Sichere Mobile Zugangsarchitektur mit AWS

Effektiver On-Premise-Schutz durch Backend-For-Frontend (BFF)

Autoren: Jean-Daniel Mathieu und Angelo Compagnoni

Unser Kunde, eine Schweizer Bundesbehörde, stand vor einer bedeutenden Herausforderung. Die Behörde betreibt eine hybride Webseite (PWA), die sowohl mobile Geräte als auch herkömmliche Browser unterstützt und Zugriff auf geschützte Schnittstellen erfordert. Um diesem Anspruch gerecht zu werden, wurde eine hybride IT-Infrastruktur aufgebaut, die sowohl Cloud- als auch On-Premise-Komponenten einschliesst. Die Gewährleistung eines sicheren Zugangs zu schützenswerten Daten auf einer von der Behörde betriebenen digitalen Plattform gestaltete sich jedoch als äusserst komplex.

In diesem Beitrag schildern ipt-Experten Jean-Daniel Mathieu und Angelo Compagnoni, wie ipt mit AWS-Technologie Backend-For-Frontend (BFF) als passende Lösung für die Behörde umgesetzt hat.

Herausforderung: Sicherheit & Effizienz im Einklang

In der vorliegenden Situation steht die Bundesbehörde vor einem zentralen Problem. Sie beabsichtigt, Apps zu betreiben, die auf schützenswerte Inhalte zugreifen müssen. Diese Notwendigkeit kollidiert jedoch mit verschiedenen Hindernissen. Einerseits müssen die Standards und Best Practices für die Sicherheit gewährleistet sein, und die Sicherheitsanforderungen des Bundes müssen erfüllt werden. Andererseits möchte die Behörde auch moderne Systeme wie beispielsweise Cloud-Plattformen nutzen.

Lösung: BFF powered by AWS ​

Wir bei ipt haben erfolgreich eine Backend-For-Frontend-Lösung auf Basis von AWS-Technologien für unseren Kunden implementiert. Ein Backend-For-Frontend (BFF) ist eine Logik, welche zwischen dem Backend und dem Frontend steht. Seine Hauptaufgabe ist es, Daten aus Backend-Systemen zu aggregieren, zu filtern und dem Frontend in dem Format zur Verfügung zu stellen, welches das Frontend benötigt. Das BFF macht es den Entwicklern leichter, das volle Potential von Cloud-Angeboten an den Nutzer weiterzugeben. Unsere Lösung sieht wie folgt aus:

  1. Spezialisierte DDoS-Abwehr:

    AWS Advanced Shield sorgt für wirksamen DDoS-Schutz.

  2. Höchstes Augenmerk auf Sicherheit:

    Wir haben umfassenden Schutz vor einer Vielzahl von Angriffsvektoren erreicht, darunter die Top 10 Bedrohungen nach OWASP, Scraping und Bots, all dies mit Hilfe von AWS WAF.

  3. Schnelle Reaktion und Performance:

    Beschleunigung der Response-Zeiten dank AWS CloudFront.

  4. API-Schnittstellen für jedes Frontend:

    Der API-Gateway stellt optimierte Schnittstellen für das jeweilige Frontend bereit, um eine effiziente Kommunikation zu ermöglichen.

  5. Sicherheitslogik in Lambda-Funktion für schnellen API-Zugriff:

    Die Sicherheitslogik wurde in einer Lambda-Funktion implementiert, um schreibenden, anonymen oder authentifizierten Zugriff auf Backend-APIs zu ermöglichen. Dank Lambda SnapStart wurde die Startzeit der Lambda-Funktion erheblich verkürzt. Damit bieten wir eine effiziente und schnelle Möglichkeit, auf unsere Backend-Dienste zuzugreifen.

Die Architektur der Backend-For-Frontend-Lösung

Architekturskizze der AWS-Lösung.

Das Sequenzdiagramm beschreibt, wie die Authorisierung funktioniert

Detailliertes Sequenzdiagramm der implementierten AWS-Lösung.

Unser Fazit

Unser Kunde sah sich einer anspruchsvollen Aufgabe gegenübergestellt: Die vielschichtigen Anforderungen an ihre IT-Infrastruktur in Einklang zu bringen – angefangen von der Gewährleistung der notwendigen Sicherheitsvorkehrungen bis hin zur Bewältigung von Zugangsbarrieren und der gleichzeitigen Umsetzung einer verstärkten Cloud-Nutzung. In diesem Kontext erreichten wir Optimierungen im Betrieb und Business Continuity Management, indem wir Infrastructure-as-Code und Monitoring mit Alerts integrierten.

Durch die Anwendung des Backend-For-Frontend-Ansatzes und dem Einsatz von AWS-Produkten konnten wir nicht nur die Anforderungen unseres Kunden erfüllen, sondern auch den besonderen Sicherheitskriterien gerecht werden.

Im Verlauf des Projekts stiessen wir auf Zielkonflikte, bei denen eine Balance zwischen einer effizienten Vorgehensweise und hohen Sicherheitsansprüchen gefunden werden musste. Trotz dieser komplexen Dynamik hat sich gezeigt, dass die Implementierung des Backend-For-Frontend-Ansatzes dazu beitrug, die Schweizer Bundesbehörde als zufriedenen Kunden zu gewinnen. Besonders die positive Rückmeldung bezüglich der Zusammenarbeit mit ipt und der Nutzung von AWS unterstreicht die Wirksamkeit dieser Lösung.

Partner

AWS Advanced Partner Logo 01-2024.jpg AWS Technologie-Partner

Folgendes wurde aus technologischer Sicht erreicht:

  • Der Schutz vor Cyberangriffen wurde an AWS ausgelagert, da AWS spezialisierte Lösungen in diesem Bereich anbietet.
  • Die Webinhalte wurden durch CloudFront näher an den Kunden gebracht, was die Nutzererfahrung wesentlich verbessert.
  • Dank AWS Lambda SnapStart konnten wir Antwortzeiten bis zur Autorisierung um das 18-fache beschleunigen.

Folgende Produkte von Amazon Web Services (AWS) kamen zum Einsatz:

  • AWS Advanced Shield
  • AWS WAF
  • AWS Cloudfront
  • AWS API Gateway
  • AWS Lambda

 

JeanDanielMathieu_casual.jpg

Über mich

Als IT Architect fasziniert mich die Möglichkeit, massgeschneiderte Public- und Hybrid-Cloud-Lösungen zu entwickeln, die höchste Anforderungen an Sicherheit und Automatisierung erfüllen.

Jean-Daniel Mathieu
AngeloCompagnoni_15099.jpg

Über mich

Die Möglichkeit, unseren Kunden bei der Erreichung ihrer Ziele zu helfen und gemeinsam Softwarelösungen zu entwickeln, die für uns alle von Nutzen sind, begeistert mich.

Angelo Compagnoni

Weitere Beiträge, die Dich interessieren könnten

Dominique Heyn | 24.8.2023

Das BFF - Der Leim der Backend und Frontend in Cloud Native Umgebungen zusammenhält

Ein Backend for Frontend ist eine Möglichkeit Frontends in eine cloud-native Umgebung zu integrieren. Welche Vor-und Nachteile ein solches System mit sich bringt und wo der Einsatz am sinnvollsten ist, darum geht es in diesem Blog.
Andri Lareida | 6.3.2020

Wieso Machine Learning in der Cloud? – am Beispiel Amazon SageMaker

Die Marketing-Seiten der drei Hyperscaler Amazon, Azure und Google versprechen viel und zeigen wenig. Was steckt nun wirklich dahinter? Wir zeigen anhand eines Kundenprojekts auf, was mit Machine Learning aus der Cloud möglich ist.
Thomas Stuber & Oliver Faust | 25.3.2022

Amazon Public Cloud gewinnbringend in einer Integrationsarchitektur einsetzen

In diesem Beitrag beschreiben wir, wie die AWS Cloud ein wichtiges Fundament für eine skalierbare und effiziente Integrationsplattform in einer Schweizer Versicherung wurde.
Alle Blogbeiträge