12.05.2021
Lesedauer: 4 Minuten

Dokumente sicher verteilen – Wie funktioniert das Web-Portal technisch?

In diesem Artikel

    Mit dem SEAL Systems Web Portal können digitale Dokumente jeglicher Art auf sichere und nachvollziehbare Weise mit registrierten Nutzern oder Empfängern eines entsprechenden Zugangslinks geteilt werden. Die Empfänger können per E-‍Mail benachrichtigt werden und erhalten einen Zugangslink zum Share, der die Dokumente enthält. Bei den Empfängern kann es sich entweder um registrierte Benutzer / Gruppen handeln, die sich für den Zugriff auf die Dokumente authentifizieren müssen, oder um Ad-hoc-Empfänger, die eine spezifische, temporäre URL für den einmaligen Zugriff auf den Share erhalten. Die Benutzer können die Dokumente in einer Vorschau ansehen (gängige Dateiformate werden unterstützt) und sie einzeln oder im Ganzen als ZIP-Datei herunterladen. Der Zugriff auf die Dokumente durch die Empfänger kann, sowohl durch Benachrichtigung des Absenders per E-Mail als auch über die REST-API, nachverfolgt werden. Auf diese Weise können Dokumente in sehr großer Zahl und Größe geteilt werden. Standardmäßig wird ein Amazon S3 oder ein kompatibles Speicher-Backend verwendet; andere Backends können auf Anfrage hinzugefügt werden.

    Architektur

    Das SEAL Systems Web Portal ist eine Webanwendung in Cloud-nativer Technologie, d.h. es basiert auf Microservices und folgt den Prinzipien einer 12-Faktoren-App. Das Portal basiert auf dem modularen SEAL Systems-Client-Framework, das aus einem Serverteil (auch „Operator“ genannt) mit einer RESTful-API und einer Benutzeroberfläche für die Webanwendung besteht. SEAL Systems bietet mehrere Client-Anwendungen, die auf demselben Framework basieren und je nach Anwendungs­szenario kombiniert und miteinander verbunden werden können. Das Framework bietet grundlegende und übergreifende Funktionen, daneben sind die anwendungs­spezifischen Funktionen des Webportals als Servermodul (auch „Service“ genannt) und als UI-App implementiert. Die Dienste können zusammen mit dem Kerndienst oder mit einem Backend-System bereitgestellt werden; der Serverkern und die Module kommunizieren über HTTPS unter Verwendung derselben RESTful-API.

    SEAL Systems Client Framework

    Das Portal und das zugrundeliegende Framework sind für den Clusterbetrieb (K8s und OpenShift werden unterstützt) und die Serverinstallation (Windows, SuSE oder RHEL) ausgelegt. Für hohe Verfügbarkeit ist das Multi-Cluster-Layout möglich.

    Die Web-Portal-Anwendung ist darauf ausgelegt, Shares mit vielen und großen Dateien zu verarbeiten, sie benötigt daher einen leistungsfähigen Massenspeicher. Durch den modularen Aufbau des Frameworks kann das Webportal mit unterschiedlichen Speicher-Backends betrieben werden. Unterstützt werden Amazon S3 oder kompatible Speicher­anbieter, auf Wunsch können auch noch andere / lokale Speichersysteme mit unterschiedlichen Schnittstellen angebunden werden.

    Architektur

    Das Webportal kann einen Mail Transport Agent (MTA)-Dienst nutzen, um Benachrichtigungs-E-Mails (vorlagenbasiert) zu versenden. Die Nutzung des integrierten Benachrichtigungsdienstes ist optional; Benachrichtigungen können auch unabhängig davon erzeugt und verteilt werden. Das Webportal stellt alle notwendigen Daten über REST API zur Verfügung.

    Skalierbarkeit und Hochverfügbarkeit

    Das Webportal ist sowohl auf Service- als auch auf Instanzebene skalierbar. Die Dienste können auf Windows- oder Linux-Servern (SLES/RHEL) installiert und im Server-Cluster-Modus ausgeführt werden; zusätzliche Server können hinzugefügt werden, um eine höhere Leistung zu erzielen. Das Webportal kann auch in Containern auf Clustermanagern wie Kubernetes oder OpenShift ausgeführt werden, wobei eine automatische Skalierung unterstützt wird. Mehrere Service-Instanzen (server- oder clusterbasiert) können in LB/FO-Szenarien kombiniert werden, um nahezu keine Ausfallzeiten zu erreichen.

    Sicherheit

    Sowohl das Webportal als auch das Operator-Framework gehen keine Kompromisse bei der Sicherheit ein. Die Daten werden mit registrierten Benutzern geteilt, die sich für den Zugriff authentifizieren müssen. Anmeldung und Zugriffs­kontrolle basieren auf OAuth2/OIDC und sind mit gängigen IDPs wie AzureAD, Keycloak oder Auth0 kompatibel; dies gewährleistet auch die Unterstützung von Multi-Faktor-Auth. Wenn Anmeldeinformationen für den Zugriff auf externe Systeme erforderlich sind, werden sie in einem integrierten Anmeldeinformationsspeicher gespeichert, der eine transparente SSO-Authentifizierung ermöglicht.

    Daten im Transit sind TLS-verschlüsselt, Massendaten im Ruhezustand können durch die Verschlüsselung der Speicher­dienste gesichert werden. Bei Bedarf können Betriebsdaten durch Datenbankverschlüsselung geschützt werden. Bei erhöhten Sicherheitsanforderungen kann das Webportal innerhalb einer Hyper Protect-Umgebung von IBM eingesetzt werden, die die gesamte Laufzeitumgebung kryptografisch abschirmt und Daten im Speicher (Daten in Verwendung) verschlüsselt, was FIPS 140-2 Level 4 Sicherheit bietet.

    SEAL Systems legt während des gesamten Entwicklungsprozesses einen starken Fokus auf die Software-Sicherheit. Sowohl das Client-Framework als auch die Webportal-Applikation werden umfangreichen automatisierten Sicherheits­tests in einer speziellen Testumgebung unterzogen. Jeder Build-Prozess umfasst automatische Aktualisierungen von Upstream-Bibliotheken mit bekannten Sicherheitsproblemen, und SEAL setzt Software Supply Chain Management (SBOM) für Komponenten des Client Frameworks ein.

    Factsheet Web-Portal

    Wer das Web-Portal von SEAL Systems braucht und wie genau es aus Sender- und Empfängersicht funktioniert, erfahren Sie in unserem Factsheet.