Security bei Microservices-Architekturen: außen hui, innen pfui?

Die Notwendigkeit der Authentisierung und Autorisierung der Nutzer eines Anwendungssystems steht außer Frage und wird durch moderne Standards hinreichend unterstützt. In einer Microservices-Architektur besteht allerdings zusätzlich Bedarf, die Schnittstelle jedes einzelnen Service abzusichern, um den Zugriff auf die zur Verfügung gestellten Ressourcen zu beschränken. Serviceaufrufe können dabei im Rahmen einer Session eines am System angemeldeten Benutzers erfolgen, viel häufiger werden sie aber asynchron und ohne Nutzeridentität (z.B. gesteuert durch Workflowsysteme oder ETL-Tools) ausgelöst. Dabei legt nicht der Betrieb fest, welcher Service durch wen aufgerufen werden kann, vielmehr definiert der Entwickler einer Schnittstelle, ob und worauf ein Klient zugreifen darf. Die Mechanismen wie tokenbasierte Identitätsprüfung und Autorisierung sollten dabei durchgängig verwendet und zentral bereitgestellt werden. Begleiten Sie mich bei der Einführung einer Sicherheitsarchitektur im Rahmen der Ablösung eines Monolithen durch Microservices.