Airlock, der Schweizer Anbieter von Identity und Access Management, befindet sich in Deutschland und dem Nahen Osten auf dem Erfolgspfad. | Airlock, the Swiss provider of Identity and Access Management, is on the road to success in Germany and the Middle East. |
Marc Bütikofer, Director Innovation Airlock bei Ergon Informatik AG, erläuterte auf der it-sa in Nürnberg die Strategie seines Unternehmens. „Wir sind sehr zufrieden mit dem Geschäft mit deutschen Behörden. Wie können nachweisen, dass wir im Gegensatz zu vielen Wettbewerbern aus nichteuropäischen Ländern keine Backdoor eingebaut haben. Das hilft uns auch sehr bei Kunden aus dem Nahen Osten, wo wir im Moment sehr erfolgreich sind. Wir wollen den Channel weiter ausbauen.“
Die bekanntesten Lösungen sind Airlock IAM (Identity & Access Management) und Airlock Gateway (Schutz von Web-Applikationen und APIs). Ergänzt durch ein schlankes Airlock Microgateway für Kubernetes-Umgebungen zum Schutz von containerisierten und Microservice-basierten Architekturen bilden sie die Basis für das integrierte Angebot Airlock Secure Access Hub von Ergon. Dank eines offenen Kommunikationsprotokolls zwischen den Gateways und der Airlock IAM-Komponente kann das gesamte Deployment als vollständig integrierte, kohärente Plattform betrieben werden, um einen richtlinienbasierten Zugriff auf verschiedene Ressourcen durchzusetzen. Im Wesentlichen fungiert Airlock IAM als Policy Management and Decision Point (PDP), während die Gateways als Policy Enforcement Point (PEP) in einer typischen Implementierung einer Zero Trust-Architektur dienen. Dieser Ansatz ermöglicht es Kunden, die Lösung für eine schnelle und unterbrechungsfreie Modernisierung einer Legacy Access Management-Architektur einzusetzen und diese dann in ihrem eigenen Tempo weiterzuentwickeln – zum Beispiel von einem einzelnen Egress Point zu mehreren individuellen Microservices. Je nach Anforderung können verschiedene Gateway-Typen in unterschiedlichen Umgebungen eingesetzt werden. Die Airlock-Architektur ist nicht an die proprietäre Technologie eines bestimmten Cloud Service Providers gebunden. Sie kann überall eingesetzt werden, einschließlich aller großen Public Clouds. Die Lösung ist auf den Marktplätzen von AWS, Azure, GCP und Alibaba Cloud verfügbar. Bei Bedarf kann sie einfach zwischen Cloud-Plattformen migriert werden, um eine echte Multi-Cloud-Unterstützung zu gewährleisten und eine potenzielle Anbieterbindung zu vermeiden. Die Plattform unterstützt ein hybrides Richtlinienmanagement durch die Trennung von gemeinsamen und lokalen Richtlinien, um die Zusammenarbeit zwischen Entwicklern und Sicherheitsadministratoren zu erleichtern. Zusätzlich zu den IAM- und WAF-Funktionen bietet die Plattform erweiterte Sicherheitsfunktionen wie DDoS-Schutz und Bot-Mitigation sowie ein API-Schutzprodukt mit einer breiten Palette an Sicherheitsfunktionen. Erwähnenswert ist, dass sowohl Airlock IAM als auch Airlock Gateways auch separat bereitgestellt und verwaltet werden können, wobei alle notwendigen Konfigurationswerkzeuge zur Verfügung gestellt werden. Die Automatisierung der Bereitstellung mit dem Infrastructure-as-Code (IaC) Ansatz wird ebenfalls unterstützt. Das Produkt verfügt über eine integrierte Elasticsearch-Instanz mit Kibana-Dashboards für Reporting und Analyse. Alternativ können die Telemetriedaten an jedes On-Prem-Tool oder jeden Cloud-Dienst übergeben werden, der CEF (Common Event Format) unterstützt. Airlocks Architektur hilft, die Benutzerauthentifizierung von der Identitätsweitergabe über PDPs hinweg zu entkoppeln. Das bedeutet, dass sich Clients nur einmal authentifizieren müssen und die Plattform den Rest erledigt, indem sie die Sitzung transparent über mehrere Backend-Dienste propagiert, auch wenn diese nicht von Haus aus föderierte Authentifizierungsstandards unterstützen. Dies ist nicht auf interne Implementierungen beschränkt, sondern kann auch auf Cloud-Dienste von Drittanbietern ausgeweitet werden. Airlock verfügt sogar über ein eigenes Anwendungsportal, das alle internen und externen Anwendungen anzeigt, auf die ein authentifizierter Benutzer zugreifen kann. Bei Bedarf kann dies durch Bring Your Own Identity (BYOI) Funktionen wie Social Logins ergänzt werden. Kubernetes Sicherheit Moderne Anwendungen entstehen zunehmend auf der Basis von Microservices in Kubernetes- Umgebungen. Diese Methode, eine Anwendung in kleine Module zu zerlegen, erfordert eine Anpassung der Anwendungssicherheit. Der Sicherheit von Kubernetes kommt dabei eine besondere Bedeutung zu, da Kubernetes die Container orchestriert, also für deren Bereitstellung und Verwaltung verantwortlich ist. Die richtige Kubernetes-Sicherheit verbindet Agilität und Security. Wenn man die DevOps-Prozesse der Entwicklerinnen und Entwickler in agil arbeitenden Teams nicht behindern und gleichzeitig ein hohes Mass an Sicherheit herstellen möchte, müssen neue Lösungsansätze her. Die Anwendungssicherheit muss sich transformieren, um mit der Entwicklung Schritt halten zu können. Wie der „State of Kubernetes security report 2023“ von Red Hat zeigt, kämpfen viele Unternehmen mit spezifischen Sicherheitsrisiken bei der cloudnativen Entwicklung. Es fällt auf, dass 67 Prozent der Befragten ihre cloudnativen Vorhaben aufgrund von Sicherheitsbedenken verlangsamen mussten. Dabei soll die Anwendungsmodernisierung über den Container-Kubernetes-Ansatz eigentlich die Entwicklungsarbeiten beschleunigen. Sicherheit bleibt so der Hemmschuh der Innovation. Airlocks Microgateway bietet dafür besondere Vorteile: Continuous Deployment: Das DevOps-Team kann das Deployment automatisieren, sodass jede API und jeder Microservice mit einem Microgateway ausgerollt wird. Security as Code: Alle Microgateway-Konfigurationen (wie auch die OpenAPISpec) sind als „Security as Code“ konzipiert. Sie können also wie der Anwendungs-Code versioniert im Repository abgelegt werden. Die Änderungshistorie ist damit beispielsweise jederzeit einsehbar. OWASP Top 10: WAF- und API-Schutzfunktionen halten Angreifer und böswillige Anfragen von der Applikation fern. Zero Trust: Das Microgateway sorgt für eine Netzwerkarchitektur nach dem Zero-Trust-Prinzip, indem es die Autorisierung jedes Zugriffs prüft (u. a. JWT, JWKS), bevor er die Anwendung erreicht. Dabei wird nicht nur North-South-, sondern auch East-West-Traffic gefiltert. |
Marc Bütikofer, Director Innovation Airlock at Ergon Informatik AG, explained his company’s strategy at it-sa in Nuremberg. „We are very satisfied with our business with the German authorities. We can prove that we have not installed a backdoor, unlike many competitors from non-European countries. This also helps us with customers from the Middle East, where we are currently very successful. We want to expand the channel.”
The best-known solutions are Airlock IAM (Identity & Access Management) and Airlock Gateway (web application and API protection). Supplemented by a lean Airlock Microgateway for Kubernetes environments to protect containerized and microservice-based architectures, they form the basis of Ergon’s integrated Airlock Secure Access Hub offering. Thanks to an open communication protocol between the gateways and the Airlock IAM component, the entire deployment can operate as a fully integrated, coherent platform to enforce policy-based access to various resources. In essence, Airlock IAM acts as the Policy Management and Decision Point (PDP), while the gateways act as the Policy Enforcement Point (PEP) in a typical Zero Trust architecture implementation. This approach allows customers to deploy the solution for rapid and non-disruptive modernization of a legacy access management architecture and then evolve at their own pace – for example, from a single egress point to multiple individual microservices. Different types of gateways can be deployed in different environments as needed. The Airlock architecture is not tied to the proprietary technology of a particular cloud service provider. The solution is available on the AWS, Azure, GCP, and Alibaba Cloud marketplaces.If required, it can be easily migrated between cloud platforms to ensure true multi-cloud support and avoid potential vendor lock-in. The platform supports hybrid policy management by separating shared and local policies to facilitate collaboration between developers and security administrators. In addition to IAM and WAF capabilities, the platform offers advanced security features such as DDoS protection and bot mitigation, as well as an API protection product with a wide range of security features.Notably, both Airlock IAM and Airlock Gateways can be deployed and managed separately, with all necessary configuration tools provided. Deployment automation using the Infrastructure-as-Code (IaC) approach is also supported.The product has an integrated Elasticsearch instance with Kibana dashboards for reporting and analysis. Alternatively, telemetry can be passed to any on-premises tool or cloud service that supports CEF (Common Event Format). Airlock’s architecture helps decouple user authentication from identity propagation across PDPs.This approach allows customers to deploy the solution for rapid and non-disruptive modernization of a legacy access management architecture and then evolve at their own pace – for example, from a single egress point to multiple individual microservices.Different types of gateways can be deployed in different environments as needed. The Airlock architecture is not tied to the proprietary technology of a particular cloud service provider.It can be deployed anywhere, including all major public clouds. Kubernetes Security Modern applications are increasingly built on microservices in Kubernetes environments. This method of breaking down an application into small modules requires application security to adapt. The security of Kubernetes is particularly important here, as Kubernetes orchestrates the containers, i.e. is responsible for their deployment and management. The right Kubernetes security combines agility and security. If the DevOps processes of developers in agile teams are not to be hindered and a high level of security is to be achieved at the same time, new solutions must be found. Application security must transform to keep pace with development. As Red Hat’s State of Kubernetes security report 2023 shows, many organizations are struggling with specific security risks in cloud-native development. Notably, 67 percent of respondents have had to slow down their cloud-native projects due to security concerns. Yet application modernization using the Kubernetes container approach is supposed to accelerate development. Security remains the stumbling block to innovation. This is where Airlock’s Microgateway offers particular advantages: Continuous deployment: the DevOps team can automate deployment so that every API and microservice is deployed with a Microgateway. Security as code: All Microgateway configurations (as well as OpenAPISpec) are designed as „security as code“. This means that they can be versioned and stored in the repository just like the application code. For example, the change history can be viewed at any time. OWASP Top 10: WAF and API protections keep attackers and malicious requests away from the application. Zero Trust: The microgateway ensures a Zero Trust network architecture by checking the authorization of each access (e.g. JWT, JWKS) before it reaches the application. Not only north-south traffic is filtered, but also east-west traffic. |
Markus Fritz, General Manager DACH bei Acronis, erklärt im Podcast Security, Storage und Channel Germany mit Carolina Heyder, warum Unternehmen eine umfassende Cybersicherheit benötigen. | Markus Fritz, General Manager DACH at Acronis, explains in the podcast Security, Storage and Channel Germany with Carolina Heyder why companies need comprehensive cyber security. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de