inventory_2 Container Workload Protectionfeedback

Vorgeschlagen

Dieser Funktionsbaustein wurde als strategisch notwendig identifiziert und befindet sich in der Konzeptionsphase.

Status: Vorgeschlagen | Erstellt am: 13. März 2026 | Autor: BMDS-Architekturteam

lightbulb Motivationfeedback

Container-Images können in der Build-Phase sicher sein und zur Laufzeit kompromittiert werden. Cloud Workload Protection Platform (CWPP) schützt Workloads zur Laufzeit durch Erkennung anomaler Prozesse, Netzwerkverbindungen und Dateizugriffe. Ohne diesen Baustein gibt es keinen Schutz gegen Lateral Movement, Container-Escapes und Supply-Chain-Angriffe im Betrieb.

• Runtime-Protection: Echtzeit-Erkennung anomaler Aktivitäten in laufenden Containern.
• Behavioral Monitoring: Baseline-Profile für normales Container-Verhalten.
• Network-Policies: Automatische Mikrosegmentierung auf Container-Ebene.
• Compliance: BSI-C5, NIST SP 800-190 (Container Security).

settings Kernfunktionalitätenfeedback

• Syscall-Monitoring: Erkennung unerwarteter Systemaufrufe via Falco/eBPF.
• File Integrity Monitoring: Überwachung kritischer Dateisysteme im Container.
• Network Anomaly Detection: Erkennung unerwarteter Netzwerkverbindungen.
• Admission Controller: Blockierung nicht-konformer Pods (z.B. privilegierte Container).
• Incident Response: Automatische Quarantäne kompromittierter Workloads.

engineering Technische Einordnungfeedback

Eigenschaft	Wert
Kategorie	Sicherheit & Compliance
GovStack-Mapping	○ -
Referenzstandards	NIST SP 800-190, CIS Kubernetes Benchmark, BSI-C5
Open-Source-Referenz	Falco, KubeArmor, Tetragon (Cilium)

share Abhängigkeitenfeedback

• Container-Orchestrierung (Kubernetes-Runtime)
• SIEM / SOC-Anbindung (Runtime-Alerts weiterleiten)
• Service Mesh & Observability (Network Policies)

arrow_forward Nächste Schrittefeedback

• PoC mit Falco + Tetragon in SCS-Kubernetes-Cluster
• Definition von Baseline-Profilen für D-Stack-Workloads
• Integration der Runtime-Alerts in Wazuh/SIEM
• Integration in den D-Stack