Mikrosegmentierung mit Policy-Modellen: Tags, Labels und Service Maps

Mikrosegmentierung mit Policy-Modellen ist eine der wirksamsten Antworten auf moderne Angriffsrealitäten in IT-Netzwerken: Angreifer müssen nicht mehr „von außen“ kommen, um Schaden anzurichten. Häufig beginnt ein Vorfall mit kompromittierten Credentials, einem infizierten Endpoint oder einer ungepatchten Anwendung – und setzt sich dann als East-West-Bewegung fort, also lateral zwischen Workloads, Servern und Services. Genau hier greift…

Privileged Access Management im Netzwerk: Sessions, Recording, JIT

Privileged Access Management im Netzwerk ist einer der wirksamsten Hebel, um Security und Auditierbarkeit gleichzeitig zu verbessern. Denn in der Netzwerktechnik entscheiden privilegierte Zugänge über alles: Wer auf Firewalls, Switches, Router, Load Balancer, NAC-Systeme, DNS/DHCP/IPAM, VPN-Gateways und Cloud-Networking zugreifen kann, kann Regeln verändern, Traffic umleiten, Segmentierung aufheben, Logs deaktivieren und im Extremfall ganze Standorte lahmlegen.…

Microsegmentation mit Kubernetes: Network Policies, mTLS und Gateways

Microsegmentation mit Kubernetes ist heute eine Kernkompetenz für moderne Netzwerksecurity, weil Container-Plattformen die klassischen Annahmen von Netzsegmentierung auf den Kopf stellen: IPs sind kurzlebig, Workloads skalieren dynamisch, Services kommunizieren oft East-West über Cluster-Overlay-Netze, und ein großer Teil des Traffics läuft verschlüsselt über HTTP/2 oder gRPC. Wer in dieser Welt weiterhin mit statischen IP-Listen und groben…

Compliance Frameworks: ISO 27001, NIS2, PCI DSS in Firewall Controls übersetzen

Compliance Frameworks wirken auf den ersten Blick abstrakt: ISO 27001 spricht von Managementsystemen und Kontrollen, NIS2 von risikobasierten Maßnahmen und Meldepflichten, PCI DSS von Anforderungen für Zahlungsdaten. In der Praxis landen viele dieser Vorgaben jedoch sehr konkret im Netzwerk – und damit in Firewall Controls. Genau hier scheitern viele Programme: Entweder wird „Compliance“ als Dokumentationsübung…

Cloud Firewalling: AWS/Azure/GCP Security Controls im Vergleich

Cloud Firewalling ist heute weit mehr als „ein paar Security Groups“: In AWS, Azure und GCP entsteht Sicherheit aus einer Kombination von verteilten L3/L4-Kontrollen (auf Workload- oder Subnetzebene), zentralen, stateful Firewall-Services, Web- und API-Schutz (WAF), DNS- und Egress-Policies sowie Governance über Richtlinien, Rollen und Protokollierung. Wer diese Bausteine sauber zusammensetzt, bekommt ein starkes Defense-in-Depth-Modell, das…

Datenschutz & Logging: DSGVO-konforme Security Telemetrie designen

Datenschutz & Logging ist kein Widerspruch, sondern eine Designaufgabe: Sicherheits-Telemetrie ist notwendig, um Angriffe zu erkennen, Vorfälle zu untersuchen und Systeme zuverlässig zu betreiben – gleichzeitig ist sie häufig personenbezogen oder zumindest personenbeziehbar (z. B. Nutzerkennungen, IP-Adressen, Geräte-IDs, E-Mail-Adressen, Standort- oder Zeitstempel-Kombinationen). Wer Security Telemetrie ohne Datenschutzkonzept sammelt, riskiert unnötige Datenmengen, unklare Zwecke, zu lange…

Hybrid Security: On-Prem + Cloud Policies konsistent halten

Hybrid Security ist für viele Unternehmen kein Übergangszustand mehr, sondern der Normalfall: geschäftskritische Workloads laufen weiterhin On-Premises im Rechenzentrum, während neue Anwendungen, Datenplattformen und SaaS-Abhängigkeiten in die Cloud wandern. Genau daraus entsteht eine anspruchsvolle Sicherheitsaufgabe: On-Prem + Cloud Policies konsistent halten. In der Praxis bedeutet das nicht „dieselben Regeln überall“, sondern „dieselben Sicherheitsabsichten überall“ –…

Risk Acceptance: Ausnahmen auditfest dokumentieren

Risk Acceptance ist im Sicherheits- und Compliance-Alltag unvermeidbar: Nicht jede Schwachstelle kann sofort behoben werden, nicht jede Legacy-Anwendung lässt sich kurzfristig segmentieren, und nicht jede Business-Anforderung passt in ein perfektes „Least Privilege“-Modell. Entscheidend ist jedoch nicht, dass Ausnahmen existieren, sondern wie sie dokumentiert, genehmigt, zeitlich begrenzt, überwacht und nachweisbar begründet werden. Genau hier scheitern viele…

Cloud Egress Security: NAT Gateways, Proxy und Logging-Design

Cloud Egress Security ist einer der stärksten Hebel, um Command-and-Control (C2), Datenabfluss und unerwünschte Schattenabhängigkeiten in Cloud-Umgebungen zu reduzieren. In vielen Architekturen liegt der Fokus auf Ingress (WAF, Load Balancer, Public Exposure), während ausgehender Traffic aus privaten Subnetzen eher „einfach funktionieren“ soll. Genau das macht Egress zum Einfallstor: Kompromittierte Workloads laden Payloads nach, kommunizieren über…

API Security am Netz: Rate Limits, Auth, WAF und L7 Controls

API Security am Netz ist heute ein entscheidender Erfolgsfaktor für Verfügbarkeit, Datenschutz und Betrugsprävention – weil APIs längst nicht mehr nur „Backend-Schnittstellen“ sind, sondern der zentrale Zugriffspfad für Web-Apps, Mobile Apps, Partnerintegrationen und interne Microservices. Gleichzeitig ist der Angriffsraum groß: Credential Stuffing auf Login-Endpunkte, Bot-Traffic, massenhaftes Scraping, Business-Logic-Abuse (z. B. Gutschein-/Preis-Manipulation), Injection-Angriffe, API-Enumeration, Überlast durch…