Security – Definition

Was ist Security im WAF++-Kontext?

Cloud Security im WAF++ bezeichnet den Zustand, in dem eine Organisation nachweisbare, technisch erzwingbare Schutzmaßnahmen für ihre Cloud-Infrastruktur implementiert hat:

Cloud Security = Schutz über alle Dimensionen:
  ├── Identity & Access Management (wer darf was?)
  ├── Verschlüsselung (Daten at rest & in transit)
  ├── Netzwerksicherheit (Segmentierung, Egress-Kontrolle)
  ├── Secrets-Management (keine hardcodierten Credentials)
  ├── Vulnerability Management (Patches, Container-Scanning)
  ├── Security Monitoring (Erkennung von Angriffen)
  └── Incident Response (Reaktion auf Vorfälle)

Security ist nicht gleichzusetzen mit:

Einem ausgefüllten Compliance-Fragebogen ohne technische Umsetzung
Einem einmaligen Penetrationstest ohne anschließende Remediation
Einer Firewall als einziger Schutzmaßnahme (Perimeter-Modell)
Der Annahme, der Cloud-Anbieter erledige Security vollständig (Shared Responsibility!)

Security vs. Compliance

Eine häufige Verwechslung: Compliance ist nicht Security, und Security ist nicht Compliance.

	Security	Compliance
Ziel	Schutz vor tatsächlichen Bedrohungen	Erfüllung regulatorischer Anforderungen
Maßstab	Effektivität der Schutzmaßnahmen	Konformität mit Normen und Gesetzen
Ansatz	Risikobasiert, adaptiv	Regelbasiert, dokumentiert
Messung	MTTD, MTTR, Vulnerability Density, Patch Compliance	Audit-Ergebnisse, Zertifikate, Nachweise
Verhältnis	Security kann Compliance als Nebenprodukt erzeugen	Compliance ohne Security schützt nicht

Security

Compliance

Ziel

Schutz vor tatsächlichen Bedrohungen

Erfüllung regulatorischer Anforderungen

Maßstab

Effektivität der Schutzmaßnahmen

Konformität mit Normen und Gesetzen

Ansatz

Risikobasiert, adaptiv

Regelbasiert, dokumentiert

Messung

MTTD, MTTR, Vulnerability Density, Patch Compliance

Audit-Ergebnisse, Zertifikate, Nachweise

Verhältnis

Security kann Compliance als Nebenprodukt erzeugen

Compliance ohne Security schützt nicht

WAF++ verfolgt einen Security-First-Ansatz: Controls sind primär nach Schutzwirkung ausgewählt, nicht nach Audit-Kompatibilität. Regulatorische Mappings (ISO 27001, BSI C5, DSGVO) sind Sekundärattribute der Controls.

Eine Organisation, die alle WAF-SEC Controls vollständig umsetzt, erfüllt automatisch große Teile der Anforderungen aus ISO 27001:2022, BSI C5:2020 und DSGVO Art. 32.

Das WAF++ Security-Spektrum

Security ist kein Binärzustand. Sie existiert auf einem Spektrum von reaktiv bis proaktiv:

Stufe	Bezeichnung	Merkmale
Reaktiv	Ad-hoc Security	Security wird erst nach Incidents verbessert. Keine systematischen Controls. Kein Monitoring. Manuelle Prozesse. Keine Trennung von Berechtigungen. Passwörter in Plaintext.
Grundschutz	Dokumentiert & Definiert	Security-Richtlinien existieren und sind dokumentiert. Grundlegende Verschlüsselung aktiv. MFA für Admins. Aber: kaum automatisierte Prüfung, keine kontinuierliche Überwachung.
Durchgesetzt	Enforced & Monitored	Security-Controls technisch erzwungen (IaC Validation, CI-Gates). Monitoring aktiv. CMK für sensitive Daten. Least Privilege durchgesetzt. Vulnerability Scans automatisiert.
Gemessen	Measured & Automated	Security-Metriken kontinuierlich erfasst. Automatisierte Threat Detection. SIEM im Einsatz. Policy-as-Code im CI/CD. Incident Response Playbooks getestet.
Proaktiv	Optimized & Continuously Improved	Threat Modeling für neue Features. Auto-Remediation bei Findings. Red-Team-Übungen. Zero Trust vollständig implementiert. Continuous Compliance Evidence Pipeline.

Stufe

Bezeichnung

Merkmale

Reaktiv

Ad-hoc Security

Security wird erst nach Incidents verbessert. Keine systematischen Controls. Kein Monitoring. Manuelle Prozesse. Keine Trennung von Berechtigungen. Passwörter in Plaintext.

Grundschutz

Dokumentiert & Definiert

Security-Richtlinien existieren und sind dokumentiert. Grundlegende Verschlüsselung aktiv. MFA für Admins. Aber: kaum automatisierte Prüfung, keine kontinuierliche Überwachung.

Durchgesetzt

Enforced & Monitored

Security-Controls technisch erzwungen (IaC Validation, CI-Gates). Monitoring aktiv. CMK für sensitive Daten. Least Privilege durchgesetzt. Vulnerability Scans automatisiert.

Gemessen

Measured & Automated

Security-Metriken kontinuierlich erfasst. Automatisierte Threat Detection. SIEM im Einsatz. Policy-as-Code im CI/CD. Incident Response Playbooks getestet.

Proaktiv

Optimized & Continuously Improved

Threat Modeling für neue Features. Auto-Remediation bei Findings. Red-Team-Übungen. Zero Trust vollständig implementiert. Continuous Compliance Evidence Pipeline.

Die sechs Security-Kerndomänen

1. Identity & Access Management (IAM)

IAM ist die Grundlage jeder Cloud-Security. Wer sich ohne Authentifizierung oder mit übermäßigen Berechtigungen Zugang verschafft, kann alle anderen Kontrollen aushebeln.

WAF++ adressiert IAM mit zwei dedizierten Controls:

WAF-SEC-010 – Baseline: MFA, keine Root-Nutzung, IAM-Passwort-Policy
WAF-SEC-020 – Least Privilege: keine Wildcard-Policies, RBAC, JIT-Zugriff

2. Verschlüsselung

Verschlüsselung schützt Daten, selbst wenn Zugangskontrollen versagen. WAF++ unterscheidet:

Encryption at Rest (WAF-SEC-030): CMK für sensitive Daten, KMS-Rotation, keine unverschlüsselten Volumes oder Datenbanken
Encryption in Transit (WAF-SEC-040): TLS 1.2+, keine veralteten Protokolle, Zertifikatsverwaltung

3. Netzwerksicherheit

Netzwerksegmentierung begrenzt die laterale Bewegung von Angreifern. WAF++ fordert:

Private-by-Default VPC-Design
Granulare Security Groups (kein 0.0.0.0/0)
NACLs als zweite Verteidigungsschicht
VPC Endpoints statt öffentlicher Internet-Routen für Cloud-Services

WAF-SEC-050 operationalisiert diese Anforderungen.

4. Secrets-Management

Hardcodierte Credentials in IaC-Code, Container-Images oder CI/CD-Pipelines sind eine der häufigsten Angriffsquellen. WAF-SEC-060 fordert:

Keine Secrets in Terraform-Code, ENV-Variablen oder Git-Repositories
Secrets-Rotation (automatisch wo möglich)
Verwendung von AWS Secrets Manager, Parameter Store oder Vault

5. Vulnerability Management

Ungepatchte Software ist Einladung für Angreifer. WAF-SEC-070 definiert:

Container-Image-Scanning (ECR, Trivy, Grype)
Patch-SLAs nach CVSS-Score
SBOM-Generierung für auditierbare Nachvollziehbarkeit

6. Monitoring, Policy-as-Code & Incident Response

Security-Monitoring erkennt Angriffe, die alle anderen Controls überwunden haben. Drei Controls decken diese Domäne ab:

WAF-SEC-080 – Threat Detection: GuardDuty, CloudTrail, SIEM
WAF-SEC-090 – Policy-as-Code: OPA, wafpass im CI/CD
WAF-SEC-100 – Incident Response: Playbooks, Runbooks, Übungen

Bezug zu anderen WAF++-Säulen

Security ──────────────── liefert: IAM, Encryption, Network Controls, Monitoring
Sovereign ──────────────── erweitert: Jurisdiktion, Schlüsselbesitz, Exit-Fähigkeit
Governance ─────────────── rahmt: Policy-Entscheidungen, Auditprozesse, Verantwortlichkeiten
Operations ─────────────── integriert: Monitoring-Stack, Incident Management, Change-Prozesse
Reliability ────────────── verknüpft: Backup-Security, Recovery-Validierung
Cost ────────────────────── nutzt: Security-Guardrails für Budget-Schutz (kein unautorisiertes Deployment)

Security liefert die technischen Schutzmaßnahmen. Sovereign erweitert Security um jurisdiktionelle Anforderungen. Governance steuert Security über Policies und Prozesse.

Zielbild

Eine security-reife Plattform (Level 4-5) zeichnet sich aus durch:

Alle privilegierten Zugriffe sind minimal, zeitgebunden, MFA-geschützt und vollständig geloggt
Alle sensitive Daten sind mit CMK verschlüsselt, Schlüssel rotieren automatisch
Keine hardcodierten Secrets in Code, IaC oder CI/CD
Security Groups erlauben nur explizit freigegebenen Traffic
Container-Images werden vor dem Deployment auf CVEs geprüft
Security-Findings triggern automatisch Alerts und Remediation-Workflows
Incident Response Playbooks sind getestet und regelmäßig geübt

Das Zielbild ist reifegradabhängig. Nicht jede Organisation benötigt sofort Level 5. Beginne mit dem Kritischsten: IAM-Baseline (WAF-SEC-010) und Least Privilege (WAF-SEC-020).