Eine Einführung in „Beyond the Edge“ Episode 6 – Was Sie über Composable Architectures und ihre Vorteile für Leistung und Sicherheit wissen müssen
Tom Mount: Hallo und willkommen bei Beyond the Edge, wo wir uns mit den Versicherungen und Trends befassen, die moderne digitale Unternehmen betreffen.
Ich bin Tom Mount. Ich bin Senior Solutions Architect bei Edgio. Ich konzentriere mich auf unsere Anwendungsplattform und unsere Sicherheitslösungen, die Teil dieser Plattform sind. Ich bin seit fast 20 Jahren Webentwickler und arbeite hauptsächlich für digitale Marketingagenturen oder mit ihnen zusammen. Habe viel Arbeit mit Higher Ed und E-Commerce geleistet, darunter eBay, American Airlines und der University of Pennsylvania.
Und heute gesellt sich Howie Ross zu mir.
Hallo, ich bin Howie Ross. Ich bin Senior Director of Product Management für die Edgio Applications Plattform, wo ich mich auf die Web-Beschleunigung, einschließlich unseres CDN und Edge Computing, konzentriere. Ich arbeite seit 20 Jahren in der Webentwicklung und Cloud-Architektur und während dieser Zeit hatte ich das Vergnügen, in vielen Branchen zu arbeiten, darunter Fintech und ecomm, wo ich mit zahlreichen Marken wie Urban Outfitters, Coach, Verizon und M&Ms. zusammengearbeitet habe
Tom Mount: Großartig. Danke, Howie. Heute möchten wir mit Ihnen ein wenig über die Sicherheitsherausforderungen sprechen, denen sich eine zusammensetzbare Architektur gegenübersieht. Insbesondere wissen wir jetzt, dass es viele Sicherheitsbedrohungen für Website-Eigentümer und Content-Manager gibt.
Laut IBM gibt es eine Studie, die besagt, dass 83 % der US-Unternehmen eine Datenschutzverletzung erlebt haben, die in den USA etwa 9,4 Millionen US-Dollar Kosten kann. Das ist mehr als das Doppelte des globalen Durchschnitts. Okta, sie sind einer der größten Single Sign-on Identitätsanbieter der Welt. Sie veröffentlichten einen Bericht, dass 34 % aller Anmeldeversuche weltweit von Bots stammten. Das sind also nur Bots, die buchstäblich nur versuchen, Netzwerkkonten zu erreichen, haben gezeigt, dass jedes vierte Unternehmen durch einen einzigen Bot-Angriff 500.000 US-Dollar verloren hat. Sicherheit ist also eine riesige Bedrohung. Es ist ein riesiges Problem, mit dem wir uns befassen müssen.
Und wenn wir über kompostierbare Architekturen sprechen, wird das wirklich etwas schwieriger zu bewältigen. Und so weiter, dieser Podcast heute, wollen wir einen Blick auf einige der Bedrohungen werfen, die es gibt, um zusammensetzbare Architekturen zu entwickeln, und was wir dagegen tun können.
Bevor wir uns also zu tief in das einmischen, Frage ich mich, ob Sie vielleicht definieren können, was kompostierbare Architektur ist, was bedeutet das für Sie?
Was ist Composable Architecture?
Klar, ich kann es versuchen. Es ist etwas schwer zu definieren, aber man weiß es, wenn man es sieht. Die kompostierbare Architektur ist wirklich eine Reaktion auf die monolithischen All-in-One-Plattformen, die verwendet wurden. Sie wissen, wie Sie im letzten Jahrzehnt beispielsweise wissen, und die Einschränkungen, die der Benutzererfahrung und dem Workflow für Entwickler auferlegt wurden.
Mit der komponierbaren Architektur werden Lösungen aus Tools und Anbietern aus dem gesamten Stack zusammengesetzt, mit denen Sie die besten Tools auswählen können, die den Anforderungen Ihres Unternehmens und Ihrer Benutzer entsprechen.
Composable wird oft mit Headless- oder entkoppelten Frontends in Verbindung gebracht, bei denen wir die Präsentationsebene von der Datenschicht trennen und uns oft auf Mikroservices oder zumindest API-basierte Architekturen verlassen, um diese kopflose entkoppelte Architektur zu erleichtern und eine Komplettlösung aus verschiedenen Tools zu erstellen.
Tom Mount: Es klingt also ziemlich flexibel, aber es klingt auch, als wäre es technisch etwas schwieriger, einige dieser Stacks zu implementieren.
Warum Composable?
Was würde ein Unternehmen dazu bringen, sich für eine kompostierbare Architektur zu entscheiden, im Gegensatz zu diesem monolithischen, gut etablierten Muster?
– Ja, das ist eine tolle Frage. Nun, es gibt zahlreiche Vorteile von kompostierbaren Architekturen, darunter, wie ich bereits erwähnt habe, eine verbesserte Benutzererfahrung aufgrund weniger UX-Einschränkungen, oder? Bei einem monolithischen Stack werden Sie also oft darauf beschränkt sein, welche Funktionen dieser Stack bietet. Aber mit kompostierbarer Architektur ist es irgendwie so, als wäre der Himmel die Grenze.
Das Team und die Konstrukteure können sich ein beliebiges Erlebnis ausdenken, und dann wissen Sie, dass Sie mehr Flexibilität haben werden, wenn es darum geht, diese Funktionen Ihren Endbenutzern zur Verfügung zu stellen.
Wir haben gesehen, dass Unternehmen wie Iceland Air die Lieferzeit um 90 % verkürzen konnten, um neue Funktionen, einschließlich Werbeaktionen, einzuführen. Sie werden also die Markteinführungszeit und die Amortisierungszeit für die Arbeit verkürzen.
Darüber hinaus können Sie, wie bereits erwähnt, die besten Tools und Anbieter auswählen und dieses Netzwerk von Ökosystempartnern aufbauen, auf das Sie sich verlassen können, um Ihre Lösung zu entwickeln und diesen Wert zu bieten.
Und dann ist es auch ein bisschen zukunftssicherer als ein monolithischer Stack, da man diese Werkzeuge nach eigenem Ermessen ein- und auswechseln kann. Nehmen Sie also an, dass Ihr Tool zur Kundenbewertung nicht mehr Ihren Anforderungen entspricht. Sie möchten eine andere verwenden. Sie müssen nicht Ihre gesamte Lösung ersetzen. Sie können dieses spezifische Tool einfach ersetzen und Ihren Stack weiter iterieren, um ihn wirklich modern zu halten.
Tom Mount: Sehen Sie, dass Sie dort ein bisschen über Sprache sprechen. Mein Hintergrund ist das Erstellen von mehr Anwendungen im Web, und wenn ich mir die Architektur von einigen davon anschaue, liebe ich die Idee, einen zukunftssicheren Stack zu mögen, bei dem man Dinge einfach rein und heraus verschieben kann.
Und ich denke auch, dass Zukunftssicherheit sich nicht nur auf die Komponentenebene erstreckt, sondern auch auf die Art der Infrastruktur, richtig? Ich meine, wir sehen jetzt viel mehr Fokus auf Dinge, die am Rande erledigt wurden, Dinge, die serverlos in der Cloud erledigt wurden, als wir es vor 5 Jahren waren, vor 10 Jahren.
Natürlich wird das viel stärker betont, und ich denke, eine flexiblere Architektur zu haben, bei der Sie Komponenten aus einem größeren Rechenzentrum heraus verschieben können, und zwar in ein größeres Rechenzentrum. Offensichtlich ist es die Cloud, alles ist in einem Rechenzentrum, oder? Wir verstehen diesen Teil.
Aber etwas zu haben, bei dem man sich mehr auf den Edge konzentrieren und Dinge speziell für die Edge-Verarbeitung für serverlose Funktionen erstellen kann und diese Dinge schnell und wendig halten kann, ist meiner Meinung nach auch ein riesiger Vorteil. Und ich denke auch, dass die Sicherheit auch davon profitiert, oder? Da wir immer mehr Services und mehr Dinge in die Cloud migriert haben und diese, wie Sie wissen, Edge-fähigen Lösungen haben, kommt Sicherheit mit dazu.
So können wir jetzt eine Menge Zero-Trust-Sicherheit direkt an der Peripherie durchführen, anstatt den ganzen Weg zurück in ein Rechenzentrum zu müssen. Dank einer komponierbaren Architektur können wir meiner Meinung nach Zero-Trust-Sicherheit direkt in die Struktur der Anwendung selbst integrieren. Und ich und sehe aus, wie ich oben gesagt habe, dass ich seit 20 Jahren Websites erstelle. Ich habe überall mit Werkzeugketten gearbeitet. Ich denke, eines der netten Dinge, die wir vor allem bei einigen zusammenstellbaren Frameworks gesehen haben, ist, dass viele dieser Frameworks jetzt integrierte Funktionen für die statische Erstellung von Websites haben.
Und diese Dinge können direkt in die Build-Pipeline gestreamt und direkt aus der Pipeline heraus gestreamt werden. Dabei können Sie einfach alle Komponenten oder Architekturen austauschen, die Sie möchten. Ihre Pipeline wird alles aufbauen, und am Ende ist alles darin destilliert, Sie wissen schon, statische Dateien, HTML, CSS, JavaScript, die Bilder, die wir brauchen unabhängig davon, wie sie erstellt wurden und welche Puzzleteile zusammenpassen, können die Pipelines letztendlich immer noch gleich bleiben. Die Deployments können dies noch widerspiegeln. Ich denke, das ist ein, das mir aus Architekturperspektive als ein weiteres paar Vorteile auffällt, die Ihnen dadurch entstehen, dass Sie diese Komponenten ein- und auslagern können.
Erfolgsgeschichten Von Kunden – Universal Standard
Howie Ross: Ja, das sind großartige Punkte, die Sie kennen. Neben den Vorteilen für das Entwicklungsteam und den Kunden gibt es für Sie, das DevOps-Team und die Optionen, die es Ihnen für Ihre Infrastrukturarchitektur bietet, erhebliche Vorteile.
Ganz gleich, ob Sie die statische Generierung nutzen und wissen, dass Sie Ihre Website für das CDN und die Peripherie erstellen, oder ob Sie serverlos nutzen und die Vorteile dieser Fortschritte in der Cloud-Technologie für Ihre Skalierbarkeit und Ihre Sicherheit nutzen. Tom und ich hatten das Vergnügen, mit einer Reihe von Kunden zusammenzuarbeiten, die diese Reise zu Composable gemacht haben und erhebliche Vorteile gesehen haben.
Sie wissen also, dass die Kunden zu den Kunden gehören. Sie kennen einige der bereits erwähnten, z. B. Coach und M&Ms, die entweder bereits abgeschlossen sind oder auf ihrem Weg sind.
Einer der anderen, etwas weniger bekannten Kunden heißt Universal Standard, dessen Mission es ist, die umfassendste Bekleidungsmarke der Welt zu sein. Und Sie wissen, dass sie sich für diese Mission entschieden haben, mit einer komponierbaren Architektur zu arbeiten, die auf der Shopify-Plattform basiert.
Sie wissen also, dass sie nicht durch die Einschränkungen eingeschränkt werden. Shopify in Bezug auf die Benutzererfahrung und den Entwicklerworkflow nutzen sie die Shopify Storefront APIs und erstellen eine zusammensetzbare Lösung mit dem Nuxt Framework, das auf Vue JS basiert.
Und sie haben gesehen, dass Sie eine deutliche Performance-Verbesserung kennen. Sie wissen schon, dass die Seitenladezeiten von mehreren Sekunden auf in vielen Fällen unter die zweite Stufe reduziert wurden und nicht nur diese technischen Performance-Metriken, sondern auch die tatsächlichen Geschäftsmetriken verbessert wurden.
Tatsächlich konnten sie eine Verbesserung der Konversionsrate um 200 % als Folge dieser Umstellung auf Composable feststellen. Das wirkt sich natürlich sehr auf ihre Bilanz aus und hilft ihnen bei ihrer Mission.
Erfolgsgeschichten Von Kunden – Schuhkarneval
Tom Mount: Ja, das ist wirklich toll. Ich meine, wir haben darüber gesprochen, dass Sie wissen, dass die zweite Seite hier geladen wird und es immer Leute sind. Wenn ich mit Leuten spreche, bekomme ich immer das Nebenauge, als ob du dir da sicher bist und nein, es ist wahr. Einer der Kunden, die ich manchmal zeige, hat eine ähnliche Geschichte, es ist eine Firma namens Shoe Carnival, also sind sie auch zu Headless umgezogen. Sie hatten ihre frühere Architektur. Sie haben sich insbesondere mit Leistungsbedenken befasst, die sich mit Dingen wie dem Laden der ersten Seite und Übergängen zwischen den Seiten befassen.
Also, bevor sie kopflos wurden, sahen sie 3, 3, 3 1/2 Sekunden nach, um die erste Seite zu laden, und manchmal bis zu 6 Sekunden, wenn man von einer Seite zur nächsten wechselt, wenn man surft. Und sie wollten das wirklich runterkriegen. Und es gibt eine ganze Reihe von Gründen, warum es eine tolle Idee ist, das nach unten zu verschieben.
Wir haben eine Menge Marktstudien durchgeführt, die zeigen, dass die Kunden mit jeder weiteren Sekunde, die sie warten, während die Seite geladen wird, ihre Chance erhöhen, die Website einfach zu verlassen und woanders zu gehen. Die Seitengeschwindigkeit und die Konversionsrate sind also sehr eng miteinander verknüpft, und sie erkennen dies.
Und so kamen sie zu Edgio, um Hilfe zu suchen, und sofort beendeten sie ihren Wechsel zu Headless und sie hatten einige dieser Leistungsverbesserungen vorgenommen, von denen wir gesprochen haben. Sie haben ihre Übergänge und sogar die ersten Seitenladevorgänge auf eine Sekunde reduziert, manchmal sogar auf weniger als eine Sekunde. Mit Edgio sind sie bis zu 70 % schneller. Ihre mediane Ladezeit für Seiten beträgt eine Sekunde, oder? Sie sehen also enorme Leistungssteigerungen, weil sie sich für diese kopflose Architektur entscheiden und ihre Leistung auf jeder Ebene des Stacks optimieren können. Und selbst die Seitenladevorgänge, die nachfolgenden Seitenladevorgänge von, sobald sie tatsächlich auf der Website landen, sind sie 92 % niedriger als diese Geschwindigkeit. Sie sind auf 500 Millisekunden bei einigen dieser Seitenladevorgänge gesunken. So konnten sie enorme Leistungssteigerungen realisieren.
Aber nicht nur Leistung ist ein attraktives Merkmal von Composable. Bleib am Schuh-Karneval. Neben den Leistungssteigerungen nutzten sie auch die Gelegenheit, Composable zu nutzen, um einige ihrer Sicherheitsbemühungen zu intensivieren. Und innerhalb der ersten 30 Tage nach dem Start ihrer neuen kompostierbaren Website hatten sie über 8 Millionen blockierte böswillige Anfragen verfolgt. Und ich möchte mich konzentrieren, ich werde sicherstellen, dass ich wiederhole, dass diese Anfragen blockiert wurden.
Es war nicht so, dass sie 8 Millionen Anfragen hatten, mit denen sie nicht wussten, was sie anfangen sollten, oder? Die Sicherheitslösung, die wir zur Verfügung gestellt haben, war in der Lage, all diese Anfragen zu blockieren und Einblick in die Dinge zu bieten, die sie möglicherweise vor der Menge der schädlichen Anfragen, die sie erhalten, nicht gesehen hatten.
Sicherheitsvorteile von Composable
Diese Art von mir führt mich dazu, etwas über einige der Sicherheitsvorteile zu sprechen, denn wir haben bisher viel Zeit damit verbracht, über Leistungssteigerungen zu sprechen, und diese sind sehr real. Und wir verfolgen unsere Kunden, wenn sie kommen, wir sehen gerne die Leistungssteigerungen, die sie haben, und wir haben einige erstaunliche Erfolgsgeschichten.
Aber ich denke, dass Sicherheitsgewinne ein weiterer guter Grund sind, sich für eine kompostierbare Architektur zu entscheiden. Ich betrachte es gerne als eine Art mehrschichtige, mehrstufige Verteidigung, richtig? Daher möchten wir die schlechten Akteure so weit wie möglich von Ihrem Ursprung fernhalten, von dem Ort, an dem sich Ihre tatsächlichen Server und Ihre Daten befinden. Und man kann sich das vorstellen, als würde man einen Zaun um sein Grundstück herum aufstellen. Du kannst Schilder an deinem Zaun haben, sagen wir mal, halten Sie sich fern, wissen Sie, kein Betreten. Aber das bedeutet nicht unbedingt, dass man nachts die Tür nicht schließt. Es bedeutet nur, dass du eine Leitplanke so weit wie möglich aufstellen willst, um so weit wie möglich draußen zu bleiben.
Und wenn Sie sich für eine kompostierbare Architektur entscheiden, besteht einer der Vorteile darin, dass Sie dann die Sicherheitsfunktionen auswählen und auswählen können, die Sie haben und wo sich diese Sicherheitsfunktionen befinden.
Und wir empfehlen Ihnen, auf jeder Ebene Sicherheit zu bieten, die Sie in Ordnung bringen können. Also legen wir die Sicherheit am Rande raus, wir bringen die Sicherheit in den Ursprung. Wenn es andere APIs oder Services gibt, wissen Sie, wir haben erwähnt, dass eine Composable im Allgemeinen bedeutet, dass Sie die Anzahl der APIs erhöhen, die auf Ihrer Website verfügbar sind. Wir möchten also sicherstellen, dass diese APIs über Sicherheit verfügen und dass diese mit einer kompostierbaren Architektur wirklich einfach zu erreichen sind. Sie müssen für all diese Orte verantwortlich sein, aber Sie können Sicherheit auf all diesen verschiedenen Ebenen einsetzen.
Eines der anderen schönen Dinge an einer kompostierbaren Architektur, und ich habe das schon ein wenig zuvor erwähnt, ist die Fähigkeit, diese statischen Seiten zu haben. Statische Seiten sind zwar eine hervorragende Leistung, bieten aber auch einen wirklich guten Sicherheitsvorteil, da statische Seiten den Umfang der wechselseitigen Datenübertragung zwischen Client und Server minimieren.
Wenn Sie an eine traditionelle Art monolithischer App denken, PHP-App oder so etwas wie diese, gibt jemand Daten in diese Anwendung ein, und diese muss dann wieder in den Server gelangen. Wenn Sie eine neue Seite laden, muss der Server diese Daten anfordern und zurücksenden. Es gibt viele Möglichkeiten, Daten sowohl in Ihre Systeme als auch aus ihnen heraus zu kommen. Und nun, offensichtlich müssen einige Daten herauskommen.
Sie möchten sicherstellen, dass nicht alle Daten in Ihren Systemen ausgegeben werden. Das nennen wir eine Datenschutzverletzung.
Statische Seiten reduzieren also die Möglichkeiten für jemanden, an Ihrem Server zu basteln, indem sie im Webbrowser angezeigt werden, weil alles, was auf der Seite ist, nur HTML ist, richtig?
Nein, sie hat die Daten bereits. Es geht nicht darum, diese Daten von irgendwo abzurufen. Es wurde bereits mit Blick auf diese Daten erstellt. Statische Seiten, die Sie kennen, können sicherlich auch einen Sicherheitsgewinn darstellen, und diese statischen Seiten können dann direkt von einem CDN bereitgestellt werden.
Und ich denke, das ist der letzte Teil des Puzzles hier in diesem speziellen Teil der Sicherheit, dass anstatt zu Ihren Servern gehen zu müssen, um diese Daten jedes Mal, wenn die Seite mit dem CDN geladen wird, abzurufen, diese Seite gecacht wird, sie weltweit verfügbar ist und Ihre Server diese Anfragen nicht einmal sehen, weil sie alle direkt am Außenrand bearbeitet werden.
– Ja, das ist ein toller Punkt. Und ich stimme zu, dass Sie einen der wichtigsten Vorteile einer zusammensetzbaren Lösung kennen, ganz gleich, ob Sie die statische Site-Erstellung kennen oder ob Sie serverloses serverseitiges Rendering nutzen, die Fähigkeit, das CDN effektiver zu nutzen. Dies bietet Ihnen verbesserte Seitenladezeiten, aber auch Sicherheitsvorteile, da Sie wissen, dass Sie die schlechten Akteure so weit wie möglich fernhalten.
Sie wissen aus Ihren Daten und Ihren Kronjuwelen und wissen auch, dass Sie diese Datenübertragungen minimieren, aber Sie wissen es, obwohl es einige Sicherheitsvorteile gibt, denke ich, dass es auch einige Herausforderungen gibt.
Wir haben darüber gesprochen, wie zusammensetzbare Lösungen, Sie wissen, dass Sie die besten Anbieter und Tools auswählen, und das bedeutet, dass es mehr Tools gibt und mehr Anbieter gibt, was bedeutet, dass Sie möglicherweise mehr Wege in Ihre Systeme und Ihre Architekturen kennen. Das ist also ein Risiko.
Und eine der immer häufiger auftretenden Methoden, Unternehmen zu kompromittieren, ist, dass Sie sich mit der Identität auskennen, nicht, dass Sie mir den Weg in Ihre Website oder Ihre Server zwingen. Ich werde nur herausfinden, wie ich Social Engineer kann, um wie einer Ihrer Angestellten auszusehen. Und jetzt müssen Sie nicht mehr Ihr Kernnetzwerk verletzen, sondern Sie kennen Ihre Unternehmenstools. Vielleicht kann ich eines der vielen Tools und Anbieter, die Sie für Ihre zusammensetzbare Lösung verwenden, einfach durchbrechen, damit Sie wissen, dass Identitäts- und Zugriffsmanagement immer wichtiger wird.
Sie wissen also, dass dies durch Standards, Single Sign-on und dergleichen auf verschiedene Weise abgemildert werden kann. Aber Sie wollen es sein, und Sie wissen aufmerksam, weil Sie wissen, dass Datenskimming immer häufiger zunimmt, und Sie wissen, dass es sich um eine Klasse von Schwachstellen oder Exploits handelt.
Es wird oft als Magierkorb bezeichnet, der eine der ursprünglichen Ausnutzungen dieser Art von Angriff war, bei dem man weiß, dass ein Skript von diesen Angreifern auf eine Website gestellt wird, das dann, Sie wissen schon, persönliche Informationen ausnutzt.
In diesem Fall handelte es sich um Kreditkarteninformationen von hauptsächlich Magento-Websites, und sie waren weit verbreitet und haben die Wichtigkeit und Schwere dieses Problems in den Vordergrund gerückt, und es ist wichtig, die Integrität Ihres Codes über die gesamte Lieferkette hinweg zu verwalten.
Und wissen Sie, ich erwähnte auch, wie wichtig es ist, wirklich vorsichtig mit Ihrem Identitäts- und Zugriffsmanagement zu sein, ja, das macht viel Sinn.
Tom Mount: Wissen Sie, mit mehr Werkzeugen gibt es offensichtlich mehr Möglichkeiten, reinzukommen. Ich denke, aus Sicht der Anwendungsarchitektur nutzen viele zusammenstellbare Sites häufig API-Aufrufe zurück zum Server, um neue Seiten zu füllen, um ein schnelleres Browsen zu ermöglichen. Und ich denke, API-Sicherheit ist ein weiterer Bereich, in dem Sie mehr Aufmerksamkeit auf Ihre Aktivitäten und Vorfälle richten müssen.
Also, weißt du, ich will meine Seite nicht, wenn ich auf einer Website einkaufen gehe. Ich möchte meine Seite nicht für Sie zwischenspeichern und Sie wollen wahrscheinlich nicht, dass Ihr Warenkorb für mich zwischengespeichert wird, weil das einfach verwirrend ist und ich nicht verstehe, warum. Du weißt, warum ich das habe, was ich in meinem Wagen habe, wenn ich es hochziehe.
Natürlich müssen wir sicherstellen, dass wir schnell reagierende Seiten haben, aber wir möchten auch sicherstellen, dass sie für den einzelnen Benutzer personalisiert sind, und das geschieht normalerweise über eine Art API-Zugriff, und oft werden die Besucherinformationen in diesen API-Daten landen, die übertragen werden.
Und hier kommt der Zero-Trust-Teil der Sicherheit speziell für API zum Einsatz, oder? So können wir Dinge wie die Edge-Personalisierung durchführen, bei der wir Inhalte, gecachte Inhalte vom Server abrufen und diese Daten am Edge statt im Browser vom Server abrufen und in die letzte Antwort integrieren, die wir senden. Dies ist eine großartige Möglichkeit, schnell und reaktionsschnell Seiten zu erstellen, die noch zwischengespeichert sind, aber auch persönliche Daten enthalten.
Eine weitere Möglichkeit, ein bisschen Sicherheitszauber an der Peripherie zu schaffen, ist die Verwendung von JSON-Webtoken für die Authentifizierung. Das ist KI wird nicht in alle Details eingehen, da es eines meiner aktuellen Lieblingsprojekte ist, mit denen ich herumspielen kann. Und ich könnte vielleicht noch 20 Minuten allein darüber reden. Aber Podcast, ja, wir machen später einen Podcast auf JTBTS.
Aber ja, das coole daran sind die Daten, die in Klartext übertragen werden, aber sie haben auch eine verschlüsselte Signatur, die der Server weiß, wie er seine eigene Version dieser verschlüsselten Signatur generiert.
Und so können Sie die Gültigkeit des eingehenden Benutzers überprüfen, um sicherzustellen, dass Sie wissen, dass nichts manipuliert wurde, dass die Anmeldeinformationen korrekt sind und dass Sie wissen, dass der Benutzer Zugriff auf alles hat, auf das er Zugriff haben sollte.
Sie können überprüfen, ob dieser Zugriff noch gültig und korrekt ist. Und Sie können das auch am Rand mit einer Überschussfunktion oder einer Cloud-Funktion tun. Die Zusammenfassung der APIs ist also äußerst wichtig, um zu berücksichtigen, ob Sie diese Null-Trust-Authentifizierung oder einen anderen Mechanismus verwenden.
API-Sicherheit ist ein muss, ja, denn Entschuldigung, tut mir leid.
Howie Ross: Das ist also einer der Hauptkonflikte bei kompostierbaren Architekturen, oder? Sie wissen also, dass wir unsere Anwendung nicht entwickeln, um die Vorteile von CDN und Edge Computing zu nutzen, sondern um jene zu erhalten, die Sie kennen, die dynamischen Erfahrungen, die diese Personalisierung benötigen, um APIs zu nutzen. Sie wissen also, dass wir eine potenzielle Zunahme von Diensten und APIs haben, die die Bedrohungsfläche sogar vergrößern können.
Es ist also wichtig, jetzt eine API-Sicherheitslösung zu nutzen, und diese werden sich etwas von einigen Ihrer kennen. Sie kennen die konventionelleren Sicherheitslösungen, die wir verwenden werden. Sie wissen, dass wir kurz darauf eingehen werden, weil sie auf diesen API-Anwendungsfall zugeschnitten werden müssen, richtig. Und deshalb müssen wir zunächst sicherstellen, dass wir über alle APIs Bescheid wissen?
Sie sollten also ein Tool nutzen, das die API-Erkennung ermöglicht und Ihnen hilft, all Ihre APIs zu finden und zu verwalten, und sicherstellen, dass wir keine der sogenannten Zombie-APIs haben. Sie sind APIs, von denen Sie wissen, dass sie an einem bestimmten Punkt entwickelt wurden, und vielleicht sind sie nicht mehr vorhanden. Sie wissen, dass Sie iteriert haben und sie vielleicht nicht mehr verwendet werden, aber sie sind immer noch da draußen.
Daher benötigen wir eine vollständige Bestandsaufnahme unserer APIs und unserer Bedrohungsfläche. Außerdem möchten wir Ihnen einige grundlegende Sicherheitspraktiken wie Ratenbegrenzung mitteilen, oder?
Wir möchten die Rate kontrollieren, mit der jemand Daten von diesen APIs anfordern kann, und insbesondere, dass ein Bot oder ein Angreifer, der automatisiert arbeitet, Antworten von diesen APIs anfordern kann, damit diese nicht überfordert werden und effektiv zu einer Denial-of-Service-Situation führen.
Und das andere, was wir mit API-Sicherheit tun können, ist wirklich interessant und wird zunehmend zugänglich, wenn wir KI einführen und nutzen, ist das, was wir Schemavalidierung nennen. Das ist also der Punkt, an dem wir, wissen Sie, vor unserer Anfrage, es ist Ihre API direkt an der Peripherie, wir werden sicherstellen, dass diese Anforderung dem Schema Ihrer API-Anforderungen entspricht, richtig?
Wenn sie also nicht wie eine richtig geformte API-Anforderung aussieht, werden wir sie am Gate blockieren, wir werden sie direkt am Rand des Netzwerks stoppen und sie wird nie in Ihre Infrastruktur gelangen, um dort hoffentlich abgelehnt zu werden. Aber ja, es wird entscheidend sein, die API-Sicherheit zu nutzen, und sie wird immer häufiger und zugänglicher und nützlicher.
Tom Mount: Ja, auf jeden Fall. Und Sie wissen, dass wir über einige dieser zusammenfassenden spezifischen Sicherheitsbedenken sprechen, die wir haben, und Möglichkeiten, wie wir einige dieser Dinge mindern können. Aber ich denke, es ist auch wichtig, dass wir auch nicht die alten Standby-Sicherheitssachen vergessen, oder? Das Zeug, das uns eine Weile ziemlich gut gedient hat.
Ich habe schon erwähnt, dass Sie wissen, dass Sicherheitskräfte so sind wie Sie wissen, dass Sie eine Reihe verschiedener Schichten haben, nur weil Sie Ihr Tor nachts abschließen, bedeutet das nicht, dass Sie Ihre Tür weit offen lassen, oder?
Lassen Sie uns ein wenig über einige der allgemeinen Sicherheitsvorkehrungen sprechen, die vielleicht noch vollkommen in Ordnung sind und Teil der Gesamtarchitektur sein sollten, auch wenn sie nicht speziell auf eine kompostierbare Architektur ausgerichtet ist.
BEST Practices zur Verbesserung Ihrer Sicherheitslage
Howie Ross: Klar. Sie kennen also diesen mehrschichtigen Sicherheitsansatz, den Sie erwähnt haben. Wir nennen das auch oft Tiefenverteidigung, oder? Zwischen dem Angreifer und den Kronjuwelen wissen Sie also, dass Sie die Daten Ihres Unternehmens und Ihres Nutzers kennen. Wir möchten mehrere Sicherheitsebenen haben, damit wir im Falle einer Verletzung noch diese zusätzlichen Ebenen haben. Es gibt also eine Reihe von Abhilfemaßnahmen und Systemen, die wir benötigen.
Und als erstes kennen Sie die alte Standby-Datenbank, die Sie erwähnt haben, Tom, die unsere Web Application Firewall sein wird. Wir wollen sicherstellen, dass wir über eine robuste WAF mit einer wirklich großartigen Reihe von verwalteten Rollen verfügen, um die Erwartungen an alle bekannten Schwachstellen zu blockieren.
Und wir wollen sicherstellen, dass Sie wissen, dass wir mit einem Partner zusammenarbeiten, der Patches für neue und neue Zero-Day-Exploits veröffentlicht, richtig?
Anstatt also jede einzelne APIs einzeln zu patchen, können wir einen Patch auf unserer WAF an der Peripherie implementieren und diese Schwachstelle in allen unseren Services verringern.
Und dann haben wir darüber nachgedacht, wie sich Bots auswirken, wie hoch Bots sind, wie viele Bots angreifen, wie viele Bots Anfragen auf unseren Systemen stattfinden. Jetzt sind nicht alle Bots böse, oder? Bots durchsuchen unsere Websites und stellen diese Daten Suchmaschinen zur Verfügung. Es ist also wichtig, dass wir bestimmte Bots für ihre Arbeit einlassen und dass wir Bots blockieren, bösartige Bots, die versuchen, Dinge wie die potenzielle Verweigerung von Inventar zu tun, oder? Sie versuchen, alle Turnschuhe oder alle Tickets zu kaufen, bevor andere Benutzer sie bekommen können.
Die Bots machen auch Dinge wie die Kontoübernahme. Sie versuchen nur verschiedene Kombinationen von Benutzernamen und Passwörtern oder sie versuchen Benutzernamen und Passwörter, die von einer anderen Website verletzt wurden. Sie versuchen es möglicherweise auf Ihrer Website, weil sie wissen, dass viele Leute Passwörter wiederverwenden. Daher ist es wichtig, dass wir unsere Bot-Management-Lösung einsetzen.
Tom Mount: Ja, definitiv und ich denke, Sie kennen einen der anderen, von dem wir alle gehört haben. Sie wissen, was Bot-Management-Dinge, wir Ticketverkäufe, wie Sie wissen, wir hatten Probleme mit Ticketverkäufern, deren Tickets verkauft werden und sofort von Bots abgeholt werden, richtig?
Neue Sneakers fallen vom Hersteller und plötzlich sind diese Sneakers weg. Und ich erzähle den Leuten manchmal, dass 50% Witze machen, dass das Internet in 10 Jahren im Grunde nur Bots sein wird, die andere Bots angreifen, oder? Das wird es sein, oder? Bots kaufen Schuhe von anderen Bots. Sie werden andere Websites angreifen.
Und ich werde auch sagen, was Bot-Angriffe angeht, erinnere ich mich, als ich in der Branche angefangen habe, dass DDoS-Angriffe selten waren, oder? Denial-of-Service-Angriffe waren selten, da es viel Geld und Mühe kostete, für einen dieser Angriffe auszugeben. Nicht mehr der Fall, oder? Wie wir Bot-Angriffe gesehen haben. Ich schätze, das ist die Realität der heutigen Situation, dass man nicht groß sein muss, um Ziel eines Denial-of-Service-Angriffs zu sein, und die Angreifer müssen nicht reich sein, um diese Angriffe auszuführen. Die Tools, die Toolketten und die Cloud-Computing-Ressourcen, um diese Dinge in Schwung zu bringen.
Ich meine, wir haben sogar Denial-of-Service-Angriffe gesehen, die das beinhalten, was wir Bot-Netze nennen, oder, das sind nur Computer, die an diesen Angriff angeschlossen sind, einschließlich wahrscheinlich der, der auf Ihrem intelligenten Kühlschrank oder Ihrer Waschmaschine ist, oder?
Als Folge davon, dass immer mehr Dinge mit dem Internet verbunden werden und mehr Computer in kleineren Paketen weltweit verteilt sind. Wir haben einen enormen Anstieg von Denial-of-Service-Angriffen erlebt.
Und ich denke, Sie wissen, wenn wir nicht nur über Sicherheit, sondern nur über Best Practices für die Erstellung einer Website im Allgemeinen denken, richtig, es ist 2024. Ab dieser Aufzeichnung benötigen Sie zumindest ein CDN, richtig, denn das CDN wird wirklich der beste Weg sein, diese Ebenen von Angriffen und diese besonders diese verteilten Angriffe wirklich abzufangen.
Wird das jeden einzelnen aufhalten? Keine. Aber weißt du, ich hatte jetzt in den letzten fünf Jahren zwei oder drei Firmen, die nicht wussten, dass sie angegriffen wurden, weil ihr CDN den Angriff so gut absorbieren konnte.
Erst nach dem Angriff gingen sie wieder in ihre Protokolle. Und ich spreche nicht so lange, nachdem, ein paar Stunden oder zwei Tage später, sie wieder in ihre Baumstämme gehen wie wow, wir hatten nur Millionen und Millionen von Anfragen im letzten.
Ich Frage mich, was hier passiert ist. Manchmal, weißt du, können sie, wenn die Alarmierung aktiviert ist, den Anstieg des Datenverkehrs sehen und sie sehen es nie wirklich auf ihrer Website. Ein CDN ist also eine täuschend einfache Methode, diese Denial-of-Service-Angriffe zu handhaben.
Und selbst bei all den neuen Sicherheitsmöglichkeiten da draußen, wie einige der API-Sicherheitsmaßnahmen faszinieren mich. Ich rede gern über diese Dinge.
Ein Teil dieser Zero-Trust-Sicherheit ist, dass es Dinge gibt, die in diesem Bereich passieren, die einfach überwältigend sind, wie schnell wir da drinnen vorankommen.
Aber du kennst die alten, die du noch für CDN brauchst, brauchst noch eine WAF, oder? Ich meine, das sind gute Tools, die Sie haben können, und sie werden auch weiterhin gute Werkzeuge sein, unabhängig davon, welche Art von Architektur Sie sich während Ihres Voranschreitens entscheiden.
Und Howie, ich denke, eines der Dinge, die Sie gerade nebenbei erwähnt haben, möchte ich auch erwähnen, weil Sie erwähnt haben, einen guten Partner zu haben, der diese Dinge versteht.
Ich glaube, es gab früher das Gefühl, dass wir immer alleine gehen mussten, vor allem bei größeren Unternehmen. Wir brauchen unsere eigenen internen Experten, wir brauchen unsere eigenen internen Mitarbeiter, um dies zu tun. Und das führte dazu, dass viele interne Leute viele Stunden verbrachten und wirklich sehr frustrierend und irgendwie verbrannt wurden.
Und wenn Sie sich für eine kompostierbare Architektur entscheiden, denken Sie daran, dass es nicht nur die eigentliche Architektur ist, die Sie am besten wählen können. Sie können auch erstklassige Partner finden, die Ihnen bei der Navigation in diesem Bereich helfen.
Sie wissen, dass Sie jemanden finden, der das schon einmal getan hat, der ein gutes Gefühl für die Bedrohungen hat, die da draußen bei der Art und Weise auftreten, wie Dinge aufgebaut werden, und mit diesem Partner zusammenarbeiten, und eine Beziehung zu ihm aufbauen, um Ihre Website und Ihre Architektur schneller zu gestalten und diese Leistung auszuweiten.
Ich weiß, dass wir viel über die Vorteile der Benutzererfahrung für den Workflow gesprochen haben. Weißt du, gibt es noch andere Erkenntnisse, die du für gut halten würdest, wenn wir hier abschließen?
Letzte Wichtige Erkenntnisse
Howie Ross: Ja, ich meine, ich denke, Sie haben die Höhepunkte erreicht, wie Sie wissen, dass Composable zahlreiche Vorteile kennt, einschließlich der Benutzererfahrung und des Workflows, die spürbare Auswirkungen haben können. Sie wissen, ob es sich um Kosteneinsparungen oder Umsatzsteigerungen handelt. Aber es führt auch einige, die Sie kennen, einige neue Bedenken ein, die wir behandelt haben.
Sie wissen also, dass Sie nach wie vor die Sicherheitslösungen benötigen, die wir bereits genutzt haben. Wir möchten sicherstellen, dass wir Ihnen einige neue Sicherheitstools zur Verfügung haben, und wir achten auch wirklich auf unser Identitäts- und Zugriffsmanagement.
Und dann wissen Sie, wiederholen Sie einfach, dass Sie das wissen, es bietet eine Möglichkeit, nicht nur Anbieter auszuwählen, sondern auch Partner auszuwählen, die dies nicht nur zuvor getan haben, sondern dies derzeit mit anderen Unternehmen tun, damit Sie wissen, dass Sie von ihrem reichen Erfahrungsschatz in verschiedenen Kunden und Branchen profitieren können.
Tom Mount: Ja. Danke, Howie, dass Sie sich die Zeit genommen haben, mit mir darüber zu reden. Es war, es hat Spaß gemacht. Ich hoffe, dass wir für unsere Zuhörer und unsere Zuschauer da draußen gute Informationen erhalten haben, über die Sie nachdenken können und einige Dinge, die Sie berücksichtigen sollten.
Und Sie wissen, dass Edgio bereit ist, Ihnen als vertrauenswürdiger Partner zu helfen, und wir würden gerne einige unserer Erfahrungen und Erfolge mit Ihnen teilen.
Vielen Dank für Ihre Teilnahme an Beyond the Edge. Wir sehen uns beim nächsten Mal.
Sprechen Sie noch heute mit einem der Experten von Edgio, um schnellere Leistung, intelligentere Sicherheit und glücklichere Teams zu erzielen.