YAML Control Details (Sovereign)
Diese Seite dient als Übersicht der YAML-Kontrolldateien der Sovereign-Säule. Die YAML-Dateien enthalten maschinenlesbare Checks, die vom WAF++ Checker Tool direkt gegen Terraform-Code ausgeführt werden können.
Übersicht
| Control ID | Titel | Severity | Provider | Checks |
|---|---|---|---|---|
Data Residency Policy Defined |
High |
AWS, Azure, GCP |
4 |
|
Region Pinning Enforced (IaC) |
Critical |
AWS, Azure, GCP |
5 |
|
Backup Location & Retention Controlled |
High |
AWS, Azure |
6 |
|
Logging & Telemetry Residency Controlled |
High |
AWS |
5 |
|
Key Ownership & Management Defined |
Critical |
AWS, Azure |
6 |
|
Privileged Access Controlled (Separation of Duties) |
Critical |
AWS |
4 |
|
Break-Glass Process & Logging |
High |
AWS |
5 |
|
Dependency & Subprocessor Inventory |
Medium |
Any |
4 |
|
Controlled Egress & Data Exfiltration Guardrails |
High |
AWS, Azure |
5 |
|
Exit Plan & Portability Tested |
Medium |
AWS, Any |
5 |
Check-Operator Referenz
Die YAML-Controls nutzen folgende op-Werte in Assertions:
| Operator | Bedeutung |
|---|---|
|
Das Attribut existiert (nicht null/unset) |
|
Das Attribut ist nicht leer (kein leerer String) |
|
Wert entspricht genau dem |
|
Wert entspricht nicht dem |
|
Wert ist in der erlaubten Liste enthalten |
|
Wert ist nicht in der verbotenen Liste enthalten |
|
Boolescher Wert ist |
|
Boolescher Wert ist |
|
Numerischer Wert ist größer als |
|
Numerischer Wert ist größer oder gleich |
|
Numerischer Wert ist kleiner oder gleich |
|
Wert entspricht nicht dem regulären Ausdruck in |
|
Wert entspricht dem regulären Ausdruck in |
|
Dictionary/Map enthält den Schlüssel |
|
Ein Block dieses Typs existiert |
|
Es existiert eine andere Resource, die dieses Objekt referenziert |
|
JSON-String enthält kein Pattern (Regex-basiert) |
WAF-SOV-010 – Data Residency Policy Defined
Datei: controls/WAF-SOV-010.yml
Checks prüfen: Data-Residency-Tagging auf Ressourcen; explizite Region/Location-Attribute in Provider-Blöcken für AWS, Azure und GCP.
WAF-SOV-020 – Region Pinning Enforced (IaC)
Datei: controls/WAF-SOV-020.yml
Checks prüfen: Explizite Region in Provider-Blöcken; Validation-Blöcke in Region/Location-Variablen; keine hardkodierten non-sovereign Regionen.
WAF-SOV-030 – Backup Location & Retention Controlled
Datei: controls/WAF-SOV-030.yml
Checks prüfen: RDS/Aurora backup_retention_period >= 7; DynamoDB PITR aktiviert; Backup Vault in genehmigter Region; S3 Versioning für Backup-Buckets.
WAF-SOV-040 – Logging & Telemetry Residency Controlled
Datei: controls/WAF-SOV-040.yml
Checks prüfen: CloudTrail multi-region mit Log-File-Validation; CloudWatch Log Group Retention nicht 0 und >= 30 Tage; VPC Flow Logs für alle VPCs; CloudWatch-Integration.
WAF-SOV-050 – Key Ownership & Management Defined
Datei: controls/WAF-SOV-050.yml
Checks prüfen: KMS Key Rotation aktiviert; Deletion Window >= 14 Tage; S3 nutzt aws:kms (nicht AES256); EBS und RDS Storage verschlüsselt; Azure Key Vault mit Purge Protection.
WAF-SOV-060 – Privileged Access Controlled (Separation of Duties)
Datei: controls/WAF-SOV-060.yml
Checks prüfen: Keine IAM-Policy mit Action:* und Resource:* kombiniert; kein AdministratorAccess an normale Rollen; IAM Passwort-Policy konfiguriert; keine langlebigen Access Keys.
WAF-SOV-070 – Break-Glass Process & Logging
Datei: controls/WAF-SOV-070.yml
Checks prüfen: CloudTrail multi-region, log-validation, global events; CloudTrail S3 nicht öffentlich; CloudWatch Alarm für Root-Account-Aktivität; Alarm für IAM-Policy-Änderungen.
WAF-SOV-080 – Dependency & Subprocessor Inventory
Datei: controls/WAF-SOV-080.yml
Checks prüfen: Alle required_providers mit Version Constraint; required_version gesetzt; Module-Versionen gepinnt; keine unapproved Git-Module.