9f5f8bfc11
Includes CACC/FINMA legal processes, updated AGB with PowerOn AG stammdaten, and internal legal and best-practice analysis report. Co-authored-by: Cursor <cursoragent@cursor.com>
68 lines
3.1 KiB
Markdown
68 lines
3.1 KiB
Markdown
# Netzwerk- und Infrastruktursicherheit
|
|
|
|
**Dokumenttyp:** Konzept
|
|
**Geltungsbereich:** Netzwerk, Server und Rechenzentrumsanbindung der PORTA-Plattform
|
|
**Version:** 1.0
|
|
**Status:** Entwurf zur internen Freigabe
|
|
**Owner:** Betrieb / DevOps
|
|
**Letzte Aktualisierung:** 02.06.2026
|
|
**Deckt ab (CACC):** 95, 96, 97, 98, 99
|
|
|
|
---
|
|
|
|
## 1. Härtung und Basiskonfiguration (#95)
|
|
|
|
| Element | Vorgabe | Status |
|
|
|---|---|---|
|
|
| Server-Härtung (Ubuntu) | nach anerkanntem Standard (z. B. CIS Benchmark) | [ZU PRÜFEN: angewendet?] |
|
|
| Nicht benötigte Dienste/Ports deaktiviert | ja | [ZU PRÜFEN] |
|
|
| Regelmässige Validierung der Basiskonfiguration | mind. jährlich | [ZU PRÜFEN: etablieren] |
|
|
|
|
## 2. Netzwerksegmentierung und Mandantentrennung (#96)
|
|
|
|
| Element | Beschreibung | Status |
|
|
|---|---|---|
|
|
| Trennung App / DB | Anwendung (`api.poweron.swiss`) und Datenbank (`db.poweron.swiss`) auf getrennten Hosts | Umgesetzt |
|
|
| Trennung Prod / Int | Produktiv- und Integrationsumgebung getrennt | Umgesetzt |
|
|
| Mandantentrennung (Multi-Tenancy) | Logische Trennung der Kundendaten innerhalb der Anwendung über Mandate/Berechtigungen | Umgesetzt (logisch) |
|
|
| Netzwerksegmentierung (Firewall-Zonen) | [ZU PRÜFEN: wie ist der Netzverkehr segmentiert?] | [ZU PRÜFEN] |
|
|
|
|
> **Hinweis für regulierte Kunden:** Die Mandantentrennung erfolgt logisch (gemeinsame DB-Instanz, getrennte Mandate/Berechtigungen), nicht physisch pro Kunde. Das ist für SaaS üblich, sollte aber im Assessment transparent gemacht werden.
|
|
|
|
## 3. Netzwerkschutzmassnahmen (#97)
|
|
|
|
| Massnahme | Status |
|
|
|---|---|
|
|
| Firewall | [ZU PRÜFEN: Infomaniak-Firewall / OS-Firewall (ufw/iptables) konfiguriert?] |
|
|
| Web Application Firewall (WAF) | [ZU PRÜFEN: vorhanden?] |
|
|
| IDS/IPS (Intrusion Detection/Prevention) | [ZU PRÜFEN: vorhanden?] |
|
|
| TLS-Terminierung / Reverse Proxy | [ZU PRÜFEN: nginx o. ä.?] |
|
|
|
|
## 4. Schutz vor netzwerkbasierten Angriffen / DDoS (#98)
|
|
|
|
| Massnahme | Status |
|
|
|---|---|
|
|
| DDoS-Schutz | [ZU PRÜFEN: durch Infomaniak bereitgestellt?] |
|
|
| Anomalie-Erkennung im Datenverkehr | [ZU PRÜFEN] |
|
|
| Rate-Limiting | Teilweise (z. B. Export max. 2/Min — siehe `datenbank-handling.md`) |
|
|
|
|
## 5. Physische Sicherheit und Versorgung (#99)
|
|
|
|
Die physische Sicherheit wird durch den Rechenzentrumsbetreiber **Infomaniak** (Schweiz) gewährleistet:
|
|
|
|
| Element | Zuständigkeit | Nachweis |
|
|
|---|---|---|
|
|
| Physische Zutrittskontrolle | Infomaniak | [ZU PRÜFEN: Infomaniak-Zertifikate/RZ-Doku beilegen, z. B. ISO 27001] |
|
|
| Stromversorgung / USV / Notstrom | Infomaniak | Infomaniak-Rechenzentren (CH) |
|
|
| Kühlung / Brandschutz | Infomaniak | Infomaniak-Dokumentation |
|
|
|
|
**Massnahme:** Aktuelle Sicherheits-/Zertifizierungsnachweise von Infomaniak einholen und als Evidenz dem Assessment beilegen.
|
|
|
|
## 6. Stand der Umsetzung / Lücken
|
|
|
|
| Thema | Status | Massnahme |
|
|
|---|---|---|
|
|
| Server-Härtung nach CIS | [ZU PRÜFEN] | Anwenden & dokumentieren |
|
|
| WAF / IDS / IPS | [ZU PRÜFEN] | Bedarf klären, ggf. einführen |
|
|
| Infomaniak-Zertifikate als Evidenz | Offen | Einholen |
|
|
| Firewall-Konfiguration dokumentieren | [ZU PRÜFEN] | Festhalten |
|