WAF++ WAF++
Back to WAF++ Homepage

Geltungsbereich

Ziel

Diese Säule definiert Anforderungen und Controls, um Cloud-Souveränität nachweisbar umzusetzen, technisch zu erzwingen und bei Audits zu belegen.

In Scope

Workloads & Infrastruktur

  • Workloads (Anwendungen, Plattform-Services) in Public, Private und Hybrid Cloud

  • Infrastructure-as-Code (Terraform, Pulumi, CloudFormation, Bicep)

  • Container-Plattformen (EKS, AKS, GKE, selbstverwaltet)

  • Serverless-Workloads (Lambda, Azure Functions, Cloud Run)

  • Managed Database Services (RDS, Aurora, Azure SQL, Cloud SQL)

Daten

  • Primärdaten (Produktionsdatenbanken, Objektspeicher, Dateisysteme)

  • Replikation und Disaster-Recovery-Kopien

  • Backups und Snapshots

  • Logs, Traces und Metriken (Observability-Daten)

  • Metadaten (Resource-Tags, API-Zugriffslogik, Konfigurationsdaten)

Identität & Zugriff

  • Administrative Zugriffe (Cloud Console, CLI, APIs)

  • Break-Glass / Notfallzugriff

  • Privileged Access Management (PAM)

  • Service Accounts und CI/CD-Identitäten

Kryptographie

  • VerschlĂĽsselungsschlĂĽssel (KMS, HSM, Key Vault)

  • SchlĂĽsselbesitz, SchlĂĽsselrotation, SchlĂĽssellöschung

  • Zertifikate (PKI, TLS)

Abhängigkeiten & Subprozessoren

  • Managed Cloud Services (Datenbanken, Queues, Object Storage)

  • Drittanbieter (Monitoring SaaS, SIEM, Ticketing, CI/CD-Plattformen)

  • Subprozessoren im Sinne der DSGVO Art. 28

  • Terraform-Anbieter, Module und deren Herkunft

Betrieb & Exit

  • Incident Response (im Kontext der Jurisdiktion)

  • Monitoring und Forensik innerhalb der Souveränitätsgrenzen

  • Datenmigration und Exit-Fähigkeit

  • Portabilität von Daten und IaC

Out of Scope (fĂĽr den aktuellen Stand)

Thema BegrĂĽndung

Vollständige juristische Länder-Bewertung

Rechtsberatung zu Jurisdiktion ist anbieter- und fallabhängig. WAF++ liefert den technischen Rahmen; juristische Details erfordern Fachanwälte.

Produktspezifische Provider-Optimierungen

Tiefe provider-spezifische Implementierungsdetails kommen in separaten Patterns/Runbooks.

Vollständige ISO/NIST/EUCS-Mapping-Kataloge

Regulatorische Mappings sind in den YAML-Controls als Referenz enthalten; vollständige Compliance-Programme überschreiten den Scope eines WAF.

Physische Infrastruktursicherheit

Liegt im Shared-Responsibility-Bereich des Cloud-Anbieters.

Netzwerksicherheit (allgemein)

Grundlegende Netzwerksicherheit (Firewall, IDS/IPS) ist in der Security-Säule. Sovereign fokussiert auf Egress-Kontrolle als Datenresidenz-Thema.

Multi-Cloud-Redundanz

Die Reliability-Säule deckt Redundanz ab. Sovereign fokussiert auf Kontrolle und Exit-Fähigkeit, nicht auf aktive Mehranbieter-Betrieb.

Anwendungskontext

Die Sovereign-Säule ist besonders relevant für:

Sektor Primäre Anforderungen

Ă–ffentliche Verwaltung

DSGVO, BSI C5, nationale Datenschutzgesetze, Geheimhaltungspflichten

Gesundheitswesen

Patientendatenschutz (SGB X, eHealth), DSGVO Art. 9 (besondere Datenkategorien)

Finanzsektor

DORA, EBA Guidelines, BaFin-Anforderungen, Outsourcing-Meldepflichten

Kritische Infrastruktur (KRITIS)

BSIG §8a, NIS2-Richtlinie, IT-Grundschutz

Unternehmen mit US-Verbindungen

Cloud Act-Risiken, Schrems II, Standardvertragsklauseln

Jedes Unternehmen mit EU-Kundendaten

DSGVO Art. 44–46 (Drittlandtransfers), EUCS-Zertifizierung