Zum Inhalt springen
Bare-Metal-Isolation – kein gemeinsamer Hypervisor
KSM teilt identische Seiten über Container hinweg
Gehärteter Linux-7.1-hoody-Kernel + seccomp
AES-256-Festplattenverschlüsselung · verschlüsselter Swap
2^192 Keyspace auf Projekt+Container-Paaren
Sofortiger Widerruf – Container löschen = URL stirbt
Bare-Metal-Isolation – kein gemeinsamer Hypervisor
KSM teilt identische Seiten über Container hinweg
Gehärteter Linux-7.1-hoody-Kernel + seccomp
AES-256-Festplattenverschlüsselung · verschlüsselter Swap
2^192 Keyspace auf Projekt+Container-Paaren
Sofortiger Widerruf – Container löschen = URL stirbt
Bare-Metal-Isolation – kein gemeinsamer Hypervisor
KSM teilt identische Seiten über Container hinweg
Gehärteter Linux-7.1-hoody-Kernel + seccomp
AES-256-Festplattenverschlüsselung · verschlüsselter Swap
2^192 Keyspace auf Projekt+Container-Paaren
Sofortiger Widerruf – Container löschen = URL stirbt
Bare-Metal-Isolation – kein gemeinsamer Hypervisor
KSM teilt identische Seiten über Container hinweg
Gehärteter Linux-7.1-hoody-Kernel + seccomp
AES-256-Festplattenverschlüsselung · verschlüsselter Swap
2^192 Keyspace auf Projekt+Container-Paaren
Sofortiger Widerruf – Container löschen = URL stirbt
Querschnittsmethode

Dutzende Container auf einem Server ausführen, ohne Isolation aufzugeben.

KSM-Speicher-Sharing packt Dichte in Bare Metal. Firecracker + LXC erzwingen Container-spezifische Isolation.

KSM · LXC + Firecracker · AES-256 · URL 2^192 Schlüsselraum · mehrschichtige Verteidigung

KSM-SeitenfreigabeLXC + Firecracker2^192 URL-KeyspaceAES-256 im Ruhezustand
KSM-Dichte

Geteilte Seiten, separater Speicher.

Kernel Samepage Merging führt identische Speicherseiten über Container hinweg zu einzelnen physischen Kopien zusammen. Mehr Container = weniger Speicher pro Container.

Identische Seiten dedupliziert

RAM-Seiten mit identischem Inhalt (gemeinsame Bibliotheken, Basis-OS, gemeinsame Runtimes) werden zusammengeführt. 30 Node-Container zahlen nicht 30x für Nodes eigenen Speicher.

Isolation erhalten

Container können den RAM der anderen nicht lesen. KSM ist eine Speicheroptimierung — zusammengeführte Seiten werden Copy-on-Write. Jeder Schreibvorgang erzeugt sofort eine private Kopie.

Transparent für Anwendungen

Kein Code-Change nötig. KSM geschieht auf Kernel-Ebene. Anwendungen sehen normalen Speicher.

Lastabhaengiger Vorteil

Der Nutzen skaliert damit, wie viel Container gemeinsam haben. Aehnliche Stacks = riesige Deduplizierung. Voellig unterschiedliche Apps = weniger Dedup, aber Basislinie bleibt.

Hardware-Isolation

Jeder Container hat seinen eigenen Kernel.

LXC-Namespaces + Firecracker-MicroVMs = vollständige Prozess-Isolation ohne Hypervisor-Overhead.

LXC-Namespaces

Prozess, Netzwerk, Mount, User, PID, IPC — jeder Container hat seine eigene Sicht auf den Kernel. Standardmäßiger Linux-Mechanismus, kampferprobt.

Dedizierte VM-Instanzen

Optionale vollwertige Virtual-Machine-Instanzen für Workloads, die volle Kernel-Isolation brauchen – eine härtere Wand als Namespaces allein, on demand bereitgestellt statt als System-Container.

Gehärteter Kernel

Linux 7.1-hoody-Basis mit Sicherheitshärtung. Seccomp-Filter beschränken, welche Syscalls ein Container ausführen kann.

Bare-Metal-Ausgangspunkt

Container laufen auf nutzer-eigener Hardware. Kein gemeinsamer Hypervisor mit anderen Mietern. Keine Noisy-Neighbor-Seitenkanaele von der Cloud-Infrastruktur.

AES-256-Verschlüsselung

Im Ruhezustand verschlüsselt.

Festplatte mit LUKS/AES-256 verschlüsselt. Swap verschlüsselt. Schlüssel nur im Speicher, nie auf Festplatte.

Dateisystem AES-256

Jedes auf die Festplatte geschriebene Byte ist verschlüsselt. Laufwerk verloren — nichts Lesbares verloren.

Verschlüsselter Swap + Temp

Swap-Seiten und Tempfiles landen nie im Klartext auf der Festplatte. Kernel-Speicher-Dumps sind ebenfalls verschlüsselt.

Remote-Entsperrung für Sub-Partitionen

Boot-Ablauf unterstützt Remote-Entschlüsselung über SSH ins initramfs. Keine Festplatten-Schlüssel physisch neben den Daten gespeichert.

URL-Unerratbarkeit

2^192 Kombinationen. Brute-Force ist nicht der Angriff.

Projekt-IDs sind 24 Hex-Zeichen. Container-IDs sind 24 Hex-Zeichen. Eine gueltige URL erfordert beide. Der Schlüsselraum beträgt 2^192.

Paar-Schlüsselraum

2^192

Bei 1 Bio./Sek. aufzählen dauert

länger als das Universum alt ist

Zusaetzliche Schichten verfügbar

JWT · Passwort · IP · Token

Offen-per-URL ist der Startmodus. Jede URL mit JWT, HTTP Basic, IP-CIDR oder Bearer-Token sperren via /platform/proxy.

Mehrschichtige Verteidigung

Sechs unabhaengige Schichten. Eine Fehlfunktion lässt noch fünf uebrig.

Sicherheit ist ein Stack, kein Tor. Jede Schicht ist unabhängig wirksam; zusammen macht ein einzelner Fehler das System überlebbar.

1

URL-Unerratbarkeit

2^192 Schlüsselraum bei Projekt+Container-Kombos. Die URL selbst ist das erste Geheimnis.

2

Container-Isolation

LXC-Namespaces + Firecracker-Micro-VMs. Kernel-Ebene-Trennung.

3

Host-Level-Firewall

Ingress- und Egress-Regeln am Host durchgesetzt, nicht innerhalb des Containers. Manipulationssicher.

4

Proxy-Berechtigungen

JWT / Passwort / IP / Token-Auth-Gruppen auf URLs aufgeschichtet.

5

Realm-Segregation

API-Ebene-Mandantentrennung. Tokens auf bestimmte Realms beschränkt.

6

Festplattenverschlüsselung

AES-256 at Rest. Verschlüsselter Swap. Remote-entsperrter Boot.

Observability + MITM

Alles ist eine inspizierbare HTTP-Anfrage.

Einheitliche Prüfpfade. Jede Aktion gegen einen Container ist ein Proxy-Log-Eintrag. Jeder Service kann per hoody-exec oder einem Proxy-Skript abgefangen werden.

Einheitliche Audit-Logs

Proxy-Logs decken jeden Service ab. Abfragen, exportieren (NDJSON), Stats-Aggregation — alles über /platform/proxy-Log-API.

MITM by Design

Middleware zwischen jeden Service und seine Clients einbauen. Wird für AI-Safety-Gates, Compliance-Logging, Rate-Limiting verwendet — kein Code in der App.

Platform-Fork

Jeder User kann die Hoody-API selbst abfangen, um das Plattformverhalten anzupassen — ohne den Codebase zu forken.

Sofortige Widerrufung

Breach vermutet? Container löschen.

Jede Container-URL stirbt in dem Moment, in dem der Container gelöscht wird. Keine DNS-Propagation. Keine Cache-Invalidierung. Keine veralteten Tokens.

DELETE /api/v1/containers/ID

Ein API-Aufruf. Authentifiziert mit deinem JWT oder Control-Plane-Token.

URL hoert auf zu routen

Proxy entfernt den Routing-Eintrag. Der Hostname gibt sofort 404 zurück — nicht 60 Sekunden später.

In Minuten neu starten

Neuen Container mit neuer ID erstellen. Neue URL. Alte URL ist für immer tot. Keine verbleibenden Credentials zum Rotieren.

Start

Dichte und Isolation sind hier keine Kompromisse.

Bare Metal. Gehärteter Kernel. Verschlüsselte Festplatte. Sechs-Schichten-Verteidigung. Jede Eigenschaft gilt bereits bei deinem ersten Container.

Sicherheitsleitfaden

Siehe auch — /platform/proxy für URL-Berechtigungen und Auth-Gruppen, /platform/control-plane für Realm-/Token-Verwaltung.