Interview mit Andreas Grimm

Serverless: „Ein Trend, welcher erst so richtig durch Serverless ermöglicht wird, ist ‚FinDev’“

Katharina Degenmann

Serverless und Cloud können nicht ohne einander. Doch der Cloud stehen viele skeptisch gegenüber, denn gerade in Sachen Sicherheit, eilt ihr kein guter Ruf voraus. Andreas Grimm erklärt uns im Interview auf Serverless Architecture Conference 2019 in Berlin, wie man serverlose Anwendungen sicherer macht, welche Vorteile Azure Functions haben und welche Trends uns im Bereich Serverless erwarten.

JAXenter: In Deinem Talk sagst Du, dass Sicherheit und Authentifizierung von entscheidender Bedeutung sind. Wie lässt sich Authentifizierung den am besten in Severless-Umgebungen umsetzen?

Andreas Grimm: Das kommt auf die jeweiligen Anforderungen und Gegebenheiten an. Wenn ich keinen externen Identity Provider wie z.B. Auth0 einsetze, dann ist es meistens am besten, den Identity Provider meines Cloud-Anbieters zu nutzen. Das wäre z.B. Azure Active Directory (B2C) in der Azure Cloud oder AWS Cognito in der AWS Cloud.

Die zunehmende Möglichkeit, der Erfassung von angefallenen Cloud-Kosten in Echtzeit, eröffnet uns einige Möglichkeiten.

Will ich aber einen externen Identity Provider wie z.B. Auth0 einsetzen, – wegen Vorteilen wie einfachere Anwendung, erhöhter Flexibilität und Interoperabilität, auf welche ich in meinem Talk näher eingehe – dann nutze ich im Zusammenspiel mit Azure Functions am besten weiterhin ein shared secret (einen API key, dort „functions key“ genannt) und validiere das JsonWebToken, mithilfe von entsprechenden Libraries innerhalb meines Function Code.

JAXenter: Welchen Vorteil haben Azure Functions in diesem Zusammenhang gegenüber Alternativen wie etwa AWS Lambda oder Google Cloud Functions? Und gibt es ein Feature, dass Du aktuell in Azure Functions noch vermisst?

Andreas Grimm: Meines Wissens nach gibt es aktuell keinen Vorteil. Wünschenswert wäre für die Zukunft, dass man im Falle der Nutzung eines externen Identity Providers, die Validierung des JWT nicht innerhalb des function code vornehmen muss, sondern weiter nach außen in die Azure Runtime verlegen kann. Leider geht das aktuell nur im Zusammenspiel mit Azure Active Directory.

JAXenter: Welche Schritte müssen durchlaufen werden, um eine serverlose Anwendung sicher zu machen?

Andreas Grimm: Ich würde nie das Wort „sicher“ verwenden. Aber, um eine serverless Anwendung „sicherER“ zu machen, sollte man die Nutzung von Folgendem in Betracht ziehen:

  • ein zentrales Secrets Management System (wie z.B. Azure Key Vault oder Amazon Secrets Manager)
  • das „principle of least privilege“, indem man (fein-granularer als bisher gewohnt) den einzelnen Functions nur jeweils genau die minimalen Rechte vergibt, die diese benötigen
  • 3rd party tools wie z.B. von Protego oder Puresec, die mit einfachsten Mitteln die Sicherheit erhöhen und automatisch „injection vulnerabilities“ (die leider immer noch häufig vorkommen) verhindern können.
  • Chaos-Engineering-Prinzipien

JAXenter: Gibt es einen neuen großen Trend im Bereich Serverless, der Dich im Moment besonders interessiert?

Ich würde nie das Wort „sicher“ verwenden.

Andreas Grimm: Ein Trend, welcher erst so richtig durch das „pay-per-use“ oder auch „pay-per-transaction“ Kostenmodell von Serverless ermöglicht wird, ist „FinDev“.

Die zunehmende Möglichkeit, der Erfassung von angefallenen Cloud-Kosten in Echtzeit eröffnet uns unter anderem:

  • Kosteneinsparung durch Früherkennung von plötzlich anfallenden, unnötigen bzw. optimierbaren Kosten
  • Die Weitergabe eines granularen „pay-per-use“ Kostenmodells an unsere Kunden. Dies kann ein Wettbewerbsvorteil gegenüber unseren Mitbewerbern bedeuten, welche weiterhin nur ein altmodisches Abo-Modell mit hohen monatlichen Fixkosten anbieten können

Tools von Anbietern wie Epsagon, Lumigo oder auch Cloudzero sind hier aktuell Vorreiter. Weiterhin kann auch viel genauer das ROI (return of investment) von individuellen Features ermittelt werden. Ich bin mir auch sicher, dass sich durch FinDev die Rolle und die Aufgaben von CFOs stark ändern wird, zumindest, wenn man ein moderner und erfolgreicher CFO sein möchte.

Es bleibt also sehr spannend 🙂

JAXenter: Vielen Dank für das Interview!

Andreas is an expert in Identity & Access Management and a proponent of serverless/serviceful architectures.
Being aware of the fact that having a shared understanding with the business is even more important than technical solutions, he’s into aproaches like Domain-Driven Design and EventStorming.
He’s from the community for the community and organizes meetup groups in Berlin like @DDDBER, @fullstack_JS and @ServerlessBER
Geschrieben von
Katharina Degenmann
Katharina Degenmann
Katharina ist hauptberuflich hilfsbereite Online- und Print-Redakteurin sowie Bücher- und Filme-Junkie. Nebenbei ist sie Möchtegern-Schriftstellerin, die heimlich hofft, eines Tages ihr Geld als Kaffee-Testerin zu verdienen. Seit Februar 2018 arbeitet sie als Redakteurin bei der Software & Support Media GmbH, davor hat sie Politikwissenschaft und Philosophie studiert.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
4000
  Subscribe  
Benachrichtige mich zu: