Grundprinzip
Angreifer
↓
Layer 1: Cloudflare (DDoS, WAF)
↓ (falls durchbrochen)
Layer 2: Hetzner Firewall (Port-Filter)
↓
Layer 3: nftables (Host-Firewall)
↓
Layer 4: fail2ban (Brute-Force-Schutz)
↓
Layer 5: Caddy (TLS, Auth-Gates)
↓
Anwendung (nur noch legitime Requests)IIO edge-security implementiert genau dieses 5-Layer-Modell.
Defense in Depth für KI
| Schicht | Schutz |
|---|---|
| Input-Validation | Prompt Injection, Malformed Input |
| HITL-Gates | Unerwünschte autonome Aktionen |
| Scope-Isolation | Agent überschreitet Berechtigungen |
| Audit Trail | Nachträgliche Forensik |
| Monitoring | Anomalie-Erkennung in Echtzeit |
Warum keine Single Layer reicht
Jede Schicht hat Schwachstellen:
- WAF kann evadiert werden → Firewall dahinter
- Auth kann kompromittiert werden → Audit Trail dahinter
- HITL kann fehlerhaft entscheiden → Audit Trail dahinter
- Audit Trail kann manipuliert werden → Cryptographic Signing
Tiefe macht den Unterschied — nicht die Stärke einzelner Layer.
引用
"Defense in Depth." Open Cognition Commons Foundation. https://opencognitioncommons.org/ja/glossary/defense-in-depth. CC-BY 4.0. 機械可読メタデータ
{
"@context": "https://schema.org",
"@type": "DefinedTerm",
"name": "Defense in Depth",
"description": "Defense in Depth ist eine Sicherheitsstrategie, die mehrere voneinander unabhängige Schutzschichten kombiniert — sodass das Versagen einer einzelnen Schicht nicht zu einem vollständigen Sicherheitsversagen führt.\n",
"url": "https://opencognitioncommons.org/ja/glossary/defense-in-depth",
"license": "https://creativecommons.org/licenses/by/4.0/",
"alternateName": [
"Defense in Depth",
"DiD",
"Tiefenverteidigung"
]
}