====== Sicherheit ======

<WRAP round info>
**Zielgruppe:** Security-Admins, DevOps \\
**Inhalt:** TLS, Zertifikate, Zugriffskontrolle \\
**Priorität:** Kritisch für Produktion
</WRAP>

Sicherheitskonfiguration für den produktiven Betrieb des Data Gateway.

----

===== Workflow =====

<mermaid>
flowchart LR
    subgraph TLS["🔒 TLS"]
        T1[Zertifikat beschaffen]
        T2[HTTPS aktivieren]
        T3[Cipher Suites]
    end

    subgraph ACCESS["🚪 ZUGRIFF"]
        A1[Firewall]
        A2[API-Keys]
        A3[IP-Whitelist]
    end

    subgraph CERTS["📜 ZERTIFIKATE"]
        C1[Renewal]
        C2[Monitoring]
    end

    T1 --> T2 --> T3
    T2 --> A1
    A1 --> C1 --> C2

    style T1 fill:#e8f5e9
    style A1 fill:#fff3e0
    style C2 fill:#e3f2fd
</mermaid>

----

===== Runbooks =====

^  Runbook  ^  Beschreibung  ^  Dauer  ^
| [[.:tls-einrichten|TLS einrichten]] | HTTPS aktivieren, Zertifikate konfigurieren | ~15 Min |
| [[.:zertifikat-erneuern|Zertifikat erneuern]] | Renewal-Prozess, Automation | ~10 Min |
| [[.:firewall-regeln|Firewall-Regeln]] | Zugriffsbeschränkung, IP-Whitelist | ~10 Min |

----

===== Sicherheits-Checkliste =====

| # | Prüfpunkt | Priorität | ✓ |
|---|-----------|-----------|---|
| 1 | TLS/HTTPS aktiviert | Kritisch | ☐ |
| 2 | Keine selbstsignierten Zertifikate in Prod | Kritisch | ☐ |
| 3 | TLS 1.2+ erzwungen | Hoch | ☐ |
| 4 | Schwache Cipher deaktiviert | Hoch | ☐ |
| 5 | Firewall konfiguriert | Kritisch | ☐ |
| 6 | Zertifikat-Ablauf überwacht | Hoch | ☐ |
| 7 | Logs keine Passwörter enthalten | Kritisch | ☐ |

----

===== Quick Wins =====

<code bash>
# HTTPS-Status prüfen
curl -I https://gateway.example.com/health

# TLS-Version prüfen
openssl s_client -connect gateway.example.com:443 -tls1_2
openssl s_client -connect gateway.example.com:443 -tls1_3

# Zertifikat-Ablauf prüfen
echo | openssl s_client -connect gateway.example.com:443 2>/dev/null | openssl x509 -noout -dates
</code>

----

===== Verwandte Dokumentation =====

  * [[..:administrator:sicherheit:start|Administrator: Sicherheit]] – Architektur
  * [[..:business:sicherheit:start|Business: PQ-Sicherheit]] – Compliance
  * [[de:int:pqcrypt:szenarien:operator:start|PQ Crypto Operator]] – Post-Quantum

----

<< [[..:start|← Operator-Handbuch]] | [[.:tls-einrichten|→ TLS einrichten]] >>

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Data Gateway Professional//

{{tag>operator sicherheit tls zertifikate}}