ISO 27001 - Informationssicherheits-Managementsystem¶

ISO/IEC 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme (ISMS). Er bietet einen systematischen Ansatz zur Verwaltung sensibler Unternehmensinformationen, sodass diese sicher bleiben.

Überblick¶

ISO 27001 spezifiziert die Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheits-Managementsystems (ISMS).

Die ayedo Kubernetes Distribution wurde mit Blick auf ISO 27001-Konformität entwickelt und implementiert zahlreiche technische Controls aus Annex A.

ISO 27001:2022 Annex A Controls¶

Die 2022er-Version von ISO 27001 enthält 93 Controls in Annex A, gruppiert in vier Kategorien:

• Organizational Controls (37 Controls)
• People Controls (8 Controls)
• Physical Controls (14 Controls)
• Technological Controls (34 Controls)

Die ayedo Kubernetes Distribution unterstützt primär die Technological Controls und einige Organizational Controls.

Relevante Controls für die Plattform¶

A.5.34 - Privacy and Protection of PII¶

Persönliche Informationen und Datenschutz

Die Plattform unterstützt GDPR-Compliance (siehe GDPR-Dokumentation):

• Verschlüsselung personenbezogener Daten
• Zugriffskontrolle via RBAC
• Audit Logging aller Zugriffe
• Recht auf Löschung (GDPR Art. 17)

Dokumentation: GDPR

A.8.1 - User Endpoint Devices¶

Verwaltung von Endgeräten

• Zugriffskontrollen via RBAC
• Zertifikat-basierte Authentifizierung
• Network Policies zur Segmentierung

A.8.2 - Privileged Access Rights¶

Privilegierte Zugriffsrechte

• Least Privilege: Minimale Berechtigungen für alle ServiceAccounts
• Just-in-Time Access: Temporäre Berechtigungen über Vault
• Audit Logging: Vollständige Protokollierung privilegierter Zugriffe
• MFA: Multi-Factor Authentication für Admin-Zugriff

Dokumentation:

• Platform Features - IAM
• Compliance - Audit Logs

A.8.3 - Information Access Restriction¶

Zugriffsbeschränkungen

• RBAC: Kubernetes Role-Based Access Control
• Network Policies: L3/L4/L7-basierte Segmentierung
• Namespace Isolation: Mandantentrennung
• Secrets Management: Verschlüsselte Speicherung in Vault

Dokumentation:

• Platform Features - Networking

A.8.4 - Access to Source Code¶

Zugriff auf Quellcode

• GitLab: Self-hosted Git mit RBAC
• Code Review: Merge Request Workflows
• Branch Protection: Schutz von Production Branches
• Audit Trail: Git History als Audit Log

Dokumentation:

• GitLab auf ayedo.de

A.8.5 - Secure Authentication¶

Sichere Authentifizierung

• OIDC/SAML: Integration mit Enterprise Identity Providern
• MFA: Multi-Factor Authentication
• Strong Password Policies: Erzwingung sicherer Passwörter
• Session Management: Sichere Session-Verwaltung

Dokumentation:

• Keycloak auf ayedo.de

A.8.6 - Kapazitätsplanung¶

Kapazitätsmanagement

• Resource Monitoring: VictoriaMetrics für Metriken
• Auto-Scaling: HPA und Cluster Autoscaler
• Capacity Planning: Proaktive Ressourcenplanung
• Alerting: Benachrichtigung bei Ressourcenengpässen

Dokumentation:

• Platform Features - Monitoring
• Compliance - Kapazitätsplanung

A.8.7 - Protection Against Malware¶

Malware-Schutz

• Image Scanning: Vulnerability Scanning in Harbor
• Runtime Protection: Falco für anomalous behavior
• Admission Control: Verbot vulnerabler Images
• Regular Updates: Automatische Security Patches

Dokumentation:

• Compliance - Vulnerability Management
• Platform Features - Harbor

A.8.8 - Management of Technical Vulnerabilities¶

Management technischer Schwachstellen

• Continuous Scanning: Automatisches Vulnerability Scanning
• Patch Management: Regelmäßige Security Updates
• CVE Tracking: Nachverfolgung bekannter Schwachstellen
• Remediation: Prozesse zur Behebung

Dokumentation:

• Compliance - Vulnerability Management

A.8.9 - Configuration Management¶

Konfigurationsmanagement

• Infrastructure as Code: Polycrate für deklarative Konfiguration
• GitOps: Flux/ArgoCD für Git-basiertes Deployment
• Version Control: Git für alle Konfigurationen
• Change Tracking: Audit Trail aller Änderungen

Dokumentation:

• Polycrate Dokumentation
• Platform Features - GitOps

A.8.10 - Information Deletion¶

Löschung von Informationen

• PVC Deletion: Sichere Löschung von Persistent Volumes
• Backup Deletion: Prozesse zur Löschung in Backups
• Audit Trail: Protokollierung aller Lösch-Operationen
• GDPR Art. 17: Support für Recht auf Löschung

Dokumentation:

• GDPR - Art. 17

A.8.11 - Data Masking¶

Datenmaskierung

Verantwortung: Application Developer

Datenmaskierung muss auf Anwendungsebene implementiert werden. Die Plattform bietet:

• Secrets Management zur Speicherung von Masking-Keys
• Network Isolation zur Trennung von Produktions- und Test-Daten

A.8.12 - Data Leakage Prevention¶

Verhinderung von Datenlecks

• Network Policies: Egress-Filterung
• Secrets Management: Sichere Credential-Verwaltung
• Audit Logs: Erkennung verdächtiger Zugriffsmuster
• RBAC: Granulare Zugriffskontrollen

A.8.13 - Information Backup¶

Informationssicherung

• Velero: Automatisierte Backups
• Offsite Storage: Geografisch getrennte Speicherung
• Encrypted Backups: Verschlüsselte Backup-Speicherung
• Tested Recovery: Regelmäßige Recovery-Tests

Dokumentation:

• Compliance - Backup
• Platform Features - Backup

A.8.14 - Redundancy of Information Processing Facilities¶

Redundanz

• Multi-Node Control Plane: HA für Kubernetes
• Distributed Storage: Ceph/Rook für redundanten Storage
• Multi-AZ: Deployment über mehrere Availability Zones
• Load Balancing: Hochverfügbare Load Balancer

A.8.15 - Logging¶

Protokollierung

• Kubernetes Audit Logs: Alle API-Zugriffe
• Application Logs: Container stdout/stderr
• System Logs: OS-Level Events
• Centralized: VictoriaLogs für zentrale Log-Speicherung
• Tamper-Proof: Logs in separatem System

Dokumentation:

• Compliance - Audit Logs

A.8.16 - Monitoring Activities¶

Überwachung von Aktivitäten

• 24/7 Monitoring: VictoriaMetrics & Grafana
• Alerting: Automatische Benachrichtigungen
• Anomaly Detection: Falco für anomalous behavior
• Network Monitoring: Cilium Observability

Dokumentation:

• Platform Features - Monitoring

A.8.17 - Clock Synchronization¶

Zeitsynchronisation

• NTP: Network Time Protocol auf allen Nodes
• Synchronized Logs: Präzise Zeitstempel in allen Logs
• Audit Trail: Korrekte zeitliche Reihenfolge

A.8.18 - Use of Privileged Utility Programs¶

Verwendung privilegierter Programme

• Pod Security: Verbot privilegierter Container via Policy
• Admission Control: Validierung aller Pod-Specs
• Audit Logging: Protokollierung privilegierter Operationen

Dokumentation:

• Platform Features - Policy Enforcement

A.8.19 - Installation of Software on Operational Systems¶

Software-Installation

• Immutable Infrastructure: Container Images als Deployment-Einheit
• Image Approval: Admission Control für signierte Images
• Version Control: Alle Changes via Git
• Audit Trail: Vollständige Nachvollziehbarkeit

A.8.20 - Networks Security¶

Netzwerksicherheit

• Network Policies: Mikrosegmentierung via Cilium
• Encryption: TLS 1.3 und mTLS
• Firewall: Perimeter und Host-based Firewalls
• DDoS Protection: Protection auf Infrastruktur-Ebene

Dokumentation:

• Compliance - Network Security
• Platform Features - Cilium

A.8.21 - Security of Network Services¶

Sicherheit von Netzwerkdiensten

• Service Mesh: Cilium für secured service-to-service
• mTLS: Automatische Verschlüsselung
• Network Policies: Zugriffskontrolle auf Service-Ebene

A.8.22 - Segregation of Networks¶

Netzwerksegmentierung

• Namespace Isolation: Logische Trennung
• Network Policies: Enforcement auf Netzwerk-Ebene
• Multi-Tenancy: Mandantentrennung

A.8.23 - Web Filtering¶

Web-Filterung

• Egress Filtering: Kontrolle ausgehender Verbindungen
• Network Policies: Whitelist-basierte Filterung
• DNS Filtering: Kontrolle von DNS-Auflösungen

A.8.24 - Use of Cryptography¶

Verwendung von Kryptographie

• TLS 1.3: Modernste Verschlüsselungsstandards
• Certificate Management: Automatisierte PKI via Cert-Manager
• Secrets Encryption: Vault für Secrets
• Disk Encryption: Full-Disk-Encryption (Infrastructure-Level)

Dokumentation:

• Compliance - Cryptography

A.8.25 - Secure Development Life Cycle¶

Sicherer Entwicklungszyklus

• Security by Design: Sicherheit von Anfang an
• Code Review: Peer Reviews für alle Changes
• Automated Testing: CI/CD mit Security Tests
• Image Scanning: Vulnerability Scanning vor Deployment

A.8.26 - Application Security Requirements¶

Anwendungssicherheit

Verantwortung: Application Developer

Die Plattform bietet Guardrails:

• Pod Security Standards
• Network Policies
• Secrets Management
• Security Scanning

A.8.27 - Secure System Architecture and Engineering Principles¶

Sichere Systemarchitektur

• Defense in Depth: Mehrschichtige Sicherheit
• Least Privilege: Minimale Berechtigungen
• Zero Trust: Keine impliziten Vertrauensbeziehungen
• Separation of Duties: Rollenbasierte Trennung

A.8.28 - Secure Coding¶

Sichere Programmierung

Verantwortung: Application Developer

ayedo kann Schulungen und Code Reviews anbieten.

A.8.29 - Security Testing in Development and Acceptance¶

Sicherheitstests

• Automated Security Scans: In CI/CD-Pipeline
• Penetration Tests: Regelmäßige externe Tests
• Vulnerability Assessments: Kontinuierliche Bewertung

A.8.30 - Outsourced Development¶

Ausgelagerte Entwicklung

• Code Review: Alle externen Beiträge werden geprüft
• Supply Chain Security: SBOM für alle Dependencies
• Security Scanning: Automatisches Scannen

Dokumentation:

• Compliance - SBOM

A.8.31 - Separation of Development, Test and Production Environments¶

Trennung von Umgebungen

• Namespace-basiert: Separate Namespaces/Cluster
• RBAC: Unterschiedliche Berechtigungen
• Network Policies: Isolation zwischen Umgebungen
• Separate Credentials: Vault für umgebungsspezifische Secrets

A.8.32 - Change Management¶

Änderungsmanagement

• GitOps: Alle Changes via Git
• Approval Workflows: Merge Request Reviews
• Automated Testing: Tests vor Produktions-Deployment
• Rollback: Einfaches Zurückrollen bei Problemen

A.8.33 - Test Information¶

Testinformationen

• Anonymisierung: Test-Daten sollten anonymisiert sein
• Separate Environments: Eigene Test-Cluster
• Data Masking: Support via Application-Level

A.8.34 - Protection of Information Systems During Audit Testing¶

Schutz während Audit-Tests

• Read-Only Access: Auditoren erhalten read-only Zugriff
• Separate Audit Logs: Tamper-proof Log-Speicherung
• Non-Intrusive: Monitoring ohne Performance-Impact

Compliance-Nachweis¶

Für ISO 27001-Audits bietet die ayedo Kubernetes Distribution:

• Umfassende Dokumentation: Alle Controls dokumentiert
• Audit Logs: Vollständige Nachvollziehbarkeit
• Policies: Technische Policies via OPA/Kyverno
• Penetration Test Reports: Auf Anfrage

Weiterführende Ressourcen¶

Offizielle Quellen¶

• ISO 27001:2022
• BSI - ISO 27001

ayedo-Dokumentation¶

• Compliance Übersicht
• BSI IT-Grundschutz
• GDPR
• NIS2

Support¶

Für Fragen zur ISO 27001-Compliance:

• E-Mail: security@ayedo.de
• Support: ayedo.de/support