Intrusion Detection¶
Die ayedo Kubernetes Distribution implementiert mehrschichtige Intrusion Detection auf verschiedenen Ebenen.
Falco - Runtime Security¶
Falco ist die primäre Runtime Security Engine, die anomalous behavior in laufenden Containern erkennt.
Erkannte Bedrohungen¶
- Privilege Escalation: Versuche, Root-Rechte zu erlangen
- Unexpected System Calls: Ungewöhnliche Syscalls
- File Access: Zugriff auf sensible Dateien (/etc/shadow, SSH Keys)
- Network Activity: Verdächtige Netzwerkverbindungen
- Container Escapes: Versuche, aus Containern auszubrechen
Falco Rules¶
Vordefinierte und custom Rules:
- rule: Unexpected outbound connection
desc: Detect outbound connection to suspicious IP
condition: outbound and fd.sip in (suspicious_ips)
output: Suspicious outbound connection (ip=%fd.sip)
priority: WARNING
Cilium Network Observability¶
Cilium bietet Netzwerk-basierte Angriffserkennung:
- Network Flow Logs: Vollständige Netzwerk-Flows
- L7 Visibility: HTTP/gRPC-Traffic-Analyse
- DNS Monitoring: Verdächtige DNS-Anfragen
- Network Policies: Automatische Blockierung bei Verstößen
Anomaly Detection¶
VictoriaMetrics mit Alert Rules für Anomalien:
- Ungewöhnlich hohe API-Requests
- CPU/Memory Spikes
- Fehlerhafte Login-Versuche
- Ungewöhnliche Deployment-Patterns
Alert Workflow¶
- Detection: Falco/Cilium erkennt Anomalie
- Alert: Automatische Benachrichtigung an ayedo Security Team
- Analysis: Bewertung durch Security Experten (< 15 Min)
- Response: Incident Response Prozess
- Remediation: Behebung und Follow-up
24/7 Security Operations¶
ayedo bietet 24/7 Security Monitoring:
- On-Call Team: Rund-um-die-Uhr Bereitschaft
- Response Time: < 15 Minuten bei Critical Alerts
- Escalation: Definierte Eskalationswege
Compliance¶
- NIS2 Art. 21(2)(b): Incident Handling
- ISO 27001 A.8.16: Monitoring Activities
- BSI IT-Grundschutz APP.4.4.A19: Monitoring
Weitere Informationen¶
Support¶
- E-Mail: security@ayedo.de
- Emergency: 24/7 Hotline