Documentation Index

Fetch the complete documentation index at: https://docs.lobster-world.com/llms.txt

Use this file to discover all available pages before exploring further.

DMZ-Architektur

Prev Next

Die DMZ (Demilitarized Zone) ist eine optionale Sicherheitsschicht. Sie liegt zwischen dem öffentlichen Internet und Ihrem internen Lobster Data Platform-System. Sie fungiert als kontrolliertes Gateway für allen eingehenden Datenverkehr. Die DMZ wird auch als Reverse Proxy bezeichnet. Sie erfüllt ähnliche Funktionen: Sie nimmt externe Anfragen entgegen, leitet diese kontrolliert weiter und sendet Antworten zurück. Das interne System bleibt dabei verborgen.

Info

DMZ-Server benötigen keine eigene Datenbank. Sie haben keinen Zugriff auf die Datenbank des Lobster Data Platform-Servers.


Wann eine DMZ einsetzen

Eine DMZ wird für jedes Lobster-Cloud-System empfohlen, das mit externen Partnern Daten austauscht. Sie ist auch sinnvoll, wenn das System eingehende Verbindungen von außerhalb Ihrer Organisation empfängt.

Info

Details zur DMZ, ihrer Konfiguration und Funktionsweise finden Sie unter DMZ Server.


Kernfunktionen

Öffentlicher Zugangspunkt

Die DMZ dient als einziger öffentlich zugänglicher Endpunkt Ihres Lobster-Cloud-Systems. Externe Partner und Kunden verbinden sich mit der DMZ. Sie haben dabei keinen direkten Kontakt zum internen Lobster Data Platform-Server.


Sicherheitsisolation

Die DMZ arbeitet mit einer eigenen, dedizierten AWS Security Group. Das interne Lobster Data Platform-System nutzt eine andere Security Group mit strengeren Zugriffsregeln. Diese Trennung sichert das interne System und die Datenbank auch bei einer Kompromittierung der DMZ ab.


Unterstützte Protokolle

Die DMZ verarbeitet eingehenden Datenverkehr über die folgenden standardisierten Protokolle. Das interne Lobster Data Platform-System kann vorübergehend nicht verfügbar sein, zum Beispiel während eines Wartungsfensters oder Neustarts. In diesem Fall puffert die DMZ eingehende Daten. Sobald das interne System wieder verfügbar ist, leitet die DMZ die gepufferten Daten automatisch weiter. So vermeiden Sie Datenverlust bei geplanten oder ungeplanten Unterbrechungen.

Protokoll

Typischer Anwendungsfall

Datenpufferung

HTTPS

Webservices, API-Aufrufe, browserbasierter Zugriff

Nein

SFTP

Sicherer Dateitransfer mit externen Partnern

Ja

FTP

Dateitransfer (aus Sicherheitsgründen nicht empfohlen)

Ja

AS2

EDI-Kommunikation mit Handelspartnern (fest auf Port 443)

Nein

OFTP2

Dateiaustausch in der Automobil- und Fertigungsindustrie

Ja

SSH

Sicherer Shell-Zugriff (eingeschränkt, auf Anfrage)

Ja


Authentifizierungsproxy

Die DMZ leitet Authentifizierungsanfragen sicher an das interne Lobster Data Platform-System weiter. Interne Authentifizierungsmechanismen sind nie direkt im Internet erreichbar. Das ermöglicht sicheren Zugriff auf die Plattform. Die interne Authentifizierungsinfrastruktur bleibt dabei geschützt.


Datenvalidierung

Die DMZ prüft eingehende Daten anhand definierter Regeln. Die Prüfung erfolgt vor der Weiterleitung an das interne System. Daten ohne passenden Verarbeitungs-Channel werden bereits auf DMZ-Ebene abgewiesen. So sinkt das Risiko, dass unerwartete oder nicht konforme Daten das interne System erreichen.


Architektur

Ein Standardsystem mit DMZ besteht aus den folgenden Komponenten:

Komponente

Netzwerksegment

Beschreibung

DMZ-Server

Öffentliches Subnetz

Empfängt allen eingehenden Datenverkehr. Über statische IP öffentlich erreichbar. Verfügt über eine eigene Security Group.

Lobster Data Platform-Server

Öffentliches Subnetz

Verarbeitet alle Jobs, Profile und Datenintegrationen. Kommuniziert mit der DMZ über interne Ports und bleibt damit verborgen.

Datenbank (RDS)

Privates Subnetz

PostgreSQL-Datenbank. Nur für den Lobster Data Platform-Server zugänglich. Kein externer Zugriff möglich.

Datenfluss

Schritt

Beschreibung

1

Ein externer Partner sendet Daten an die öffentliche IP-Adresse oder DNS Ihres Systems.

2

Der Datenverkehr durchläuft die DMZ Security Group. Optional sind nur autorisierte IP-Adressen und Ports zugelassen. Siehe Abschnitt Firewall Policy.

3

Die DMZ validiert die eingehenden Daten. Anschließend leitet sie diese an den internen Lobster Data Platform-Server weiter.

4

Der Lobster Data Platform-Server verarbeitet die Daten und speichert die Ergebnisse.

5

Die Antwort folgt dem umgekehrten Weg über die DMZ zurück zum externen Partner.


DMZ-Sizing

Das DMZ-Server-Sizing hängt von Ihrer Edition ab. Die DMZ ist als schlanke Komponente konzipiert. Sie konzentriert sich auf Routing, Pufferung und Validierung statt auf rechenintensive Datenverarbeitung. Für Details siehe Editions and Sizing.

In der High-Availability-Architektur werden zwei DMZ-Server für die Produktion bereitgestellt.

Wichtig

Ein DMZ-Server arbeitet als aktiver Endpunkt (Primary DMZ). Der zweite Server bleibt als Secondary DMZ in Bereitschaft. Er übernimmt automatisch, wenn die Primary DMZ ausfällt. Die Health-Checks von Route 53 steuern dieses Failover.


Wichtige Hinweise

Thema

Details

DMZ und Plattformzugriff

Die DMZ stellt auch die Lobster Data Platform-Weboberfläche auf Port 443 bereit. Bei aktiver DMZ melden Sie sich über den DMZ-Server an der Plattform an.

Port 443 für AS2

Die AS2-Kommunikation nutzt Port 443 über die DMZ. Dieser Port ist fest und kann nicht geändert werden.

Keine unabhängige Größenanpassung

Der DMZ-Server kann nicht unabhängig skaliert werden. Ihre Edition bestimmt das Sizing.

Bestellung einer DMZ

Eine DMZ können Sie jederzeit zu Ihrem System hinzufügen. Wenden Sie sich für ein Angebot an Ihren Lobster-Vertriebsmitarbeiter.