... | ... | @@ -2,7 +2,7 @@ |
|
|
|
|
|
Der Softwarelieferant MUSS...
|
|
|
|
|
|
- Software-Produkte so entwickeln, dass ein Re-Deployment auf einem "Restore-Cluster" jederzeit möglich ist (APP.4.4.A5 B) [¹]
|
|
|
- Software-Produkte so entwickeln, dass ein Re-Deployment auf einem "Restore-Cluster" jederzeit möglich ist (APP.4.4.A5 B)
|
|
|
|
|
|
Der Softwarelieferant SOLL...
|
|
|
|
... | ... | @@ -13,10 +13,11 @@ Der Softwarelieferant SOLL... |
|
|
|
|
|
- plattformspezifische Isolationsmechanismen wie z.B. Namespaces, Pod Security Admission und Network Policies
|
|
|
|
|
|
Der Plattformbetreiber muss sicherstellen, dass der Betriebssystemkernel der Nodes Isolationsmechanismen unterstützt. Es muss eine Trennung auf Prozess-ID, Inter-Prozesskommunikation, Benutzer-ID, Dateisystem und Netzwerk möglich sein. Die genutzten Isolationsmechanismen müssen dokumentiert sein und dem Softwarelieferanten und dem Softwarebetreiber bei Bedarf zur Verfügung gestellt werden.
|
|
|
|
|
|
[^1]: der Plattformbetreiber MUSS technische Maßnahmen anbieten, die eine Isolation und Kapselung containerisierter IT-Systeme sowie die Trennung dieser IT-Systeme in unterschiedliche virtuelle Netze ermöglichen. Dabei muss die Netzwerkarchitektur (physische, virtuelle und Overlay-Netze) so gestaltet werden, dass die Anforderungen an einen sicheren Netzwerkbetrieb lt. BSI-Grundschutz NET.1 und NET.3 erfüllt sind.
|
|
|
|
|
|
[^2]: durch Plattform vorgegebene Isolationsmechanismen wie z.B. SE Linux und CGroups.
|
|
|
Der Plattformbetreiber muss sicherstellen, dass der Betriebssystemkernel der Nodes Isolationsmechanismen unterstützt. Es muss eine Trennung auf Prozess-ID, Inter-Prozesskommunikation, Benutzer-ID, Dateisystem und Netzwerk möglich sein. Die genutzten Isolationsmechanismen müssen dokumentiert sein und dem Softwarelieferanten und dem Softwarebetreiber bei Bedarf zur Verfügung gestellt werden.
|
|
|
|
|
|
[^3]: Bei einem Recovery ist der exakt gleiche Zustand des Clusters (gleiche Anzahl an Pods) nicht erreichbar.
|
|
|
Folgende Mechanismen sollten beachtet werden:
|
... | ... | |