Jede Funktion — rückführbar auf laufenden Code

Keine Superlative, keine erfundenen Benchmarks — ein ehrlicher Satz pro Funktion, jeder auf Code abgebildet, der heute am Edge läuft.

Zwei Coraza-WAF-Engines

Zwei Coraza-Engines — proxy-wasm 0.5.0 und libcoraza FFI — liegen in einem Dataplane-Image und sind pro Route wählbar.

Sandbox-isoliertes wasm für mandanteneigene Regeln, reichhaltigeres FFI-Audit für ops-vertraute Routen — kein Zwang zu einem einzigen Kompromiss.

OWASP CRS 4.26

Beide Engines führen das gepinnte OWASP Core Rule Set 4.26 gegen jede Anfrage aus.

Sie erben die community-gepflegte Basis gegen SQLi, XSS und RCE, ohne Signaturen von Hand zu schreiben.

Kaskade PoW → CAPTCHA → Web Bot Auth

Verdächtige Clients durchlaufen Proof-of-Work, dann CAPTCHA, dann Web Bot Auth (RFC 9421 / Ed25519).

Gestufte Reibung bremst automatisierten Missbrauch, während echte Menschen und verifizierte Bots durchkommen — keine pauschale Sperre.

ML-Entity-Scoring

Das Risiko-Scoring pro Entität durchläuft Erkennen → Verifizieren → Durchsetzen, bevor es überhaupt blockieren darf.

Ein neues Signal beobachtet und bewährt sich zuerst, sodass das Scoring nachschärft, ohne von Tag eins an falsch-positiv zu blockieren.

L3/L4-Early-Drop am Edge

Bestätigt bösartiger Traffic wird per nftables/netdev bereits im Kernel verworfen, bevor er die WAF erreicht.

Volumetrische Fluten werden günstig am Edge abgewehrt und halten die Request-Pipeline für legitimen Traffic frei.

Let's Encrypt pro Mandant

Das Modul nginx-acme stellt für jede Mandanten-Domain ein eigenes Let's-Encrypt-Zertifikat aus und erneuert es.

TLS ist ab der ersten DNS-Umstellung automatisch — keine manuellen Zertifikate, kein geteilter Zertifikats-Radius.

EU-Datenresidenz

Edge-Knoten laufen in der EU (Hetzner, OVH, Scaleway) mit GDPR-nativer Residenz, konfigurierbarer Aufbewahrung und Löschrecht.

Ihre Traffic-Metadaten bleiben per Architektur in der Region — nicht als Zusatz, um den Sie herum konfigurieren müssen.

Sehen Sie es auf Ihrer eigenen Domain laufen

Frühe Partner onboarden wir persönlich. Nennen Sie uns Ihre Domain — den Rest übernehmen wir.

Early Access anfragen