Network Security¶

Die ayedo Kubernetes Distribution implementiert umfassende Netzwerksicherheit via Cilium.

Network Policies¶

Default Deny¶

Empfohlene Strategie: Default Deny All, explizites Whitelisting

apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
  name: default-deny-all
spec:
  podSelector: {}
  policyTypes:
  - Ingress
  - Egress

Mikrosegmentierung¶

• L3/L4 Policies: IP-basierte Filterung
• L7 Policies: HTTP/gRPC-basierte Filterung
• DNS Policies: FQDN-basierte Filterung
• Identity-based: SPIFFE/SPIRE Integration

Cilium eBPF¶

eBPF ermöglicht hochperformante Netzwerksicherheit im Kernel:

• Zero-Overhead: Minimale Performance-Einbußen
• Real-time: Sofortige Policy-Enforcement
• Observability: Vollständige Netzwerk-Flows

Firewall¶

Ingress Filtering¶

• Perimeter Firewall: Cloud-Provider-Firewall oder on-prem
• Ingress Controller: HAProxy oder NGINX mit WAF
• DDoS Protection: Rate Limiting

Egress Filtering¶

• Whitelist: Nur erlaubte externe Verbindungen
• DNS Filtering: Blockierung verdächtiger Domains
• Proxy: Optional HTTP/HTTPS Proxy für Egress

Encryption¶

• TLS 1.3: Alle Ingress-Verbindungen
• mTLS: Optional Service-to-Service
• WireGuard: Node-to-Node Encryption (optional)

Segmentation¶

Namespace Isolation¶

• Kubernetes Namespaces: Logische Trennung
• Network Policies: Namespace-übergreifend blocked
• RBAC: Namespace-spezifische Berechtigungen

Multi-Tenancy¶

• Tenant Separation: Via Namespaces
• Network Isolation: Strict Network Policies
• Resource Quotas: CPU/Memory Limits pro Tenant

Compliance¶

• ISO 27001 A.8.20, A.8.21, A.8.22: Network Security
• NIS2 Art. 21(2)(j): Secured Communications
• BSI IT-Grundschutz APP.4.4.A3: Netzwerksegmentierung

Weitere Informationen¶

• Cilium
• Network Policies

Support¶

• E-Mail: security@ayedo.de