projekt OpenZiti
Sichere Overlays
Fortsetzung des Artikels von Teil 2
Das Netzwerk als Code
Die „Eliminierung des Netzes“ erscheint somit als einziger Weg, um ein vertrauensfreies, programmierbares Networking, das auf einfacher und kostenloser Open-Source-Technik basiert, in die Anwendungen selbst einzubauen. Ist Zero-Trust-Networking in die Anwendung integriert, wird es selbst zur Anwendung; läuft die Anwendung im Internet, wird sie zum Internet. Die Anwendungskonnektivität ist standardmäßig sicher und isoliert die Applikationen vom Internet, LAN und Host-Betriebssystem. Eine App-Kommunikation kann erst dann stattfinden, wenn sie explizit authentifiziert und auf der Grundlage einer starken eingebetteten Identität autorisiert wurde. Diese Isolierung vom Underlay – einschließlich der Tatsache, dass es keine offenen oder abhörenden Ports gibt – verhindert, dass böswillige externe Akteure das Netzwerk ausnutzen können. Zu diesen Angriffen gehören Zero-Day/CVE-Exploits, DDoS, Port-Scanning, das Ausfüllen von Anmeldeinformationen oder Passwörtern sowie Phishing.
OpenZiti ergänzt damit herkömmliche Security-Lösungen um eine proaktive Ebene: Mittels OpenZiti können zum Beispiel Firewall-Administratoren Tausende komplexer Zugriffskontrolllisten (ACLs) durch eine einzige Richtlinie für eingehende Daten ersetzen, nämlich „deny all“. Auf diese Weise kann die Firewall tatsächlich die Arbeit erledigen, für die sie vorgesehen ist.
Open-Source-basierte, in Anwendungen eingebettete Netzwerke helfen außerdem, die Kosten und die Bindung an einen bestimmten Anbieter zu reduzieren und gleichzeitig die Geschwindigkeit, Automatisierung und Flexibilität des Unternehmens zu verbessern, indem sie Abhängigkeiten von öffentlichem DNS, MPLS, VPNs, komplexen Firewall-Regeln, IPS/IDS und anderen proprietären Tools und Infrastrukturen beseitigen. Overlay und Richtlinien lassen sich mit DevOps-Tools und -Methoden programmgesteuert verwalten. Sie ergänzen so bestehende Infrastruktur-als-Code-Tools um sichere Netzwerke-als-Code. Der ausschließliche Zugriff auf Anwendungen über das Zero-Trust-Overlay-Netzwerk erhöht die Hürden für Angreifer um ein Vielfaches: Böswillige Akteure können Ziele nicht mehr von den Netzwerken aus angreifen. Die Anwendungen befinden sich jetzt in Zero-Trust-Netzen, in denen nur autorisierte Sitzungen erlaubt sind, und diese Autorisierungen basieren auf Methoden wie bidirektionaler Zertifikatsauthentifizierung und minimalem privilegierten Zugriff.
Die OpenZiti-Modell fußt auf drei Kernkomponenten: den Endpunkten, der Autorisierung vor dem Verbinden sowie der Overlay-Netzstruktur. Statt zu versuchen, Netzwerke zu sichern, schützt OpenZiti Apps vor den Netzwerken. In diesem Modell ist die Anwendung die neue Grenze. OpenZiti bietet dazu eine SD-WAN-ähnliche Software, die sich jedoch überall einsetzen lässt, sogar innerhalb des Prozessraums einer Anwendung oder auf IoT-Geräten. Diese Endpunkte unterscheiden sich auch stark von SD-WAN, MPLS-WAN, VPN oder anderen Netzwerk-Endpunkten, da Zero-Trust bereits eingebaut ist. Jeder Endpunkt verwendet X.509-basierte Identitäten ohne Pre-Shared-Keys, um eine sichere Authentifizierung und Anforderung von Overlay-Netzwerkverbindungen durchzuführen. Es ist eine auf Attributen basierende Autorisierung erforderlich, die gegebenenfalls Posture Checks und MFA umfasst. Anderen Endpunkten verweigert die Software den Zugang zu den Overlay-Netzwerken, indem eine starke Autorisierung erforderlich ist. Ein wesentliches Ergebnis besteht darin, dass die Netzwerke – oder eben bösartige Akteure in den Netzwerken – nicht mehr zu den Anwendungen vordringen können: Die Anwendungen genießen ihre eigenen privaten, App-spezifischen Zero-Trust-Overlays.
Overlay-Router ermöglichen bidirektionale Datentransfers zwischen Endpunkten. Die virtuellen Router sind programmierbar und arbeiten in einem Mesh mit den Endpunkten, um das Routing entsprechend den Echtzeitbedingungen dynamisch zu optimieren. Dieses programmierbare Mesh mit dynamischem Routing ist entscheidend für Ausfallsicherheit und Qualitätsperspektiven. Die Pakete sind nicht länger dem Internet-Wetter ausgeliefert. Der Plattformansatz von OpenZiti verbindet das Ganze miteinander. Die Plattform lässt sich einfach verwalten, erweitern und skalieren. Dafür sorgen das Open-Sourcing der Software, die Entwicklung aller Komponenten als Multi-Cloud-nativ, API-getrieben und programmierbar sowie den Aufbau von Secure-by-Design-Konstrukten. Vorgefertigte Integrationen mit verbreiteten Lösungen sind als SaaS-Dienste verfügbar, zudem gibt es APIs und SDKs.
Philip Griffiths ist Head of Technical Alliances Europe bei NetFoundry.
- Sichere Overlays
- Der Vorteil von Open Source
- Das Netzwerk als Code
Lesen Sie mehr zum Thema
