Die DMZ (Demilitarisierte Zone) ist eine optionale Sicherheitsschicht, die zwischen dem öffentlichen Internet und Ihrem internen Lobster Data-Platform-System sitzt. Sie fungiert als kontrolliertes Gateway für den gesamten eingehenden Datenverkehr. Die DMZ wird auch als Reverse Proxy bezeichnet, da sie ähnliche Funktionen erfüllt: externe Anfragen entgegennehmen, kontrolliert weiterleiten und Antworten zurücksenden, während das interne System verborgen bleibt.
Hinweis
DMZ-Server benötigen keine eigene Datenbank und haben zudem keinen Zugriff auf die Datenbank des LDP-Servers.
Wann eine DMZ sinnvoll ist
Eine DMZ wird für jedes Lobster Cloud System empfohlen, das Daten mit externen Partnern austauscht oder eingehende Verbindungen von außerhalb Ihres Unternehmens empfängt.
Hinweis
Ausführliche Informationen über die DMZ, ihre Konfiguration und Funktionsweise finden Sie hier DMZ-Server
Kernfunktionen
Öffentlicher Zugangspunkt
Die DMZ dient als einziger öffentlich erreichbarer Endpunkt Ihres Lobster Cloud Systems. Externe Partner und Kunden verbinden sich mit der DMZ, ohne direkten Kontakt zum internen Lobster Data Platform Server.
Sicherheitsisolierung
Die DMZ arbeitet mit einer eigenen, dedizierten AWS Security-Group. Das interne Lobster-System verfügt über eine andere Security-Group mit strengeren Zugriffsregeln. Diese Trennung stellt sicher, dass selbst bei einer Kompromittierung der DMZ das interne System und die Datenbank geschützt bleiben.
Unterstützte Protokolle
Die DMZ verarbeitet eingehenden Datenverkehr über die folgenden standardisierten Protokolle:
Protokoll | Typischer Anwendungsfall | Datenpufferung |
|---|---|---|
HTTPS | Webservices, API-Aufrufe, browserbasierter Zugriff | Nein |
SFTP | Sicherer Dateitransfer mit externen Partnern | Ja |
FTP | Dateitransfer (aus Sicherheitsgründen nicht empfohlen) | Ja |
AS2 | EDI-Kommunikation mit Handelspartnern (fest auf Port 443) | Nein |
OFTP2 | Dateitransfer in der Automobil- und Fertigungsindustrie | Ja |
SSH | Secure-Shell-Zugriff (eingeschränkt, auf Anfrage) | Ja |
Authentifizierungs-Proxy
Die DMZ leitet Authentifizierungsanfragen sicher an das interne Lobster-System weiter. Interne Authentifizierungsmechanismen werden niemals direkt dem Internet ausgesetzt. Dies ermöglicht einen sicheren Zugriff auf die Plattform, ohne die interne Authentifizierungsinfrastruktur zu gefährden.
Datenvalidierung
Die DMZ prüft eingehende Daten anhand definierter Regeln, bevor sie an das interne System weitergeleitet werden. Daten, für die kein entsprechender Verarbeitungskanal existiert, werden auf DMZ-Ebene abgewiesen. Dies reduziert das Risiko, dass unerwartete oder nicht konforme Daten das interne System erreichen.
Architektur
Ein Standardsystem mit DMZ besteht aus folgenden Komponenten:
Komponente | Netzwerksegment | Beschreibung |
|---|---|---|
DMZ-Server | Öffentliches Subnetz | Empfängt den gesamten eingehenden Datenverkehr. Öffentlich erreichbar über statische IP. Verfügt über eine eigene Security-Group. |
Lobster Data Platform Server | Öffentliches Subnetz | Verarbeitet alle Jobs, Profile und Datenintegrationen. Kommuniziert mit der DMZ über interne Ports und bleibt so verborgen. |
Datenbank (RDS) | Privates Subnetz | PostgreSQL-Datenbank. Nur durch den Lobster Data Platform Server erreichbar. Kein externer Zugriff möglich. |
Datenfluss
Schritt | Beschreibung |
|---|---|
1 | Externer Partner sendet Daten an die öffentliche IP-Adresse oder DNS Ihres Systems. |
2 | Der Datenverkehr passiert die DMZ Security Group. Optional sind nur autorisierte IP-Adressen und Ports zugelassen. Siehe Abschnitt Firewall-Richtlinie |
3 | Die DMZ validiert die eingehenden Daten und leitet sie an den internen Lobster Data Platform Server weiter. |
4 | Der Lobster Data Platform Server verarbeitet die Daten und speichert die Ergebnisse. |
5 | Antworten nehmen den umgekehrten Weg zurück durch die DMZ zum externen Partner. |
DMZ-Sizing
Das Sizing des DMZ-Servers hängt von Ihrer Edition ab. Die DMZ ist als leichtgewichtige Komponente konzipiert, die auf Routing, Pufferung und Validierung ausgerichtet ist und nicht auf intensive Datenverarbeitung. Alle erforderlichen Informationen finden Sie unter Editions und Sizing
In der High-Availability-Architektur werden zwei DMZ-Server für die Produktion bereitgestellt.
Wichtig
Ein DMZ-Server arbeitet als aktiver Endpunkt, während der zweite im Standby verbleibt und automatisch übernimmt, wenn die primäre DMZ ausfällt. Dieses Failover wird automatisch über DNS Health Checks gesteuert.
Wichtige Hinweise
Thema | Details |
|---|---|
DMZ und Plattformzugriff | Die DMZ stellt auch die Lobster Data Platform Weboberfläche über Port 443 bereit. Wenn eine DMZ aktiv ist, erfolgt der Log-in in die Plattform über den DMZ-Server. |
Port 443 für AS2 | AS2-Kommunikation verwendet Port 443 über die DMZ. Dieser Port ist fest und kann nicht geändert werden. |
Keine unabhängige Skalierung | Der DMZ-Server kann nicht unabhängig skaliert werden. Das Sizing wird durch Ihre Edition bestimmt. |
DMZ bestellen | Eine DMZ kann jederzeit zu Ihrem System hinzugefügt werden. Kontaktieren Sie Ihren Lobster-Vertriebskontakt für ein Angebot. |