|
### Systemarchitektur
|
|
### Systemarchitektur
|
|
|
|
|
|
Der Softwarelieferant SOLL...
|
|
Der Softwarelieferant SOLL...
|
|
- die Anwendung so bereitstellen, dass die lt. Schutzbedarf erforderliche Anwendung von technischen Schutzmaßnahmen wie z.B. die Verwendung von Betriebssystem-Mechanismen, die Isolation und Kapselung der Anwendung und auch die Netzwerktrennung durch die Software-Architektur unterstützt und nicht verhindert wird. (SYS.1.6.A3, APP.4.4.A B)
|
|
- die Anwendung so bereitstellen, dass die lt. Schutzbedarf erforderliche Anwendung von technischen Schutzmaßnahmen wie z.B. die Verwendung von Betriebssystem-Mechanismen, die Isolation und Kapselung der Anwendung und auch die Netzwerktrennung durch die Software-Architektur unterstützt und nicht verhindert wird. (SYS.1.6.A3 B [^1], APP.4.4.A B [^2])
|
|
|
|
|
|
|
|
|
|
---
|
|
|
|
|
|
|
|
**Umsetzungshinweise**
|
|
**Umsetzungshinweise**
|
|
|
|
|
|
- der Plattformbetreiber MUSS technische Maßnahmen anbieten, die eine Isolation und Kapselung containerisierter IT-Systeme sowie die Trennung dieser IT-Systeme in unterschiedliche virtuelle Netze ermöglichen. Dabei muss die Netzwerkarchitektur (physische, virtuelle und Overlay-Netze) so gestaltet werden, dass die Anforderungen an einen sicheren Netzwerkbetrieb lt. BSI-Grundschutz NET.1 und NET.3 erfüllt sind. (SYS.1.6.A3), |
|
[^1]: der Plattformbetreiber MUSS technische Maßnahmen anbieten, die eine Isolation und Kapselung containerisierter IT-Systeme sowie die Trennung dieser IT-Systeme in unterschiedliche virtuelle Netze ermöglichen. Dabei muss die Netzwerkarchitektur (physische, virtuelle und Overlay-Netze) so gestaltet werden, dass die Anforderungen an einen sicheren Netzwerkbetrieb lt. BSI-Grundschutz NET.1 und NET.3 erfüllt sind.
|
|
\ No newline at end of file |
|
|
|
|
|
[^2]: - durch Plattform vorgegebene Isolationsmechanismen wie z.B. SE Linux und CGroups
|
|
|
|
|
|
|
|
- plattformspezifische Isolationsmechanismen wie z.B. Namespaces, Pod Security Admission und Network Policies |
|
|
|
\ No newline at end of file |