Wie überbrückt APISIX die Lücke zwischen DMZ und internen Netzwerken?

January 28, 2024

Technology

DMZ, oder Demilitarisierte Zone, dient als eine sichere Netzwerkzone, die strategisch zwischen dem internen und externen Netzwerk (in der Regel das Internet) positioniert ist. Sie fungiert als Schutzmechanismus für das Hosting von Diensten oder Ressourcen, die nicht vollständig vertrauenswürdig sind, und stärkt dadurch die allgemeine Netzwerksicherheit. Ihr Hauptziel besteht darin, die Kommunikation zwischen dem internen Netzwerk, das oft sensible Daten und Ressourcen enthält, und dem externen Netzwerk zu trennen. Gleichzeitig ermöglicht sie Diensten oder Anwendungen, die eine Interaktion mit dem externen Netzwerk erfordern, diese Interaktion.

Innerhalb der DMZ können öffentliche Server (z.B. Webserver, Mailserver, DNS-Server) oder Proxy-Server bereitgestellt werden. Diese Server kommunizieren mit dem externen Netzwerk, benötigen jedoch keinen direkten Zugriff auf interne Netzwerkressourcen. Die Platzierung dieser öffentlichen Dienste in der DMZ reduziert effektiv das Risiko für das interne Netzwerk. Selbst wenn Angreifer die DMZ durchbrechen, stehen sie vor zusätzlichen Hindernissen, um auf sensible interne Netzwerkdaten zuzugreifen.

Um einen sicheren Zugriff zwischen der DMZ und dem internen Netzwerk zu ermöglichen, kann APISIX verwendet werden, um API-Aufrufe bequem zu verwalten. Im Folgenden werden zwei Anwendungsszenarien (in der Fertigungs- und Finanzbranche) vorgestellt.

Szenario Eins: Ein Mobiltelefonhersteller

DMZ: Offen für das externe Netzwerk;

Allgemeine Zone: Vollständig vom externen Netzwerk isoliert, kann weder auf das externe Netzwerk zugreifen noch von diesem aus erreicht werden.

Das bestehende Gateway-System ist nicht nur ein Nord-Süd-Datenverkehrs-Gateway, sondern integriert sowohl Nord-Süd- als auch Ost-West-Datenverkehr.

Datenverkehrsanfragen manifestieren sich hauptsächlich in den folgenden vier Szenarien:

  • Klassischer Nord-Süd: Externer Netzwerkverkehr durchläuft das DMZ-Gateway, wird dann an das Gateway der Allgemeinen Zone innerhalb der lokalen Domäne weitergeleitet und erreicht schließlich Backend-Dienste.

  • Domänenübergreifende Weiterleitung: Externer Netzwerkverkehr navigiert durch das DMZ-Gateway, erkennt, dass der Backend-Dienst außerhalb der lokalen Domäne liegt, durchläuft das interne Backbone-Netzwerk, um das Gateway der Allgemeinen Zone innerhalb der Domäne des Backends zu erreichen, bevor er schließlich den Backend-Dienst erreicht.

  • Ost-West: Eine Backend-Anwendung (Region A) ruft eine Schnittstelle einer anderen Anwendung (Region B) auf (hier als domänenübergreifender Aufruf dargestellt). Nach dem Durchlaufen des Gateways in der Allgemeinen Zone der Anwendung (Region A) wird es an das Gateway in der Allgemeinen Zone der Anwendung (Region B) weitergeleitet, bevor es die entsprechende Anwendung erreicht.

  • Aufruf externer Netzwerkdienste: Backend-Dienste benötigen Zugriff auf Drittanbieterdienste (Taobao, JD, SF Express usw.). Nach dem Durchlaufen des lokalen Gateways der Allgemeinen Zone wird die Anfrage an das DMZ-Gateway weitergeleitet und anschließend an den Drittanbieterdienst gesendet.

DMZ_1_ENG

Szenario Zwei: Ein Finanzunternehmen

DMZ_2_ENG

Produktions-DMZ für externes Netzwerk: Offen für das externe Netzwerk;

Produktionsinternes Netzwerk: Vollständig vom externen Netzwerk isoliert, und der gesamte Datenverkehr muss das Gateway durchlaufen, um verwaltet zu werden.

Die Hauptziele des Kunden mit APISIX konzentrieren sich auf die folgenden Schlüsselaspekte:

Aufsichtsbedürfnisse: Um regulatorische Standards zu erfüllen, möchte der Kunde in der Lage sein, alle Microservices-Aufrufe bei Zugriff auf interne Dienste über das externe Netzwerk gründlich zu protokollieren und zu überprüfen.

Robustes Dienstmanagement: Die Sicherstellung einer strengen Authentifizierung und die Implementierung von Maßnahmen zur Datenverkehrsdrosselung für jedes Microservices-Modul ist ein entscheidender Aspekt der Dienstmanagementanforderungen des Kunden.

Geschäftswachstum: Der Kunde möchte Herausforderungen bei der Geschäftserweiterung lösen, insbesondere die Notwendigkeit der Kommunikation zwischen Microservices über verschiedene Geschäftsdomänen oder Teams hinweg.

Ganzheitliches Management: Mit der Zunahme der Anzahl von Microservices erkennt der Kunde die Notwendigkeit, die erheblichen Auswirkungen der zunehmenden Komplexität der Aufrufkette auf die allgemeine Geschäftsstabilität zu bewältigen.

Zukunftsaussichten: Mit Blick auf die Cloudifizierungstransformation von Anwendungen betont der Kunden die zentrale Rolle eines Dienstgateways bei der Förderung des Prozesses der Anwendungscloudifizierung.

Zusammenfassung

Zusammenfassend spielt die DMZ eine zentrale Rolle in der Netzwerksicherheit, indem sie als Barriere zwischen internen und externen Netzwerken fungiert. Ihre Funktion besteht darin, sensible Daten und Ressourcen zu schützen, während sie gleichzeitig essentielle externe Interaktionen ermöglicht. Die Nutzung moderner Gateway-Systeme und API-Management-Tools verbessert die effiziente Verwaltung und Sicherheit des Netzwerkverkehrs und erfüllt die Sicherheits- und regulatorischen Anforderungen verschiedener Branchen. Ob für einen Mobiltelefonhersteller oder ein Finanzinstitut, der Einsatz dieser Technologien gewährleistet Netzwerksicherheit und Betriebsstabilität und erfüllt gleichzeitig die Anforderungen der zukünftigen Entwicklung.

Um mehr über API-Management-Lösungen zu erfahren, können Sie API7.ai kontaktieren.

Tags:
APISIX Basics
DMZ