Die Novellierung des IT-Sicherheitsgesetzes umfasst neue Wirtschaftszweige, die zukünftig die hohen KRITIS-Sicherheitsanforderungen erfüllen müssen. Um späteren Mehraufwand zu vermeiden, sollte Sicherheit daher von Anfang an mitbedacht werden (Secure by Design). Auch cloud-native Data Warehouses, Data Fabrics und Data Meshes müssen auf verschiedenen Ebenen abgesichert und Kommunikation muss verschlüsselt werden. infologistix zeigt einen Verschlüsselungsansatz einer Data Platform, der die BSI-Sicherheitsanforderungen erfüllt.

Zielpublikum: Platform Engineer, Data Engineer, Projektleiter:innen, IT-Verantwortliche
Voraussetzungen: BSI-Grundschutzkatalog, DWH-Konzepte in der Cloud, Container-Plattformen
Schwierigkeitsgrad: Fortgeschritten

Extended Abstract:
Der KRITIS-Katalog umfasst nach der Novellierung der NIS 2-Richtlinie der EU nahezu alle Bereiche der digitalen Infrastruktur. In diesem Zusammenhang werden sämtliche großen Data Warehouse-Systeme die neuen Sicherheitsanforderungen erfüllen müssen. Für Cloud-native Daten-Plattformen muss dabei die gesamte Infrastruktur betrachtet werden. Hier muss sämtliche Kommunikation (ETL-Strecken, Datenbankanbindung, Batch Processing) TLS-verschlüsselt werden. Zu diesem Zweck wird der Ansatz des Service Mesh gewählt, um einen einfachen Zertifikatstausch zu ermöglichen und die Verschlüsselung der Kommunikation zu übernehmen.

Im Vortrag von infologistix wird hierzu ein Ansatz mit Istio präsentiert. Istio bietet neben der reinen Verschlüsselung der Kommunikation über mTLS auch viele weitere optionale Features für Authentifikation, Autorisierung und Ausfallsicherheit. Der Zuhörer erfährt anhand der praxiserprobten Lösung, wie die komplette Absicherung einer Plattform umgesetzt werden kann. Im Fazit erfolgt ein Abgleich der Lösung mit den hohen Sicherheitsanforderungen.