WAF-SOV-040 – Logging & Telemetry Residency Controlled

Pillar: Sovereign | Severity: 🟠 High | Kategorie: Observability | Automatisierbar: Mittel

Beschreibung

Alle Observability-Daten – Logs, Traces und Metriken – MÜSSEN in genehmigten souveränen Regionen gespeichert werden. Exporte zu externen Plattformen (SaaS-Observability, SIEM) MÜSSEN explizit genehmigt, dokumentiert und technisch kontrolliert sein.

Log-Retention-Perioden MÜSSEN definiert und erzwungen werden. VPC Flow Logs MÜSSEN für alle Produktions-VPCs aktiviert sein, um forensische Rekonstruktion zu ermöglichen.

Rationale

Logs und Telemetrie enthalten häufig sensitive operative Daten: IP-Adressen, Request-Payloads, Nutzer-Identifier und Timing-Muster. Ein SIEM-Agent oder Log-Shipper, der zu einem nicht-souveränen Endpunkt sendet, exportiert diese Daten stillschweigend ausserhalb der Jurisdiktionsgrenzen.

CloudTrail und Audit-Logs enthalten spezifisch Informationen über privilegierte Aktionen, Schlüsselnutzung und Datenzugriffsmuster – ihre Residency ist eine direkte Compliance-Anforderung.

Bedrohungskontext

Risiko	Beschreibung
SaaS SIEM in US-Jurisdiktion	SIEM-Agent sendet Audit-Logs an US-basierten Dienst ohne rechtliche Grundlage.
CloudTrail-Replikation	CloudTrail S3-Bucket mit automatischer Cross-Region-Replikation in nicht-souveräne Region.
Log-Agent ohne Kontrolle	Datadog-, Splunk- oder Elastic-Agent schickt sensitive Telemetrie in nicht-genehmigte Ziele.
Deaktivierte Flow Logs	Kein VPC Flow Logging verhindert forensische Rekonstruktion bei Datenpanne.
Retention 0 (never expire)	Log-Groups ohne Retention-Policy verstoßen gegen DSGVO-Datenminimieriungspflicht.

Risiko

Beschreibung

SaaS SIEM in US-Jurisdiktion

SIEM-Agent sendet Audit-Logs an US-basierten Dienst ohne rechtliche Grundlage.

CloudTrail-Replikation

CloudTrail S3-Bucket mit automatischer Cross-Region-Replikation in nicht-souveräne Region.

Log-Agent ohne Kontrolle

Datadog-, Splunk- oder Elastic-Agent schickt sensitive Telemetrie in nicht-genehmigte Ziele.

Deaktivierte Flow Logs

Kein VPC Flow Logging verhindert forensische Rekonstruktion bei Datenpanne.

Retention 0 (never expire)

Log-Groups ohne Retention-Policy verstoßen gegen DSGVO-Datenminimieriungspflicht.

Regulatorisches Mapping

Framework	Controls
DSGVO	Art. 32 – Sicherheit der Verarbeitung; Art. 44–46 – Übermittlungen in Drittländer; Art. 5(1)(e) – Speicherbegrenzung
BSI C5:2020	LOG-01 – Protokollierung; LOG-02 – Schutz von Protokolldaten; OPS-04 – Datenverwaltung
EUCS (ENISA)	LOG-01 – Audit Logging; IVS-09 – Netzwerkprotokollierung
ISO 27001:2022	A.8.15 – Protokollierung; A.8.16 – Überwachungsaktivitäten

Framework

Controls

DSGVO

Art. 32 – Sicherheit der Verarbeitung; Art. 44–46 – Übermittlungen in Drittländer; Art. 5(1)(e) – Speicherbegrenzung

BSI C5:2020

LOG-01 – Protokollierung; LOG-02 – Schutz von Protokolldaten; OPS-04 – Datenverwaltung

EUCS (ENISA)

LOG-01 – Audit Logging; IVS-09 – Netzwerkprotokollierung

ISO 27001:2022

A.8.15 – Protokollierung; A.8.16 – Überwachungsaktivitäten

Anforderung

CloudTrail MUSS als Multi-Region-Trail mit Log-File-Validation konfiguriert sein
Alle CloudWatch Log Groups MÜSSEN eine retention_in_days > 0 und >= 30 gesetzt haben
VPC Flow Logs MÜSSEN für alle Produktions-VPCs aktiviert sein
Keine externen Log-Exporte ohne explizite Genehmigung und DPA-Absicherung
Audit- und Sicherheits-Log-Groups MÜSSEN mit CMK verschlüsselt sein

Implementierungsanleitung

CloudTrail konfigurieren: Multi-Region, Log-File-Validation, Global-Service-Events; S3-Bucket in genehmigter Region.
CloudWatch Log Group Retention setzen: Minimum 90 Tage für Audit-Logs, 30 Tage für Anwendungs-Logs.
VPC Flow Logs aktivieren: Für alle VPCs; S3-Destination in genehmigter Region oder CloudWatch mit Retention.
Log-Gruppen mit CMK verschlüsseln: Besonders Audit-, Security- und CloudTrail-Logs.
Externe Observability-Plattformen prüfen: DPA für jeden SaaS-Dienst; EU-Region des Dienstes verifizieren.
Log-Shipper-Konfiguration kontrollieren: Allow-List aller externen Destinations; Alerts auf neue Ziele.
Log-Gruppen taggen: data-class: audit, data-residency: eu-only für alle relevanten Gruppen.

Reifegrad-Abstufung

Level	Bezeichnung	Kriterien
1	Basis-Logging aktiviert, Residency unkontrolliert	CloudTrail aktiviert; Log-Standort nicht explizit validiert.
2	Log-Residency in IaC definiert	CloudTrail S3-Bucket in genehmigter Region; Log-Groups mit Retention; VPC Flow Logs für Prod-VPCs.
3	Alle Observability-Pipelines sovereign kontrolliert	Kein ungenehmigter externer Log-Export; DPA für Drittanbieter; automatisierte Checks für Log-Standorte.
4	Kontinuierliches Monitoring und Anomalie-Erkennung	Alerts auf neue ungeplante Log-Destinations; Log-Vollständigkeits-Monitoring; regelmäßiger Review aller aktiven Ziele.
5	Sovereign Observability-Platform mit vollständiger Evidence-Chain	Alle Telemetrie end-to-end innerhalb souveräner Grenzen; Log-Integritätsprüfung automatisiert; Forensik-Rekonstruktion quartalsweise getestet.

Level

Bezeichnung

Kriterien

Basis-Logging aktiviert, Residency unkontrolliert

CloudTrail aktiviert; Log-Standort nicht explizit validiert.

Log-Residency in IaC definiert

CloudTrail S3-Bucket in genehmigter Region; Log-Groups mit Retention; VPC Flow Logs für Prod-VPCs.

Alle Observability-Pipelines sovereign kontrolliert

Kein ungenehmigter externer Log-Export; DPA für Drittanbieter; automatisierte Checks für Log-Standorte.

Kontinuierliches Monitoring und Anomalie-Erkennung

Alerts auf neue ungeplante Log-Destinations; Log-Vollständigkeits-Monitoring; regelmäßiger Review aller aktiven Ziele.

Sovereign Observability-Platform mit vollständiger Evidence-Chain

Alle Telemetrie end-to-end innerhalb souveräner Grenzen; Log-Integritätsprüfung automatisiert; Forensik-Rekonstruktion quartalsweise getestet.

Terraform Checks

waf-sov-040.tf.aws.cloudtrail-multi-region

Prüft: CloudTrail muss Multi-Region mit Log-File-Validation und Global-Service-Events konfiguriert sein.

Compliant Non-Compliant

Compliant	Non-Compliant
`resource "aws_cloudtrail" "sovereign" { name = "sovereign-audit" s3_bucket_name = aws_s3_bucket.cloudtrail.id is_multi_region_trail = true enable_log_file_validation = true include_global_service_events = true cloud_watch_logs_group_arn = "${aws_cloudwatch_log_group.ct.arn}:*" }`	`resource "aws_cloudtrail" "trail" { name = "my-trail" s3_bucket_name = "my-logs" # ❌ Defaults: single-region, # kein Validation, kein CW }`

resource "aws_cloudtrail" "sovereign" {
  name                          = "sovereign-audit"
  s3_bucket_name                = aws_s3_bucket.cloudtrail.id
  is_multi_region_trail         = true
  enable_log_file_validation    = true
  include_global_service_events = true
  cloud_watch_logs_group_arn    = "${aws_cloudwatch_log_group.ct.arn}:*"
}

resource "aws_cloudtrail" "trail" {
  name           = "my-trail"
  s3_bucket_name = "my-logs"
  # ❌ Defaults: single-region,
  #    kein Validation, kein CW
}

waf-sov-040.tf.aws.cloudwatch-log-group-retention

Prüft: Log Group Retention darf nicht 0 (never expire) sein und muss >= 30 Tage betragen.

Compliant Non-Compliant

Compliant	Non-Compliant
`resource "aws_cloudwatch_log_group" "audit" { name = "/sovereign/audit" retention_in_days = 365 kms_key_id = aws_kms_key.log_key.arn tags = { data-class = "audit" data-residency = "eu-only" } }`	`resource "aws_cloudwatch_log_group" "app" { name = "/app/logs" # ❌ retention_in_days nicht gesetzt # → Logs verfallen nie }`

resource "aws_cloudwatch_log_group" "audit" {
  name              = "/sovereign/audit"
  retention_in_days = 365
  kms_key_id        = aws_kms_key.log_key.arn
  tags = {
    data-class     = "audit"
    data-residency = "eu-only"
  }
}

resource "aws_cloudwatch_log_group" "app" {
  name = "/app/logs"
  # ❌ retention_in_days nicht gesetzt
  #    → Logs verfallen nie
}

waf-sov-040.tf.aws.vpc-flow-logs-enabled

Prüft: Jede aws_vpc muss eine zugehörige aws_flow_log-Ressource haben.

Compliant Non-Compliant

Compliant	Non-Compliant
`resource "aws_vpc" "main" { cidr_block = "10.0.0.0/16" } resource "aws_flow_log" "main" { vpc_id = aws_vpc.main.id traffic_type = "ALL" log_destination_type = "cloud-watch-logs" log_destination = aws_cloudwatch_log_group.flow.arn }`	`resource "aws_vpc" "main" { cidr_block = "10.0.0.0/16" # ❌ Kein Flow Log – # kein Netzwerk-Audit }`

resource "aws_vpc" "main" {
  cidr_block = "10.0.0.0/16"
}
resource "aws_flow_log" "main" {
  vpc_id       = aws_vpc.main.id
  traffic_type = "ALL"
  log_destination_type = "cloud-watch-logs"
  log_destination = aws_cloudwatch_log_group.flow.arn
}

resource "aws_vpc" "main" {
  cidr_block = "10.0.0.0/16"
  # ❌ Kein Flow Log –
  #    kein Netzwerk-Audit
}

waf-sov-040.tf.aws.log-group-kms-encryption

Prüft: Audit- und Security-Log-Groups müssen kms_key_id setzen.

# Compliant: Audit-Log-Group mit CMK verschlüsselt
resource "aws_cloudwatch_log_group" "security" {
  name              = "/sovereign/security"
  retention_in_days = 365
  kms_key_id        = aws_kms_key.sovereign.arn  # ✅ CMK
}

Evidenz

Typ	Pflicht	Beschreibung
IaC	✅ Pflicht	Terraform CloudTrail- und Log-Group-Konfigurationen mit allen erforderlichen Attributen.
Config	✅ Pflicht	Liste aller aktiven Log-Destinations mit Region-Nachweis.
Logs	Optional	Beispiel-Log-Delivery-Bestätigungen mit In-Region-Speicherungsnachweis.
Process	Optional	Genehmigungsprotokoll für externe Log-Export-Destinations.

Typ

Pflicht

Beschreibung

IaC

✅ Pflicht

Terraform CloudTrail- und Log-Group-Konfigurationen mit allen erforderlichen Attributen.

Config

✅ Pflicht

Liste aller aktiven Log-Destinations mit Region-Nachweis.

Logs

Optional

Beispiel-Log-Delivery-Bestätigungen mit In-Region-Speicherungsnachweis.

Process

Optional

Genehmigungsprotokoll für externe Log-Export-Destinations.

WAF-SOV-040 – Logging & Telemetry Residency Controlled

Beschreibung

Rationale

Bedrohungskontext

Regulatorisches Mapping

Anforderung

Implementierungsanleitung

Reifegrad-Abstufung

Terraform Checks

waf-sov-040.tf.aws.cloudtrail-multi-region

waf-sov-040.tf.aws.cloudwatch-log-group-retention

waf-sov-040.tf.aws.vpc-flow-logs-enabled

waf-sov-040.tf.aws.log-group-kms-encryption

Evidenz

Verwandte Controls