Compliance & Sicherheit¶

Die ayedo Kubernetes Distribution wurde von Grund auf mit Fokus auf Sicherheit und Compliance für europäische Unternehmen und öffentliche Einrichtungen entwickelt. Diese Dokumentation hilft CISOs, Datenschutzbeauftragten und Compliance-Verantwortlichen dabei, die Einhaltung relevanter Standards und Vorschriften nachzuweisen.

Überblick¶

Die Plattform wurde unter Berücksichtigung folgender Regularien und Best Practices entwickelt:

• GDPR/DSGVO - Datenschutz-Grundverordnung
• BSI IT-Grundschutz - Deutscher Informationssicherheitsstandard
• NIS2 - EU-Richtlinie zur Netzwerk- und Informationssicherheit
• ISO 27001 - Internationaler Standard für Informationssicherheits-Managementsysteme
• NIST - US-amerikanische Sicherheitsstandards
• CRA - Cyber Resilience Act (kommend)

Architektur und Security-Best-Practices¶

Die ayedo Kubernetes Distribution basiert auf etablierten Sicherheitsprinzipien:

Defense in Depth¶

Mehrschichtige Sicherheitsmaßnahmen auf verschiedenen Ebenen:

1. Infrastruktur-Ebene: Verschlüsselung, Netzwerksegmentierung, sichere Datenzentren
2. Plattform-Ebene: RBAC, Network Policies, Pod Security Standards
3. Anwendungs-Ebene: Image Scanning, Security Policies, Secrets Management
4. Operations-Ebene: Audit Logging, Monitoring, Incident Response

Zero Trust Architecture¶

• Keine impliziten Vertrauensbeziehungen
• Authentifizierung und Autorisierung auf allen Ebenen
• Mikrosegmentierung via Network Policies
• Kontinuierliche Verifizierung

Least Privilege¶

• Minimale Berechtigungen für alle Komponenten
• Rollenbasierte Zugriffskontrolle (RBAC)
• Service Accounts mit eingeschränkten Rechten
• Namespace-Isolation für Mandantentrennung

Europäische Rechenzentren¶

Alle ayedo Kubernetes Cluster werden ausschließlich in europäischen Rechenzentren betrieben:

• Deutschland: Frankfurt, Falkenstein, Nürnberg
• Finnland: Helsinki
• Weitere EU-Standorte auf Anfrage

Keine Datenübertragung in Drittstaaten außerhalb der EU/EEA.

Datenschutz (GDPR/DSGVO)¶

Die Plattform unterstützt Sie bei der Einhaltung der Datenschutz-Grundverordnung:

• Art. 32 GDPR - Sicherheit der Verarbeitung
• Art. 28 GDPR - Auftragsverarbeiter
• Art. 17 GDPR - Recht auf Löschung

Detaillierte Informationen: GDPR/DSGVO

BSI IT-Grundschutz¶

Der deutsche IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) bietet ein strukturiertes Framework für Informationssicherheit.

Relevante Bausteine:

• APP.4.4 - Kubernetes: Spezifische Anforderungen für Kubernetes-Cluster
• SYS.1.6 - Containerisierung: Allgemeine Container-Sicherheit
• NET.3.2 - Firewall: Netzwerksegmentierung und Firewall-Regeln

Die ayedo Kubernetes Distribution unterstützt die Umsetzung dieser Anforderungen durch technische und organisatorische Maßnahmen.

Detaillierte Informationen: BSI IT-Grundschutz

NIS2-Richtlinie¶

Die NIS2-Richtlinie (Network and Information Security Directive 2) verpflichtet Betreiber kritischer Infrastrukturen und wichtiger Dienste zu erhöhten Cybersecurity-Maßnahmen.

Relevante Bereiche:

• Risikomanagement: Kontinuierliche Bewertung und Minimierung von Risiken
• Incident Handling: Prozesse zur Erkennung und Behandlung von Sicherheitsvorfällen
• Business Continuity: Backup, Disaster Recovery, Hochverfügbarkeit
• Security Monitoring: 24/7 Überwachung und Alerting

Detaillierte Informationen: NIS2

ISO 27001¶

ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS).

Die Plattform unterstützt folgende ISO 27001 Annex A Controls:

• A.5.34 - Privacy and Protection of PII
• A.8.1 - User endpoint devices
• A.8.2 - Privileged access rights
• A.8.3 - Information access restriction
• und weitere...

Detaillierte Informationen: ISO 27001

Technische Sicherheitsmaßnahmen¶

Audit Logging¶

Vollständige Protokollierung aller sicherheitsrelevanten Ereignisse:

• Kubernetes Audit Logs: Alle API-Zugriffe
• System Logs: OS-Level Events
• Application Logs: Anwendungs-spezifische Ereignisse
• Tamper-Proof: Logs werden in separatem Cluster gespeichert

Vulnerability Management¶

Kontinuierliches Scanning auf Schwachstellen:

• Image Scanning: Automatisches Scannen aller Container Images
• Runtime Scanning: Erkennung von Schwachstellen in laufenden Containern
• Patch Management: Automatische Security Updates
• CVE Tracking: Nachverfolgung bekannter Schwachstellen

Network Security¶

Umfassende Netzwerksicherheit:

• Network Policies: Mikrosegmentierung auf L3/L4 und L7
• Encrypted Traffic: mTLS für Service-to-Service-Kommunikation
• Firewall: Perimeter-Firewall und Host-basierte Firewalls
• DDoS Protection: Schutz vor Distributed Denial of Service

Cryptography¶

Verschlüsselung auf allen Ebenen:

• Data at Rest: Verschlüsselung aller Persistent Volumes
• Data in Transit: TLS 1.3 für alle Verbindungen
• Secrets: Verschlüsselte Speicherung in HashiCorp Vault
• Certificate Management: Automatisierte PKI

Backup & Recovery¶

Umfassende Backup-Strategie:

• Automated Backups: Täglich automatische Backups via Velero
• Offsite Storage: Backups in geografisch getrennten Rechenzentren
• Encryption: Verschlüsselte Backup-Speicherung
• Retention: Konfigurierbare Aufbewahrungsfristen
• Tested Recovery: Regelmäßige Tests der Wiederherstellung

Intrusion Detection¶

Erkennung von Angriffen und Anomalien:

• Falco: Runtime Security Monitoring
• Cilium Network Observability: Netzwerk-basierte Angriffserkennung
• Alert Rules: Automatisches Alerting bei verdächtigen Aktivitäten

Policy as Code¶

Durchsetzung von Sicherheitsrichtlinien:

• Kyverno: Policy Engine mit umfangreichen Pre-defined Policies und YAML-basierter Konfiguration
• Pod Security Standards: Enforcement von Security Contexts

Organisatorische Maßnahmen¶

24/7 Monitoring¶

• Proaktives Monitoring: Kontinuierliche Überwachung aller Systeme
• On-Call Team: Bereitschaftsdienst rund um die Uhr
• Incident Response: Definierte Prozesse für Sicherheitsvorfälle
• Escalation: Klare Eskalationswege bei kritischen Vorfällen

Security Updates¶

• Automated Patching: Automatische Security Patches für Betriebssystem
• Kubernetes Updates: Regelmäßige Updates der Control Plane
• Component Updates: Wartung aller Plattform-Komponenten
• Communication: Transparente Kommunikation über Changes

Kapazitätsplanung¶

• Resource Monitoring: Überwachung der Cluster-Auslastung
• Auto-Scaling: Automatische Skalierung bei Bedarf
• Capacity Planning: Proaktive Planung des Ressourcenbedarfs

Dokumentation für Auditoren¶

Diese Dokumentation ist speziell für CISOs, DPOs und Auditoren konzipiert und beschreibt:

1. Wie die Plattform Controls unterstützt: Technische Implementierungsdetails
2. Was außerhalb des Scopes liegt: Anforderungen an Infrastruktur oder Anwendungen
3. Wie Compliance nachgewiesen werden kann: Audit-Trails und Nachweisdokumentation

Weitere Ressourcen¶

Für CISOs und Sicherheitsverantwortliche¶

• BSI IT-Grundschutz
• ISO 27001
• NIS2
• Vulnerability Management
• Intrusion Detection

Für Datenschutzbeauftragte (DPO)¶

• GDPR/DSGVO
• Audit Logs
• Backup und Disaster Recovery

Für Compliance-Verantwortliche¶

• Compliance FAQ

Support¶

Bei Fragen zur Compliance-Dokumentation oder für individuelle Compliance-Anforderungen kontaktieren Sie uns:

• E-Mail: security@ayedo.de
• Support: ayedo.de/support