Eine interne Anwendung aus dem Jahr 2012 berechnet noch eine Zahl, auf der das Geschäft aufgebaut ist. Ihr Code ist einfaches HTTP, ihr Sitzungsmodell ein Cookie, ihre Authentifizierung ein Formular, das an eine Stored Procedure postet. Noch ist nichts Gefährliches daran — aber jede externe Bewertung, jedes Audit und jeder Sicherheitsscan markiert nun diese Anwendung. Ein Neuschreiben kostet ein Team ein Jahr, und dieses Team ist nicht verfügbar. Eine Migration in eine Public Cloud bedeutet ohnehin, das Deployment-Modell neu zu schreiben, dazu ein neuer Anbieter und eine neue Rechnung. Das Ergebnis: Die Anwendung läuft weiter, die Lücke wächst.
Der dritte Weg ist der, den die meisten Operations-Teams wirklich wollen: Lassen Sie die Anwendung an ihrem Platz und setzen Sie eine moderne, programmierbare Schicht davor. SSL-Terminierung an der Edge und aktuelle Verschlüsselung. Ein WAAP, der die HTTP-Semantik versteht. Das Formular-Login durch modernes SSO ersetzen, ohne eine einzige Codezeile der Anwendung zu ändern. Clientloses RDP und SSH für den Administrator, der die Anwendung noch wartet. Multi-Protokoll-Listener für Legacy-Teile, die nicht einmal HTTP sind.
TR7 ist für diesen Weg gemacht. Dieselbe Auslieferungs- und Schutzplattform, die Ihre modernen Services betreibt, wird zur modernen Schicht vor den Legacy-Services — über das Netzwerk, das Sie bereits betreiben, unter dem Audit-Trail, den Sie bereits führen.
Jedes davon ist für sich allein wichtig. Alle zusammen beschreiben, wie die Modernisierungsschicht aussieht, wenn sie in Ihrem eigenen Netzwerk und auf einer Plattform bleibt.
Definieren Sie einen vService vor dem Legacy-Backend. SSL-Terminierung an der Edge mit modernen Ciphern. WAAP-Prüfung der eingehenden Anfrage. Health-Checks, Rate-Limits und inhaltsbewusste Regeln werden auf einen Service angewendet, der eigentlich für nichts davon entworfen wurde. Die Legacy-Anwendung spricht hinter TR7 weiterhin einfaches HTTP — der äußere Listener spricht 2026.
Die meisten Legacy-Anwendungen authentifizieren über ein Formular, das an eine Datenbank postet, einen Header, dem das Framework vertraut, oder HTTP Basic. Der Per-Service-Authentication-Modus von TR7 AAM ersetzt diese Interaktion. Nutzer melden sich einmal über OIDC, SAML oder Ihren bestehenden IdP an. TR7 injiziert dann das Legacy-Authentifizierungsfragment — Header, Cookie oder Basic-Credential — nach hinten, genau in der Form, die die Anwendung erwartet. Keine Codeänderung in der Anwendung.
Das Team, das die Legacy-Anwendung noch wartet, nutzt meist einen schweren RDP-Client oder ein separates SSH/VNC-Tool. TR7 öffnet diese Ziele über den Browser — keine Client-Installation, kein VPN-Tunnel auf dem Rechner des Operators. Jede Sitzung wird getunnelt und auf Befehlsebene aufgezeichnet; ein einzelner Widerruf beendet alle aktiven Sitzungen.
Im Legacy-Anwendungsbestand gibt es mehr als HTTP. FTP-Transfers zwischen Geschäftspartnern. UDP-basierte industrielle Protokolle. Einfache TCP-Services. Statische Dateibereitstellung für archivierte Inhalte. TR7 deckt diese auf derselben Engine ab, die auch die HTTP-Front schützt — zweckgebundene Listener für FTP-Relay, UDP-Proxy, TCP-Passthrough und statische Inhalte. Kein separates Gerät, kein paralleles Sicherheitsmodell.
Legacy-Anwendungen brauchen oft chirurgische Korrekturen, die keine Codeänderung verdienen: eine Mixed-Content-URL im Antwort-Body, ein fehlender Sicherheits-Header, ein zu übersetzender Formularfeldname, ein Cookie, dem das Secure-Flag fehlt. Die inhaltsbewussten Regeln von TR7 bearbeiten Antworten, injizieren Header und korrigieren Formulare — im visuellen Policy-Builder. Keine proprietäre Skriptsprache, kein Build-Zyklus. Die Legacy-Anwendung bleibt online; das moderne Verhalten geschieht davor.
Jede der folgenden Fähigkeiten läuft auf derselben Plattform, die Ihre modernen Services ausliefert und schützt.
Moderne Cipher, aktuelle Zertifikate und OCSP-Stapling vor einer Anwendung, die noch einfaches HTTP oder schwaches TLS spricht. Veraltete Verschlüsselung ist kein internetexponiertes Thema mehr, sondern wird zur Backend-Angelegenheit.
Prüfen Sie jede Anfrage, bevor sie ein Backend erreicht, das geschrieben wurde, als Injection-Angriffe noch keine Kategorie waren. Signaturen plus Scoring, volles HTTP-Semantikbewusstsein, inhaltsbewusste Regeln für die Eigenheiten von Legacy-Stacks.
Der Per-Service-Authentication-Modus von AAM ersetzt den Legacy-Login-Fluss durch OIDC oder SAML über Ihren IdP. TR7 reicht dann das Fragment, das die Legacy-Anwendung erwartet — Header, Cookie oder Basic-Auth — an die Anwendung weiter, als hätte sich der Nutzer auf dem alten Weg angemeldet.
Setzen Sie Multi-Faktor-Authentifizierung auf der Zugriffsschicht durch. Die Legacy-Anwendung weiß nicht, dass der Nutzer die MFA-Aufforderung bereits passiert hat — und muss es auch nicht wissen.
RDP, SSH und VNC über den Browser. Das Wartungsteam erreicht die Maschine über TR7; der Operator muss keinen Client auf seinem Laptop installieren. Befehlsweise Aufzeichnung bei SSH; deckt die Sitzung des Operators von Anfang bis Ende ab.
Aktive und passive Health-Probes für Backends, die nie dafür vorbereitet wurden. Problematische Knoten werden aus der Rotation genommen; die Legacy-Anwendung muss nicht wissen, dass es ein Konzept namens Verfügbarkeitszone gibt.
Pfadbasierte Rate-Limits, bedingtes Traffic-Shaping und Anfrage-/Antwortbearbeitung ohne Scripting. Korrigieren Sie einen fehlerhaften Header, fügen Sie einen Sicherheits-Header hinzu, den das Framework nie gesetzt hat, drosseln Sie einen lauten Endpoint — im visuellen Regel-Builder.
Externe Clients verbinden sich mit TR7. Die Legacy-Anwendung ist nicht direkt erreichbar. Discovery-Scans, Port-Scans und Pre-Auth-Versuche enden in der modernen Schicht; die Angriffsfläche ist nicht mehr der Legacy-Code.
Access-Logs, Verkehrsstatistiken, Fehlerraten, Latenz-Histogramme und Sicherheitsereignisse — für eine Anwendung, die nichts davon selbst erzeugt. Der Legacy-Service wird von vorne beobachtbar, ohne jede Änderung am Backend.
FTP-Relay für Datentransfer mit Partnern. UDP-Proxy für industrielle Telemetrie. TCP-Passthrough für proprietäre Protokolle. Statische Inhaltsbereitstellung für archivierte Inhalte. Eine Plattform, ein Operator-Panel.
ADC, WAAP und AAM laufen auf derselben Engine und teilen sich eine einzige Bandbreitenlizenz. Es gibt kein separat lizenziertes Zugriffsmodul, WAAP-Modul oder Gateway-Modul, um eine moderne Schicht vor eine Legacy-Anwendung zu setzen.
Die moderne Schicht läuft auf Ihrer eigenen Hardware, in Ihrem eigenen Rechenzentrum und unter Ihrem eigenen Audit-Trail. Identitätsentscheidungen, Sitzungsverkehr und Sicherheitsereignisse bleiben dort, wo die Legacy-Anwendung bereits lebt.
Jede Schicht fügt der modernen Haltung ein Stück hinzu. Alle zusammen ersetzen ein jahrelanges Neuschreibe-Projekt durch ein Konfigurationsobjekt.
TR7 ADC setzt sich vor das Legacy-Backend. SSL-Terminierung an der Edge, moderne Cipher, aktuelle Zertifikate, Health-Checks und Lastverteilung über so viele Legacy-Knoten, wie vorhanden sind. Der äußere Listener spricht aktuelles TLS; das Legacy-Backend spricht weiter, was es eben spricht.
TR7 WAAP prüft jede Anfrage, bevor sie ein Backend erreicht, das nicht für feindlichen Verkehr entworfen wurde. OWASP-Kategorien, Signatur-plus-Scoring-Erkennung, inhaltsbewusste Regeln für Legacy-Stack-Verhalten, DDoS-Schutz auf L4 und L7.
TR7 AAM Per-Service Authentication ersetzt den Legacy-Login-Fluss. Nutzer authentifizieren über OIDC oder SAML via IdP; MFA wird an der Edge durchgesetzt. TR7 injiziert dann das Fragment, das die Legacy-Anwendung erwartet — Header, Cookie oder Basic-Credential — nach hinten.
Clientloses RDP, SSH und VNC für das Team, das die Legacy-Anwendung wartet. Zugriff nur über den Browser, befehlsweise Aufzeichnung, Widerruf mit einem Klick. Auf dem Gerät des Operators wird kein Client installiert, um auf einen 12 Jahre alten Server zuzugreifen.
Wenn der Legacy-Bestand FTP, UDP-Telemetrie, proprietäre TCP-Services oder statisches Archiv-Hosting umfasst, deckt dieselbe Plattform diese mit zweckgebundenen Listenern ab. Kein separates Gerät, kein separates Operator-Panel, kein separater Audit-Trail.
Jeder Teil der Modernisierungsschicht wird als vService konfiguriert. Dasselbe Konfigurationsobjekt, das Ihre moderne API ausliefert, liefert auch die alte formularbasierte Anwendung aus. Dieselben Operator-Fähigkeiten, dieselbe Observability, derselbe Audit-Trail.
Back-Office-HTTP-Anwendungen, geschrieben als moderne Bedrohungsmodelle noch nicht existierten. TR7 umschließt sie mit WAAP, modernem SSO und MFA, ohne ihren Code anzufassen. Auditbereite Aufzeichnungen vor einer Anwendung, die selbst keine Logs erzeugt.
Vom Anbieter gelieferte klinische Plattformen, die der Kunde nicht ändern kann. TR7 platziert die moderne Sicherheits- und Zugriffsschicht davor; Compliance- und Auditanforderungen werden erfüllt, ohne den Release-Zyklus des Anbieters anzufassen.
Industrielle Telemetrie über UDP, Partnerdaten über FTP, supervisorischer Zugriff über RDP. Eine einzige TR7-Instanz deckt all das ab — moderne Sicherheit und Observability für Protokolle, die beides nie hatten.
Über ein Jahrzehnt angesammelte Fachbereichsanwendungen. TR7 stellt ihnen modernes SSO über den IdP der Einrichtung voran, ersetzt die direkte Internetexponierung durch identitätsbewussten Zugriff und gibt dem Sicherheitsteam Observability über den langen Schwanz.
Interne Anwendungen, die das Netzwerk nicht verlassen können und im von neuer Regulierung geforderten Zeitrahmen nicht neu geschrieben werden können. TR7 setzt die moderne Compliance-Schicht — SSL, WAAP, modernes SSO, auditbereite Aufzeichnungen — On-Prem davor.
POS-Back-Office, Lieferketten-Integration und Partnerportale mit eigenem Release-Zeitplan des Anbieters. TR7 modernisiert die Sicherheits- und Zugriffshaltung davor, ohne auf den Anbieter zu warten.
Von dieser Lösung referenzierte Fähigkeiten — die technischen Bausteine, die die oben beschriebenen Kontrollen bilden.
Verwalten Sie VPN-Zugriff nicht als separate Netzwerkausnahme, sondern als Teil der AAM-Identitäts- und Gerätevertrauensrichtlinie.
Zugriff auf RDP, VNC, SSH, Kubernetes und Legacy-Systeme aus dem Browser — Credential-Vault, Aufzeichnung und Wasserzeichen integriert.
HTTP→HTTPS-Übergänge, Domain-Migrationen, Pfadverschiebungen und Fehler-Weiterleitungen ohne Änderungen am Anwendungscode verwalten.
Den Pfad ändern, nicht das Backend — der Client behält seine URL, während eine neue Architektur intern läuft.
Regeln visuell schreiben, kompiliertes Verkehrsverhalten erhalten — Anfrage- und Antwortfluss ohne Scripting verwalten.
Über Header hinausgehen — Body-Inhalt zum Teil der Verkehrs- und Sicherheitsentscheidung machen.
TR7 ADC in den Verkehrspfad einfügen, ohne Backend-IP-Adressen, Gateways oder Routen anzufassen.
Dienste verbinden ohne Netzwerke zusammenzuführen — überlappende IP-Pläne und Tenant-Isolation mit einem einzigen vService-Modell verwalten.
FTP nicht als offenen Port verwalten, sondern als Befehl-für-Befehl kontrollierte sichere Dateiübertragungssitzung.
Vom externen NTP-Pool zur internen Infrastruktur; eine zentrale, kontrollierte und isolierte Zeitquelle.
UDP- und TCP-Syslog-Traffic vor Ihrem SIEM sammeln, klassifizieren, replizieren und weiterleiten.
Ein einziger TR7. Mehrere Tenants. Ressourcen-, Netzwerk- und Betriebsgrenzen voneinander getrennt.
Eine Schwachstelle in Minuten auf Traffic-Ebene schließen — keine Codeänderung erforderlich.
Moderne Authentifizierung vorne, Identität nachgelagert als Header, Authorization oder Cookie injiziert — Legacy-Anwendungen bleiben Legacy.
Bringen Sie eine echte Legacy-Anwendung in eine TR7-Demo; wir zeigen, wie sich die Modernisierungsschicht davor aufbaut — SSL-Terminierung, WAAP-Prüfung, modernes SSO und Observability — ohne eine einzige Codezeile anzufassen.