Richtliniendurchsetzung (Leitplanken)
Warum wichtig?
Technische Durchsetzung von Regeln (ex ante) verhindert unzulässige Zustände und reduziert Fehlkonfiguration.
Wie gemessen?
Skala 0–5 + N/A:
- 0 = keine zentralen Guardrails / keine Policy Enforcement Mechanismen
- 1 = manuell/Best-Effort, keine erzwingbare Policy
- 2 = grundlegende Policies, aber lückenhaft/ohne zentrale Durchsetzung
- 3 = zentrale Policy Enforcement (z.B. Org/SCPs, Baselines) für Kern-Scope
- 4 = starke Guardrails + Templates + Monitoring/Remediation integriert
- 5 = durchgängige Guardrails (Policy-as-Code) + kontinuierliche Compliance/Evidence belegt
- N/A = keine belastbare Evidence
Quellen / Evidence
Validierungsfragen (RFP)
- Welche Policies können technisch erzwungen werden (z.B. Verschlüsselung Pflicht, Regionen-Restriktion, Netzwerk-/Egress-Regeln)? Gibt es org-weite Guardrails & Exceptions?
Scores im Vergleich
| Anbieter | Score | |
|---|---|---|
| Microsoft Sovereign Cloud | 4.0 | |
| Oracle EU Sovereign Cloud | 4.0 | |
| STACKIT | 3.0 | |
| Exoscale | 2.0 | |
| IONOS Cloud | 2.0 | |
| OVHcloud Public Cloud (inkl. SecNumCloud) | 2.0 | |
| Scaleway | 2.0 | |
| SysEleven OpenStack Cloud | 2.0 | |
| Cloud Temple Trusted Cloud | 3.0 | Console (Shiva) mit IAM/RBAC. SecNumCloud erfordert Zugriffskontrolle. Policies über Console konfigurierbar. Guardrails implizit durch SecNumCloud-Vorgaben. |
| Infomaniak Public Cloud | 2.0 | OpenStack RBAC/IAM (Keystone). Projekt-basierte Quotas/Limits. Infomaniak Manager für Benutzerverwaltung. Keine org-weiten Policy-Guardrails (OPA/Config) dokumentiert. |
| UpCloud | 2.0 | |
| noris Sovereign Cloud | 2.0 | |
| pluscloud open | 2.0 | |
| Hetzner Cloud | 1.0 | |
| AWS European Sovereign Cloud | N/A | |
| Delos Cloud | N/A | |
| T Cloud Public | N/A |