Enterprise Security Architecture.

Zero-Trust-Network-Access (ZTNA)

• Muster. Kein implizites Vertrauen basierend auf Netzwerk-Position. Jeder Request authentifiziert + autorisiert an der Ressource. VPN ersetzt durch Identity-Aware-Proxy oder per-App-Tunnels.
• Häufiger Fehler. Legacy-Services per "Trusted-Network"-Ausnahme angedockt. Jede Ausnahme erodiert das Modell. Sunset-Liste mit Deadlines, keine Allowlist ohne Review.
• Vendors. Cloudflare Access, Zscaler Private Access, Tailscale, Google BeyondCorp, Microsoft Entra Private Access. Wahl nach IdP-Fit + Protokollabdeckung (HTTP-only vs Full L4).

Identity-Aware-Proxy

• Muster. Einziger Ingress pro App; Proxy authentifiziert User gegen IdP, hängt Identity-Header an, leitet weiter. Backend vertraut nur dem Proxy.
• Häufiger Fehler. Backend erreichbar unter Umgehung des Proxy (Private-IP exponiert, Container-Port-Forward, versehentlicher Public-LB). Audit: Backend direkt aus Peer-Netz zu treffen versuchen.
• Härtung. mTLS zwischen Proxy und Backend; Backend lehnt jedes Cert außer dem des Proxys ab. Signierte Identity-Header (JWT), damit Backend Herkunft verifizieren kann.

Secrets-Manager-gestützter Credential-Flow

• Muster. Apps halten nie langlebige Secrets. App-Identität (Workload-Identity, IAM-Role, Pod-SA) → Secrets-Manager → kurzlebige Credential.
• Vendors. HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager, Doppler, 1Password Connect.
• Häufiger Fehler. Bootstrap-Problem gelöst durch Hardcodieren des Bootstrap-Tokens im AMI/Image. Audit: Images nach bekannten Token-Formaten greppen.
• Rotation. Automatisiert, geplant, beobachtbar. Vault-Dynamic-Secrets sind das kanonische Beispiel — DB-Credentials gültig 1 Stunde, on-demand regeneriert.

Secure-Software-Delivery-Pipeline

• Muster. Code → CI → signiertes Artifact → Registry → Policy-Gate → Deploy. Jede Transition signiert und geloggt.
• Signing. Sigstore (cosign) für Container, in-toto-Attestations für Build-Provenance, SLSA-Framework für Maturity-Ranking.
• Policy-Gates. OPA/Gatekeeper oder Kyverno in K8s; Admission-Controller lehnen unsignierte oder nicht-policy-konforme Deployments ab.
• Häufiger Fehler. CI-Runner hat breite Cloud-Permissions (deployt mit Admin-Role). Pipeline-Compromise → Cloud-Compromise. Verteidigung: Per-Job-Federated-Identity, gescoped auf Deploy-Target.

SOC-Integrations-Muster

• Detection-as-Code. Detection-Rules versioniert in git, in CI getestet, via Pipeline deployed. Sigma-Format → SIEM-spezifische Kompilierung.
• SOAR-Runbooks. Jeder Alert mappt auf Runbook mit expliziten Entscheidungspunkten und automatisierbaren Schritten. Manuelle Triage als Fallback, nicht Default.
• Threat-Intel-Ingestion. STIX-/TAXII-Feeds → SIEM-Watchlists. Qualität > Volumen; ein kuratierter Paid-Feed schlägt fünf kostenlose Firehoses.

Regulierte-Industrie-Varianten

• Finanzen. Starke Betonung auf Segregation-of-Duties; Change-Management mit Mehr-Personen-Gates; tamper-evidentes Logging (oft Append-Only S3 + Object Lock).
• Healthcare. HIPAA-getriebene PHI-Segregation; Minimum-Necessary-Access; BAA-Chain mit jedem Vendor, der PHI berührt.
• Government. FedRAMP / IL4–IL6-Deployment-Muster; FIPS-validierte Crypto; Supply-Chain-Attestation-Anforderungen.
• Kritische Infrastruktur. NERC CIP / NIS2 — physische Sicherheit, IT-/OT-Segmentierung, verpflichtende Incident-Reporting-Zeitleisten.

Tech-Trends (aktuell)

• Hin zu. Workload-Identity-Federation (tötet statische Cloud-Creds in CI); eBPF-basierte Runtime-Security; Supply-Chain-SBOM + Signing; SaaS-SIEM mit managed Detections.
• Weg von. Langlebigen statischen API-Keys in CI; Perimeter-only Firewalls ohne interne Segmentierung; On-Prem-Self-Built-SIEM ohne Managed-Detection-Team; Java-native Serialization in neuem Code.