Die DMZ (Demilitarized Zone) ist eine optionale Sicherheitsschicht. Sie liegt zwischen dem öffentlichen Internet und Ihrem internen Lobster Data Platform-System. Sie fungiert als kontrolliertes Gateway für allen eingehenden Datenverkehr. Die DMZ wird auch als Reverse Proxy bezeichnet. Sie erfüllt ähnliche Funktionen: Sie nimmt externe Anfragen entgegen, leitet diese kontrolliert weiter und sendet Antworten zurück. Das interne System bleibt dabei verborgen.
Info
DMZ-Server benötigen keine eigene Datenbank. Sie haben keinen Zugriff auf die Datenbank des Lobster Data Platform-Servers.
Wann eine DMZ einsetzen
Eine DMZ wird für jedes Lobster-Cloud-System empfohlen, das mit externen Partnern Daten austauscht. Sie ist auch sinnvoll, wenn das System eingehende Verbindungen von außerhalb Ihrer Organisation empfängt.
Info
Details zur DMZ, ihrer Konfiguration und Funktionsweise finden Sie unter DMZ Server.
Kernfunktionen
Öffentlicher Zugangspunkt
Die DMZ dient als einziger öffentlich zugänglicher Endpunkt Ihres Lobster-Cloud-Systems. Externe Partner und Kunden verbinden sich mit der DMZ. Sie haben dabei keinen direkten Kontakt zum internen Lobster Data Platform-Server.
Sicherheitsisolation
Die DMZ arbeitet mit einer eigenen, dedizierten AWS Security Group. Das interne Lobster Data Platform-System nutzt eine andere Security Group mit strengeren Zugriffsregeln. Diese Trennung sichert das interne System und die Datenbank auch bei einer Kompromittierung der DMZ ab.
Unterstützte Protokolle
Die DMZ verarbeitet eingehenden Datenverkehr über die folgenden standardisierten Protokolle. Das interne Lobster Data Platform-System kann vorübergehend nicht verfügbar sein, zum Beispiel während eines Wartungsfensters oder Neustarts. In diesem Fall puffert die DMZ eingehende Daten. Sobald das interne System wieder verfügbar ist, leitet die DMZ die gepufferten Daten automatisch weiter. So vermeiden Sie Datenverlust bei geplanten oder ungeplanten Unterbrechungen.
Protokoll | Typischer Anwendungsfall | Datenpufferung |
|---|---|---|
HTTPS | Webservices, API-Aufrufe, browserbasierter Zugriff | Nein |
SFTP | Sicherer Dateitransfer mit externen Partnern | Ja |
FTP | Dateitransfer (aus Sicherheitsgründen nicht empfohlen) | Ja |
AS2 | EDI-Kommunikation mit Handelspartnern (fest auf Port 443) | Nein |
OFTP2 | Dateiaustausch in der Automobil- und Fertigungsindustrie | Ja |
SSH | Sicherer Shell-Zugriff (eingeschränkt, auf Anfrage) | Ja |
Authentifizierungsproxy
Die DMZ leitet Authentifizierungsanfragen sicher an das interne Lobster Data Platform-System weiter. Interne Authentifizierungsmechanismen sind nie direkt im Internet erreichbar. Das ermöglicht sicheren Zugriff auf die Plattform. Die interne Authentifizierungsinfrastruktur bleibt dabei geschützt.
Datenvalidierung
Die DMZ prüft eingehende Daten anhand definierter Regeln. Die Prüfung erfolgt vor der Weiterleitung an das interne System. Daten ohne passenden Verarbeitungs-Channel werden bereits auf DMZ-Ebene abgewiesen. So sinkt das Risiko, dass unerwartete oder nicht konforme Daten das interne System erreichen.
Architektur
Ein Standardsystem mit DMZ besteht aus den folgenden Komponenten:
Komponente | Netzwerksegment | Beschreibung |
|---|---|---|
DMZ-Server | Öffentliches Subnetz | Empfängt allen eingehenden Datenverkehr. Über statische IP öffentlich erreichbar. Verfügt über eine eigene Security Group. |
Lobster Data Platform-Server | Öffentliches Subnetz | Verarbeitet alle Jobs, Profile und Datenintegrationen. Kommuniziert mit der DMZ über interne Ports und bleibt damit verborgen. |
Datenbank (RDS) | Privates Subnetz | PostgreSQL-Datenbank. Nur für den Lobster Data Platform-Server zugänglich. Kein externer Zugriff möglich. |
Datenfluss
Schritt | Beschreibung |
|---|---|
1 | Ein externer Partner sendet Daten an die öffentliche IP-Adresse oder DNS Ihres Systems. |
2 | Der Datenverkehr durchläuft die DMZ Security Group. Optional sind nur autorisierte IP-Adressen und Ports zugelassen. Siehe Abschnitt Firewall Policy. |
3 | Die DMZ validiert die eingehenden Daten. Anschließend leitet sie diese an den internen Lobster Data Platform-Server weiter. |
4 | Der Lobster Data Platform-Server verarbeitet die Daten und speichert die Ergebnisse. |
5 | Die Antwort folgt dem umgekehrten Weg über die DMZ zurück zum externen Partner. |
DMZ-Sizing
Das DMZ-Server-Sizing hängt von Ihrer Edition ab. Die DMZ ist als schlanke Komponente konzipiert. Sie konzentriert sich auf Routing, Pufferung und Validierung statt auf rechenintensive Datenverarbeitung. Für Details siehe Editions and Sizing.
In der High-Availability-Architektur werden zwei DMZ-Server für die Produktion bereitgestellt.
Wichtig
Ein DMZ-Server arbeitet als aktiver Endpunkt (Primary DMZ). Der zweite Server bleibt als Secondary DMZ in Bereitschaft. Er übernimmt automatisch, wenn die Primary DMZ ausfällt. Die Health-Checks von Route 53 steuern dieses Failover.
Wichtige Hinweise
Thema | Details |
|---|---|
DMZ und Plattformzugriff | Die DMZ stellt auch die Lobster Data Platform-Weboberfläche auf Port 443 bereit. Bei aktiver DMZ melden Sie sich über den DMZ-Server an der Plattform an. |
Port 443 für AS2 | Die AS2-Kommunikation nutzt Port 443 über die DMZ. Dieser Port ist fest und kann nicht geändert werden. |
Keine unabhängige Größenanpassung | Der DMZ-Server kann nicht unabhängig skaliert werden. Ihre Edition bestimmt das Sizing. |
Bestellung einer DMZ | Eine DMZ können Sie jederzeit zu Ihrem System hinzufügen. Wenden Sie sich für ein Angebot an Ihren Lobster-Vertriebsmitarbeiter. |