Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
Best Practices

Wazuh SIEM, OpenBao Vault und Coraza WAF: der defensive Stack in SecTepe.Comm

SecTepe Redaktion
|
|
6 Min. Lesezeit

Defense-in-Depth ist 2026 keine Architektur-Empfehlung mehr, sondern eine Audit-Anforderung. NIS-2 verlangt explizit mehrschichtige Verteidigung; ISO 27001:2022 fordert continuous monitoring und secure configuration management. SecTepe.Comm bündelt drei Open-Source-Bausteine, die zusammen genau diese Schichten liefern: Wazuh, OpenBao und Coraza.

Wazuh: SIEM, EDR und Compliance-Reporting in einem

Wazuh ist mehr als ein Log-Sammler. Es kombiniert Endpoint-Detection mit Log-Aggregation und Compliance-Reporting:

  • Endpoint-Agents auf Linux-, Windows- und macOS-Hosts liefern Datei-Integritäts-Monitoring, Rootkit-Detection, Vulnerability-Scans und Konfigurations-Bewertung.
  • Log-Aggregation aus syslog, Windows Event Logs, Container-Logs (Docker, Kubernetes) und Cloud-APIs (AWS CloudTrail, Azure Activity Log).
  • Decoder + Rules: über 4.000 vorgepflegte Regeln decken Standard-Angriffsmuster ab, eigene Rules sind YAML-konfigurierbar.
  • MITRE ATT&CK-Mapping: jeder Alert ist mit der entsprechenden Technik verlinkt – wichtig für Incident-Response-Berichte.
  • Compliance-Module: PCI DSS, HIPAA, GDPR, NIST 800-53 als fertige Dashboards.

OpenBao: der Secrets-Vault als Pflicht-Schicht

Secrets in Plaintext-Konfigs sind 2026 ein KO-Kriterium für jedes ernstzunehmende Audit. OpenBao (der freie HashiCorp-Vault-Fork) liefert:

  • Zentrale Secret-Speicherung: Datenbank-Passwörter, API-Keys, TLS-Zertifikate, SSH-CA-Schlüssel.
  • Dynamische Secrets: per-Session generierte Datenbank-Credentials mit kurzer Lifetime – statt langlebiger statischer Passwörter.
  • Transit Engine: Verschlüsselungs-as-a-Service für Anwendungen, ohne dass die App selbst Schlüssel halten muss.
  • Audit-Trail: jeder Secret-Zugriff wird mit Identität, Zeitstempel und Methode protokolliert.
  • Identity-Provider-Anbindung: über OIDC zu Keycloak – Secrets-Zugriff folgt der Personal-Identität, nicht einem Service-Account.

Coraza: OWASP CRS auf Traefik-Niveau

Eine Web Application Firewall ist 2026 für jede öffentlich erreichbare App Pflicht – nicht zur Vorderlinie-Verteidigung, aber als Filter gegen den 90-%-Lärm aus Scannern und automatisierten Exploit-Versuchen. Coraza ist eine Pure-Go-Implementation des ModSecurity-Standards mit OWASP Core Rule Set:

  • Kein Apache-Modul-Ballast: läuft als Sidecar oder Traefik-Plugin, ohne separaten WAF-Server.
  • Paranoia-Levels: PL1 (default) bis PL4 (sehr aggressiv) – pro Anwendung konfigurierbar.
  • Rule-Customization: SecRule-Syntax für eigene Detections; Whitelist-Regeln für False-Positive-Tuning.
  • Audit-Log: blockierte Requests inklusive Match-Details werden für Wazuh aufbereitet.

Wie das Trio zusammenspielt

Beispiel: ein Angreifer probiert einen SQL-Injection-Versuch gegen die SecTepe.Comm-WebUI:

  1. Coraza erkennt das CRS-Pattern, blockt den Request mit 403 und schreibt einen Audit-Eintrag.
  2. Wazuh liest den Audit-Eintrag, korreliert mit anderen Aktivitäten derselben IP und feuert einen High-Severity-Alert.
  3. Der Alert führt zur OpenBao-Audit-Log-Abfrage: gab es Secret-Zugriffe von dieser IP/Session? Falls ja, automatisches Token-Revoking.
  4. SOC bekommt eine Notification mit komplettem Kontext – statt drei Tools manuell zu durchforsten.

Wartungsaufwand realistisch betrachten

Wazuh + OpenBao + Coraza sind kein „install and forget"-Stack. Realistisch:

  • Initial-Setup: 2–3 Tage für Konfiguration, Anbindung und Tuning.
  • Laufender Aufwand: 2–4 h pro Woche für False-Positive-Triage, Rule-Updates, Dashboard-Pflege.
  • Skalierung: Wazuh-Manager läuft komfortabel auf 8 vCPU + 16 GB RAM für ~500 Endpoints; OpenBao + Coraza fast ohne Last.

Fazit

Wer 2026 ernsthafte Defense-in-Depth bauen will und nicht 50 k€ pro Jahr für Splunk + HashiCorp Vault Enterprise + ein WAF-SaaS ausgeben möchte, bekommt mit Wazuh + OpenBao + Coraza einen reifen, integrierten, EU-souveränen Stack. Die Lizenz: AGPL/MPL/Apache 2.0. Der Aufwand: kalkulierbar. Der Audit-Wert: hoch.

Alle Artikel ansehen Mehr aus dieser Kategorie