Seminar Encaya Security Hardening: Trust-Store-Governance, Name-Constraints, MITM-Resilienz

Inhaltsverzeichnis

• Abstract
• Security-Ziele und Threat Model
• Trust Store Governance und Risiko öffentlicher CAs
• Name Constraints und EKU: Design- und Durchsetzungsfragen
• Resolverpfad und DNSSEC: Integrität sicherstellen
• Privacy- und Metadatenrisiken
• Audit, Logging, Compliance-Readiness

Abstract

Das Seminar adressiert die Sicherheitsarchitektur rund um Encaya. Im Fokus stehen Bedrohungsmodell, Trust-Store-Governance, Minimierung von Angriffsflächen, Name-Constraints-Strategien und die Härtung der Namensauflösung. Zusätzlich werden Audit- und Compliance-Anforderungen in konkrete technische Kontrollen übersetzt, inklusive messbarer Policies und Review-Prozesse.

Dauer und Zeitplan

• Tag 1: Threat Model, Trust Store, Constraints
• Tag 2: Resolver/DNSSEC, Privacy, Audit

Security-Ziele und Threat Model

Schutzgüter:

• Integrität der Namensauflösung und der Bindungsdaten
• Integrität der Encaya-Auskunft
• Integrität des Client-Trust-Stores
• Verfügbarkeit

Angreiferprofile:

• On-Path Angreifer (LAN/WAN)
• kompromittierter Resolver oder Upstream
• Missausstellende oder kompromittierte CA
• interner Angreifer (Policy/Trust Store Manipulation)

Step-by-step: Threat Model Workshop

• Datenflussdiagramm erstellen.
• Trust Boundaries markieren.
• STRIDE-Check je Boundary.
• Kontrollen priorisieren (Impact, Likelihood).
• Security Requirements als Testkriterien formulieren.

Trust Store Governance und Risiko öffentlicher CAs

• Problem: Encaya ergänzt Vertrauen, ersetzt jedoch nicht automatisch existierende Root Stores
• Governance-Ziele:
  • Minimale zusätzliche Trust Anchors
  • Einschränkung auf definierte Namespaces
  • Change-Management für Trust Updates
  • Notfallrücknahme

Step-by-step: Trust Store Policy

• Erlaubte Trust Anchors definieren.
• Constraints verpflichtend machen.
• Verteilungsmethode mit Nachweisbarkeit definieren.
• Review-Zyklus (monatlich/quarterly) festlegen.
• Exception-Prozess (temporär, dokumentiert).

Name Constraints und EKU

Ziel: Trust Anchor nur für beabsichtigte Namensräume gültig machen.

• EKU: TLS Server Authentication only
• Name Constraints: nur definierte TLD/Namespace
• Durchsetzung: abhängig von TLS-Implementierung und Plattform

Step-by-step: Constraints-Design

• Zielnamespace exakt definieren.
• Constraint-Form wählen (whitelist vs blacklist).
• Kompatibilität prüfen (Client-Landschaft).
• Testmatrix erstellen (akzeptiert/abgelehnt).
• Operationalisierung: wie Updates sicher erfolgen.

Resolverpfad und DNSSEC

• DNSSEC-Validierungspunkt festlegen (Client, lokaler Resolver, Gateway)
• Schutz gegen Resolver-Tampering (lokal, segmentiert, authentisiert)
• Umgang mit Netzwerkumgebungen, die DNSSEC stören

Step-by-step: „Sicherer Resolverpfad“ Blueprint

• Resolverstandort wählen (Endpoint vs zentral).
• Transporthärtung definieren (interne Netze, gesicherte Pfade).
• DNSSEC Trust Anchors verwalten.
• Monitoring für Validierungsfehler einrichten.
• Runbook: „DNSSEC bricht, was ist erlaubt“.

Privacy- und Metadatenrisiken

• Metadaten können Domain-Interessen offenlegen
• Minimierungsoptionen:
  • interne Encaya-Instanzen pro Standort
  • Zugriff nur über gesicherte Netze
  • Logging minimieren oder pseudonymisieren
  • getrennte Telemetriepfade

Audit, Logging, Compliance-Readiness

• Auditfragen:
  • Wer hat Trust Anchor geändert
  • Wann wurde welche Policy ausgerollt
  • Welche Clients sind compliant
• Logging-Design: sicher, datensparsam, revisionsfähig

Step-by-step: Compliance-Nachweis

• Inventory der Clients und Trust Anchors erzeugen.
• Konformitätsregeln definieren.
• Nachweise automatisieren (Reports).
• Findings workflow (Ticket, Remediation).
• Quarterly Review Template.