Zum Inhalt

Einführung

Der STREAM Connect Agent ist ein Zusatzprodukt zu STREAM Cloud welches Kunden die Möglichkeit gibt, lokal betriebene On-Premise-System (z.B. SAP, MaWi, etc.) mit STREAM Cloud sicher und ohne komplexe Netzwerk-Konfiguration zu verbinden. Die Einrichtung und Verwaltung erfolgt über STREAM Cloud. Die Ausführung in der Kunden-Umgebung ist bewusst möglichst einfach gehalten.

Kroki

Kernprinzipien

Der STREAM Connect Agent baut auf drei Kernprinzipien auf:

  • Sicherheit: End-to-End-Verschlüsselung mit zentraler Schlüsselverwaltung. Sensitive Konfigurationen werden verschlüsselt in der Datenbank gespeichert und nur über den verschlüsselten Tunnel übertragen.
  • Zuverlässigkeit: Ein persistent authentisierter Tunnel zur Cloud mit automatischer Wiederverbindung. Konfigurationsänderungen werden gepuffert, um auch bei Netzwerkunterbrechungen nicht verloren zu gehen.
  • Einfachheit: Der Agent läuft mit minimaler Konfiguration in der Kundenumgebung. Die Verwaltung erfolgt zentral über STREAM Cloud ohne manuelle Netzwerkeinrichtung.

Enrollment & Identität

Der Enrollment-Prozess ist einfach und sicher gestaltet:

  1. Agent erstellen: Sie erstellen einen Agent in der STREAM Cloud UI und generieren ein Enrollment-Token.
  2. Agent registrieren: Der Agent wird in Ihrer Umgebung deployed und erhält das Enrollment-Token.
  3. Schlüsselpaar generieren: Der Agent generiert lokal ein Schlüsselpaar. Der private Schlüssel wird nie im Klartext lokal gespeichert.
  4. Vertrauen aufbauen: Der Agent sendet seinen öffentlichen Schlüssel an die Cloud. Einmalig wird eine Vertrauensbeziehung über das Token etabliert.
  5. Bereit zum Betrieb: Nach erfolgreichem Enrollment kann der Agent mit extern Systemen und der Cloud kommunizieren.

Der private Schlüssel wird zentral in der Cloud gespeichert und nur bei Bedarf für Verschlüsselungsoperationen verwendet. Dadurch ist Ihre Identität geschützt, auch wenn die Agent-Umgebung kompromittiert werden sollte.

Sichere Kommunikation

Der Agent nutzt einen persistent verschlüsselten Tunnel zur Cloud, der folgende Eigenschaften bietet:

  • Verschlüsselte Verbindung: Alle Daten werden verschlüsselt übertragen, mit eindeutigen Schlüsseln pro Verbindungssession für zusätzliche Sicherheit.
  • Automatische Wiederverbindung: Bei Netzwerkunterbrechungen stellt der Agent die Verbindung automatisch wieder her. Der Zustand wird persistent gepuffert.
  • Bidirektionale Datenflüsse:
    • Cloud → Agent: Konfigurationsänderungen und Anweisungen werden aktiv von der Cloud zum Agent übertragen.
    • Agent → Cloud: Der Agent kann Daten aus Ihren lokalen Systemen abrufen oder empfangen und zur Cloud senden.
  • Nachrichtenpufferung: Konfigurationsänderungen werden gepuffert. Wenn der Agent offline ist, werden diese automatisch zugestellt, sobald er sich wieder verbindet.

Diese Architektur stellt sicher, dass auch bei Netzlöchern oder Cloud-Wartungen keine Daten verloren gehen und der Agent selbstständig wieder online kommt.

Konfiguration & Plugin-Verwaltung

Externe Systeme werden über Plugins konfiguriert. Diese Konfigurationen haben dabei folgendes Vorgehen:

  • Verschlüsselte Speicherung: Plugin-Konfigurationen (z.B. Verbindungsdaten, Zugangsdaten) werden end-to-end verschlüsselt in der Cloud-Datenbank gespeichert.
  • Sichere Verteilung: Konfigurationsänderungen werden verschlüsselt durch den Tunnel zum Agent übertragen. Der Agent entschlüsselt diese und wendet sie an.
  • Signaturverifikation: Der Agent verifiziert die Signatur aller empfangenen Konfigurationen, um sicherzustellen, dass diese nicht manipuliert wurden.
  • Keine lokalen Klartexte: Sensible Daten wie Passwörter oder Zugriffsschlüssel werden nicht im Klartext auf dem Agent oder lokalen System gespeichert.

Dies ermöglicht es, Integrationen sicher zu verwalten, ohne dass IT-Admins direkten Zugriff auf sensitive Zugangsdaten haben müssen.

Überwachung & Betrieb

STREAM Cloud bietet umfassende Überwachung und Betriebskontrolle:

  • Verbindungsstatus: Sie sehen den aktuellen Status der Agent-Verbindung (online/offline), die IP-Adresse, Verfügbarkeitszeit und Latenz.
  • Authentifizierungsfehler: Das System protokolliert Authentifizierungsversuche und warnt vor verdächtigen Aktivitäten.
  • Identitätsverwaltung: Sie können Agents verwalten, ihre Enrollment-Methode einsehen und bei Bedarf ihre Identität widerrufen.
  • Automatische Wiederherstellung: Der Agent überwacht sich selbst und stellt die Verbindung automatisch wieder her, wenn eine vorübergehende Störung auftritt.

Mit diesen Tools können Sie Ihre Agents sicher und effizient betreiben, ohne in die lokale Umgebung greifen zu müssen.