Security (Säule: Security)
Die Säule Security des WAF++ definiert Anforderungen, Prinzipien und messbare Controls, um Cloud-Infrastruktur vor Bedrohungen zu schützen, Angriffsflächen systematisch zu reduzieren und Sicherheitsvorfälle nachweisbar zu erkennen und zu behandeln.
Security ist nicht optional. Sie ist die Grundvoraussetzung jeder produktionsfähigen Cloud-Plattform.
Was deckt die Security-Säule ab?
Die Security-Säule des WAF++ operationalisiert sechs Kerndomänen der Cloud-Sicherheit:
| Domäne | Was wird kontrolliert? | WAF-SEC Controls |
|---|---|---|
Identity & Access Management |
Wer darf was tun? Rollen, MFA, Least Privilege, Service-Accounts. |
WAF-SEC-010, WAF-SEC-020 |
Verschlüsselung |
Sind Daten at rest und in transit geschützt? CMK, TLS, KMS-Rotation. |
WAF-SEC-030, WAF-SEC-040 |
Netzwerksicherheit |
Segmentierung, Security Groups, NACLs, VPC-Design. |
WAF-SEC-050 |
Secrets-Management |
Keine hardcodierten Credentials. Rotation, Dynamic Secrets. |
WAF-SEC-060 |
Vulnerability Management |
Container-Scanning, Patch-SLAs, SBOM, Dependency-Scanning. |
WAF-SEC-070 |
Monitoring & Incident Response |
Threat Detection, Security Events, Policy-as-Code, Incident Readiness. |
WAF-SEC-080, WAF-SEC-090, WAF-SEC-100 |
Warum ist Security eine eigenständige Säule?
Security ist querschnittlich: Sie betrifft alle anderen Säulen. Dennoch ist sie eine eigenständige Disziplin, weil:
-
Sie spezifische technische Controls erfordert, die keine andere Säule vollständig abdeckt
-
Sie messbar und automatisiert prüfbar sein muss – nicht nur dokumentiert
-
Sie regulatorische Anforderungen hat (ISO 27001, BSI C5, DSGVO) mit konkreten Nachweispflichten
-
Security-Schwachstellen haben unmittelbare operative Konsequenzen – anders als rein strategische Pillar-Themen
| Security ohne technische Durchsetzbarkeit ist eine Richtlinie, keine Kontrolle. Policies in Confluence schützen keine Produktionssysteme. |
Abgrenzung zu anderen Säulen
-
Sovereign adressiert: Jurisdiktionskontrolle, Datensouveränität, Exit-Fähigkeit, Schlüsselbesitz.
-
Governance adressiert: Policies, Entscheidungsprozesse, Compliance-Rahmen, Auditprozesse.
-
Operations adressiert: Change Management, Observability, Runbooks, Monitoring-Infrastruktur.
-
Security adressiert: Angriffsschutz, Zugangskontrolle, Verschlüsselung, Schwachstellen-Management, Incident Detection.
Die Security-Säule liefert die technischen Sicherheitskontrollen, auf denen Sovereign und Governance aufbauen.
Schnellübersicht: 10 WAF-SEC Controls
| Control ID | Titel | Severity | Kategorie |
|---|---|---|---|
Identity & Access Management Baseline |
Kritisch |
IAM |
|
Least Privilege & RBAC Enforcement |
Kritisch |
IAM |
|
Encryption at Rest with CMK |
Hoch |
Verschlüsselung |
|
Encryption in Transit – TLS Enforcement |
Hoch |
Verschlüsselung |
|
Network Segmentation & Security Group Hardening |
Hoch |
Netzwerksicherheit |
|
Secrets Management – No Hardcoded Credentials |
Kritisch |
Secrets |
|
Vulnerability & Patch Management |
Mittel |
Vulnerability Management |
|
Security Monitoring & Threat Detection |
Hoch |
Monitoring |
|
Policy-as-Code & Compliance Automation |
Mittel |
Compliance |
|
Incident Response Readiness |
Mittel |
Incident Response |
Kennzahlen auf einen Blick
| Kennzahl | Wert |
|---|---|
Controls gesamt |
10 (WAF-SEC-010 bis WAF-SEC-100) |
Kritische Controls |
3 (WAF-SEC-010, WAF-SEC-020, WAF-SEC-060) |
Best Practices |
7 |
Reifegrade |
5 (Level 1 Ad-hoc bis Level 5 Optimized) |
Regulatorische Mappings |
ISO 27001:2022, BSI C5:2020, DSGVO, SOC 2 Type II, NIST CSF |
Automatisierungsgrad |
Hoch (7 von 10 Controls vollständig automatisierbar) |
Navigationsübersicht
| Seite | Inhalt |
|---|---|
Was Security im WAF++-Kontext bedeutet; Security vs. Compliance; Security-Spektrum |
|
Was in Scope ist (IaC, CI/CD, Container); was nicht (OWASP Top 10, physische Sicherheit) |
|
7 Grundprinzipien (SP-1 bis SP-7): Security by Design, Least Privilege, Zero Trust … |
|
Technische Architekturprinzipien: Netzwerk, IAM, Verschlüsselung, Secrets, Logging, Container |
|
Shared Responsibility Model; Platform- vs. Dev- vs. Security-Team; Security as Code |
|
6 bewährte Sicherheitsarchitekturpatterns mit Implementierungshinweisen |
|
Alle 10 WAF-SEC Controls im Überblick mit Severity, Kategorie und Verlinkung |
|
5-stufiges Maturity-Modell mit Assessment-Checklisten und Organisationsprofilen |
|
Welche Evidenz für welchen Control; Audit-Checkliste; Retention-Perioden |
|
20+ Sicherheitsbegriffe aus dem WAF++-Kontext |
|
7 konkrete Best Practices mit Terraform-Beispielen und Anti-Patterns |
Erste Schritte
Neu in der Security-Säule? Empfohlene Lesereihenfolge:
-
Definition – Was ist Security im WAF++-Kontext?
-
Geltungsbereich – Was ist im Scope, was nicht?
-
Security-Prinzipien – 7 Grundprinzipien verstehen
-
WAF-SEC-010 – Identity & Access Management Baseline implementieren
-
WAF-SEC-020 – Least Privilege & RBAC einführen
-
Reifegrad-Modell – Standortbestimmung: Wo steht meine Organisation?
-
Best Practices – Konkrete Implementierungsanleitungen
| Beginne mit WAF-SEC-010 und WAF-SEC-020. Ohne eine solide IAM-Basis sind alle anderen Security-Controls wirkungslos. Ein Angreifer mit Admin-Zugriff kann alle anderen Controls deaktivieren. |
| Die Security-Säule setzt auf Infrastructure-as-Code. Alle Controls sind auf IaC-verwaltete Infrastruktur ausgerichtet. Manuell erstellte Ressourcen sind per Definition nicht compliant. |