|
|
### Kommunikationsverbindungen
|
|
|
|
|
|
Der Softwarelieferant MUSS...
|
|
|
|
|
|
- die Software so bereitstellen, dass kein Fernzugriff bei der Implementierung und beim Betrieb erforderlich ist. [^1] (SYS.1.6.A16 S)
|
|
|
- sicherstellen, dass in der gelieferten Software (Images) keine Komponenten zur Fernwartung enthalten sind. [^2] (SYS.1.6.A16 S)
|
|
|
- Zugriffe und Berechtigungen auf Ressourcen durch seine Software auf die technisch notwendigen Zugriffe beschränken. (APP.4.4.A21)
|
|
|
- die Vorgaben und Rahmenbedingungen des Software- und des Plattformbetreibers für die Kommunikationsbeziehungen berücksichtigen und seine Implementierung entsprechend auslegen. [^3]
|
|
|
(SYS.1.6.A5)
|
|
|
- Zugriffe und Berechtigungen auf Ressourcen durch seine Software auf die technisch notwendigen Zugriffe beschränken. (APP.4.4.A21 und SYS.1.6.A21)
|
|
|
- die Vorgaben und Rahmenbedingungen des Software- und des Plattformbetreibers für die Kommunikationsbeziehungen berücksichtigen und seine Implementierung entsprechend auslegen. [^3] (SYS.1.6.A5)
|
|
|
- die eingehende und ausgehende Kommunikation über Kubernetes-Serviceressourcen umsetzen. (APP.4.4.A14 H)
|
|
|
- die Vorgaben des Softwarebetreibers zu den Kommunikationsverbindungen bei der Erstellung und Bereitstellung der Software berücksichtigen. [^5] (APP.4.4.A14 H)
|
|
|
- die notwendigen Kommunikationsbeziehungen (auch innerhalb von Namespaces) zwischen den Komponenten der Anwendung (z.B. Containern und Pods), sowie mit Komponenten außerhalb der Container-Plattform in geeigneter Weise dokumentieren. (APP.4.4.A18)
|
|
|
|
|
|
Der Softwarelieferant SOLL...
|
|
|
|
|
|
- die zertifikatsbasierte Authentifizierung unterstützen und Kommunikationsverbindungen nur für die in den Zertifikaten hinterlegten Identitäten erlauben. [^4] (APP.4.4.A18)
|
|
|
|
|
|
---
|
|
|
|
|
|
**Umsetzungshinweise**
|
|
|
**Umsetzungshinweise**
|
|
|
|
|
|
[^1]: Software zum administrativen Zugriff wie zum Beispiel ssh, telnet sollten in den Images nicht vorhanden und auch nicht erforderlich sein.
|
|
|
|
|
|
[^2]:
|
|
|
Applikations-Container SOLLTEN keine Fernwartungszugänge enthalten.
|
|
|
Außgeschlossen sind dabei Infrastruktur Container (API für Datenbanken und Storage Systeme).
|
|
|
[^2]: Applikations-Container SOLLTEN keine Fernwartungszugänge enthalten.\
|
|
|
Außgeschlossen sind dabei Infrastruktur Container (API für Datenbanken und Storage Systeme).
|
|
|
|
|
|
[^3]: Bei Anbietern für Standardsoftware solle der Plattformbetreiber prüfen, ob seine Anforderungen dem Marktangebot gerecht werden.
|
|
|
|
|
|
[^5]: Softwarebetreiber muss dem Softwarelieferanten Vorgaben zu den Kommunikationsverbindungen machen und hierbei die Anforderungen des Plattformbetreibers berücksichtigen.
|
|
|
|
|
|
[^4]: z. B. mittels mTLS. Es sollte mindestens eine Serverauthentifizierung umgesetzt werden. Eine Client-Authentifizierung sollte möglich werden. Die Umsetzung kann auch über einen Service-Mesh (Bereitstellung durch Plattformbetreiber notwendig) umgesetzt werden. |
|
|
[^5]: Softwarebetreiber muss dem Softwarelieferanten Vorgaben zu den Kommunikationsverbindungen machen und hierbei die Anforderungen des Plattformbetreibers berücksichtigen. |
|
|
\ No newline at end of file |