Serocloud

Der Betrieb weitreichend skalierender Cloud-Architekturen bringt oft den schwierigen Kompromiss zwischen Entwicklungsgeschwindigkeit und stringenter Sicherheit mit sich. Das übergeordnete Ziel für die Serocloud-Umgebung lag in der Konstruktion einer Zero-Trust Netzwerktopologie. Diese muss in der Lage sein, jede Bewegung eines Angreifers (Lateral Movement) zwischen logisch unverbundenen Diensten konsequent abzufangen. Gleichzeitig bedarf es solch dynamischen Berechtigungen, dass die strengen Firewall und Identitäts-Überprüfungen keinen störenden Einfluss auf die Durchlaufgeschwindigkeiten und die eigentliche Latenz der Service-Kommunikation ausüben.

Auf Basis des Google Kubernetes Engine (GKE) Clusters implementierten wir eine Lösung zur radikalen Isolierung. Eine der größten Schwachstellen existierender Microservices ist die unsaubere Handhabung interner Geheimnisse. Die Antwort hierauf war die umfassende Integration von GCP Workload Identity in den Netzwerkschichten der Serocloud. Pods und Service-Instanzen iterieren völlig ohne hinterlegte Passwörter. Für externe Anbindungen handeln die Container stattdessen extrem kurzlebige Service-Tokens direkt mit den Google IAM Schnittstellen aus.

Geroutetes Data-Streaming muss belastbar sein. Eingebunden in ein verteiltes Knotennetz steuert der Loadbalancer den Ingress-Traffic. Das hier genutzte Custom-Routing, geschrieben für absolute Threading-Effizienz in Microframeworks, interpretiert eingehende Request-Pakete im Flugbetrieb. Es balanciert Pakete smart nicht nur nach schlichter Auslastung, sondern nach Metrik-Graphen sowie historischen Service-Latenzen auf bereitgestellte Rechenressourcen aus.