Cryptography¶

Die ayedo Kubernetes Distribution setzt auf moderne Kryptographie für Datensicherheit auf allen Ebenen.

Encryption at Rest¶

Persistent Volumes¶

• Full Disk Encryption: LUKS auf Infrastructure-Level
• Storage Encryption: Native Encryption bei Ceph/Longhorn
• Encryption Algorithm: AES-256-GCM

Secrets¶

• Vault: AES-256 Encryption für alle Secrets
• Kubernetes Secrets: Optional encrypted at rest (via etcd encryption)
• Transit Encryption: TLS 1.3 bei Übertragung

Encryption in Transit¶

TLS 1.3¶

Alle Verbindungen nutzen TLS 1.3:

• Kubernetes API: Client-to-API-Server
• etcd: Peer-to-Peer und Client-to-Server
• Service-to-Service: Optional mTLS via Cilium

Minimum TLS Version¶

• Minimum: TLS 1.2 (nur für Legacy-Clients)
• Empfohlen: TLS 1.3
• Deprecated: TLS 1.0, TLS 1.1, SSL

Cipher Suites¶

Nur sichere Cipher Suites:

TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256

Certificate Management¶

Cert-Manager¶

Automatisierte Verwaltung von TLS-Zertifikaten:

• Let's Encrypt: Kostenlose öffentliche Zertifikate
• Private CA: Interne Certificate Authority
• Vault Integration: Dynamische Zertifikate
• Auto-Renewal: 30 Tage vor Ablauf

Certificate Lifetime¶

• Public Certificates: 90 Tage (Let's Encrypt)
• Internal Certificates: 365 Tage
• Client Certificates: 30 Tage

Mutual TLS (mTLS)¶

Optional für Service-to-Service-Kommunikation:

• Cilium Service Mesh: Automatisches mTLS
• Certificate Rotation: Automatische Erneuerung
• Identity Verification: Beide Seiten authentifizieren sich

Key Management¶

Vault¶

Zentrales Key Management via HashiCorp Vault:

• Key Generation: Sichere Schlüsselerzeugung
• Key Storage: Hardware Security Module (optional)
• Key Rotation: Automatische Rotation
• Key Audit: Vollständige Audit Logs

SSH Keys¶

• Individual Keys: Pro Administrator
• Key Storage: YubiKey (HSM) empfohlen
• Key Rotation: Jährlich oder bei Austritt
• Key Length: Minimum 4096 bit RSA oder Ed25519

Compliance¶

• ISO 27001 A.8.24: Use of Cryptography
• GDPR Art. 32(1)(a): Pseudonymisierung und Verschlüsselung
• BSI IT-Grundschutz APP.4.4.A17: Verschlüsselung

Weitere Informationen¶

• Cert-Manager
• Vault

Support¶

• E-Mail: security@ayedo.de