Zwei Coraza-WAF-Engines
Zwei Coraza-Engines — proxy-wasm 0.5.0 und libcoraza FFI — liegen in einem Dataplane-Image und sind pro Route wählbar.
Sandbox-isoliertes wasm für mandanteneigene Regeln, reichhaltigeres FFI-Audit für ops-vertraute Routen — kein Zwang zu einem einzigen Kompromiss.
OWASP CRS 4.26
Beide Engines führen das gepinnte OWASP Core Rule Set 4.26 gegen jede Anfrage aus.
Sie erben die community-gepflegte Basis gegen SQLi, XSS und RCE, ohne Signaturen von Hand zu schreiben.
Kaskade PoW → CAPTCHA → Web Bot Auth
Verdächtige Clients durchlaufen Proof-of-Work, dann CAPTCHA, dann Web Bot Auth (RFC 9421 / Ed25519).
Gestufte Reibung bremst automatisierten Missbrauch, während echte Menschen und verifizierte Bots durchkommen — keine pauschale Sperre.
ML-Entity-Scoring
Das Risiko-Scoring pro Entität durchläuft Erkennen → Verifizieren → Durchsetzen, bevor es überhaupt blockieren darf.
Ein neues Signal beobachtet und bewährt sich zuerst, sodass das Scoring nachschärft, ohne von Tag eins an falsch-positiv zu blockieren.
L3/L4-Early-Drop am Edge
Bestätigt bösartiger Traffic wird per nftables/netdev bereits im Kernel verworfen, bevor er die WAF erreicht.
Volumetrische Fluten werden günstig am Edge abgewehrt und halten die Request-Pipeline für legitimen Traffic frei.
Let's Encrypt pro Mandant
Das Modul nginx-acme stellt für jede Mandanten-Domain ein eigenes Let's-Encrypt-Zertifikat aus und erneuert es.
TLS ist ab der ersten DNS-Umstellung automatisch — keine manuellen Zertifikate, kein geteilter Zertifikats-Radius.
EU-Datenresidenz
Edge-Knoten laufen in der EU (Hetzner, OVH, Scaleway) mit GDPR-nativer Residenz, konfigurierbarer Aufbewahrung und Löschrecht.
Ihre Traffic-Metadaten bleiben per Architektur in der Region — nicht als Zusatz, um den Sie herum konfigurieren müssen.