Sicherheit durch Design - Das awaBerry Protokoll

Zero-Trust-Architektur ohne offene Ports, VPNs oder Reverse-Tunnel

Das awaBerry Protokoll wurde von Grund auf mit Sicherheit als Fundament entwickelt. Durch die Eliminierung traditioneller Angriffsvektoren wie offener Ports (22, 21) und komplexer VPN-Konfigurationen bietet awaBerry zertifikatsbasierte Ende-zu-Ende-verschlüsselte Kommunikation, die sicherstellt, dass nur legitime Gerätebesitzer und autorisierte API-Projekte auf Ihre Geräte zugreifen können. Jede Verbindung wird authentifiziert, autorisiert und ist auditierbar.

Keine offenen Ports Icon

Keine offenen Ports

Eliminiert Port 22 (SSH), Port 21 (FTP) und alle anderen eingehenden Firewall-Ports. Ihre Geräte stellen ausschließlich sichere ausgehende Verbindungen her, was Ihre Angriffsfläche drastisch reduziert.

Zertifikat Icon

Zertifikatsbasierte Authentifizierung

Jede Verbindung nutzt zertifikatsbasierte HTTPS-Ende-zu-Ende-Verschlüsselung. Nur legitime Gerätebesitzer oder autorisierte API-Projektdelegierte können mit Ihren Geräten kommunizieren.

API Icon

Zero-Trust API

Die awaBerry Cloud API fungiert als sicheres Vermittlungsglied und validiert jede Verbindungsanfrage, bevor WebSocket-Sitzungen zwischen Benutzern und Geräten hergestellt werden.

Feingranulare Zugriffskontrolle Icon

Feingranulare Zugriffskontrolle

Erstellen Sie über awaBerry Agentic Projekte mit API-Schlüsseln, die den Zugriff auf bestimmte Ordner, Befehle oder Benutzergruppen beschränken. Perfekt für Zero-Trust-Automatisierung und KI-Agenten.

Sitzungsverwaltung Icon

Sitzungsbasierte Sicherheit

Jede Interaktion erfordert ein gültiges Sitzungstoken. Sitzungen sind zeitlich begrenzt und an authentifizierte Benutzer gebunden, was eine kontinuierliche Verifizierung während des gesamten Verbindungslebenszyklus gewährleistet.

Audit Icon

Vollständige Auditierbarkeit

Jeder Befehl, jede Dateiübertragung und jeder Verbindungsversuch wird mit vollständiger Benutzeridentitätsverfolgung protokolliert. Erfüllen Sie Compliance-Anforderungen mit umfassenden Audit-Trails.

So funktioniert das awaBerry Protokoll

1

Geräteregistrierung & Ruhezustand

Sichere Initialisierung

Wenn Sie den awaBerry Client auf Ihrem Gerät installieren, registriert er sich über zertifikatsbasierte Authentifizierung bei der awaBerry Cloud API. Das Gerät erhält eine eindeutige Kennung und kryptografische Anmeldeinformationen, die seine Legitimität beweisen.

Sicherheit im Ruhezustand: Der awaBerry Client auf Ihrem Gerät wechselt in einen Ruhezustand, in dem er keine CLI-Befehle ausführen kann. Er wartet lediglich auf authentifizierte Verbindungsanfragen von der awaBerry Cloud API. Es gibt keine lokale Schnittstelle, die ausgenutzt werden könnte, keine offenen Ports, die auf Verbindungen lauschen, und keine Möglichkeit, auf das Gerät zuzugreifen, ohne die sichere API zu durchlaufen.

🔒 Sicherheitsvorteil: Ihr Gerät ist für externe Netzwerke vollständig unsichtbar. Port-Scanner finden nichts. Es lauschen keine Dienste auf eingehende Verbindungen.

2

Benutzerverbindungsanfrage

Authentifizierte Anforderungsinitiierung

Wenn Sie (der legitime Benutzer) auf Ihr Gerät zugreifen möchten, authentifizieren Sie sich bei der awaBerry Plattform über:

  • Webbrowser: Melden Sie sich bei awaBerry Remote für browserbasierten Terminalzugriff an
  • API-Schlüssel: Verwenden Sie die awaBerry Agentic API mit dem API-Schlüssel und dem Geheimnis Ihres Projekts
  • MCP-Server: Zugriff über KI-Agenten wie Claude Desktop mit autorisierten Anmeldeinformationen

Nach erfolgreicher Authentifizierung initiieren Sie eine Verbindungsanfrage, die Folgendes enthält:

  • Ihre authentifizierte Benutzeridentität
  • Die Zielgeräte-Kennung
  • Der angeforderte Zugriffsumfang (vollständiges Terminal, bestimmte Befehle, Dateizugriff usw.)

🔒 Sicherheitsvorteil: Jede Anfrage ist an eine verifizierte Benutzeridentität gebunden. Anonymer oder unauthentifizierter Zugriff ist unmöglich.

3

Validierung der Verbindungsanfrage

Zero-Trust-Verifizierung

Die awaBerry Cloud API führt eine strenge Validierung durch, bevor sie die Verbindungsanfrage an Ihr Gerät weiterleitet:

  • Benutzeridentitätsprüfung: Bestätigt, dass der Benutzer authentifiziert und autorisiert ist
  • Gerätebesitzerprüfung: Überprüft, ob der Benutzer die Berechtigung hat, auf das Zielgerät zuzugreifen
  • Zugriffsumfang-Validierung: Prüft, ob die angeforderte Zugriffsebene zulässig ist (z. B. darf ein API-Projekt nur Lesezugriff auf Dateien gewähren)
  • Zertifikatsvalidierung: Stellt sicher, dass alle kryptografischen Anmeldeinformationen gültig und nicht abgelaufen sind

Erst nachdem alle Validierungen bestanden wurden, leitet die awaBerry Cloud API die Verbindungsanfrage an Ihr Gerät weiter.

🔒 Sicherheitsvorteil: Mehrere Ebenen der Authentifizierung und Autorisierung verhindern unbefugten Zugriff, selbst wenn eine Anmeldeinformation kompromittiert wird.

4

Geräteverbindungsantwort

Sichere Bestätigung

Wenn Ihr Gerät eine gültige Verbindungsanfrage von der awaBerry Cloud API erhält, wird Folgendes ausgeführt:

  • Anfrage verifizieren: Prüft, ob die Anfrage von der legitimen awaBerry Cloud API stammt (nicht von einer gefälschten Quelle)
  • Übereinstimmende Kennungen validieren: Bestätigt, dass die Geräte-ID und die Benutzer-ID mit der Registrierung übereinstimmen
  • Verbindungsbestätigung senden: Sendet eine kryptografisch signierte Antwort, die die Verbindung akzeptiert

Dieser Handshake stellt eine gegenseitige Authentifizierung sicher – sowohl der Benutzer als auch das Gerät überprüfen die Legitimität des anderen über die vertrauenswürdige awaBerry Cloud API.

🔒 Sicherheitsvorteil: Gegenseitige Authentifizierung verhindert Man-in-the-Middle-Angriffe und stellt sicher, dass Sie sich mit Ihrem tatsächlichen Gerät verbinden und nicht mit einem Betrüger.

5

Sitzungstoken & WebSocket-Einrichtung

Verschlüsselter Kommunikationskanal

Sobald sowohl der Benutzer als auch das Gerät die Verbindung über die awaBerry Cloud API bestätigt haben, wird eine sichere Sitzung eingerichtet:

  1. Generierung des Sitzungstokens: Die awaBerry Cloud API generiert ein eindeutiges, zeitlich begrenztes Sitzungstoken
  2. Tokenverteilung: Sowohl der Benutzer als auch das Gerät erhalten das Sitzungstoken über ihre verschlüsselten Kanäle
  3. WebSocket-Verbindung: Eine sichere WebSocket-Verbindung wird direkt zwischen dem Benutzer und dem Gerät hergestellt und verwendet das Sitzungstoken zur kontinuierlichen Authentifizierung
  4. Ende-zu-Ende-Verschlüsselung: Alle über das WebSocket übertragenen Daten werden mit HTTPS/TLS und zertifikatsbasierter Authentifizierung verschlüsselt

Die awaBerry Cloud API fungiert als vertrauenswürdiges Vermittlungsglied für die Sitzungseinrichtung, hat jedoch keinen Zugriff auf die eigentlichen Befehlsdaten – die Verschlüsselung ist wirklich Ende-zu-Ende zwischen Ihnen und Ihrem Gerät.

🔒 Sicherheitsvorteil: Sitzungstoken laufen automatisch ab und verhindern Replay-Angriffe. Die Verbindung ist Ende-zu-Ende verschlüsselt und gewährleistet die Privatsphäre.

6

Sichere Befehlsausführung

Terminalzugriff & Steuerung

Mit der eingerichteten sicheren WebSocket-Sitzung können Sie nun mit Ihrem Gerät interagieren:

  • Terminalbefehle: Geben Sie Befehle im webbasierten Terminal ein, die über das verschlüsselte WebSocket an das Gerät übertragen werden
  • Befehlsverarbeitung: Der awaBerry Client auf dem Gerät führt den Befehl in der entsprechenden Shell aus (bash, zsh usw.)
  • Antwortübertragung: Die Terminalausgabe wird über das verschlüsselte WebSocket zurück an Ihren Browser gesendet
  • Dateiübertragungen: Laden Sie Dateien per Drag & Drop über denselben sicheren Kanal hoch oder herunter – keine Notwendigkeit für SCP-, SFTP- oder FTP-Clients

Für API/Agentic-Zugriff: Anstelle eines interaktiven Terminals führen API-Anfragen bestimmte Befehle oder Operationen aus, die durch den Zugriffsumfang Ihres API-Projekts definiert sind. Antworten werden als strukturierte JSON-Daten zurückgegeben.

🔒 Sicherheitsvorteil: Alle Befehle werden mit vollständigen Audit-Trails protokolliert. Sitzungstoken können bei verdächtigen Aktivitäten sofort widerrufen werden.

7

Zero-Trust-Projektdelegation (awaBerry Agentic)

API-Schlüssel mit eingeschränkten Berechtigungen

Für Automatisierung, KI-Agenten und Teamzusammenarbeit ermöglicht awaBerry Agentic die Erstellung von Projekten mit feingranularer Zugriffskontrolle:

  • Projekterstellung: Erstellen Sie ein neues Projekt und erhalten Sie einen API-Schlüssel und ein API-Geheimnis
  • Definition des Zugriffsumfangs: Legen Sie genau fest, worauf das Projekt zugreifen kann:
    • Nur bestimmte Verzeichnisse (z. B. /home/user/data)
    • Nur bestimmte Befehle (z. B. ls, cat, grep)
    • Lese- oder Lese-/Schreibberechtigungen
    • Zugriff auf bestimmte Benutzer oder Benutzergruppen
  • Zero-Trust-Durchsetzung: Der API-Schlüssel kann nur Aktionen innerhalb seines definierten Umfangs ausführen – der Versuch, auf andere Verzeichnisse oder Befehle zuzugreifen, wird automatisch verweigert
  • Widerruf: Widerrufen Sie einen API-Schlüssel sofort, wenn er kompromittiert wird oder nicht mehr benötigt wird

Anwendungsfälle:

  • KI-Agenten, die begrenzten Zugriff auf bestimmte Datenordner benötigen
  • CI/CD-Pipelines, die in bestimmte Verzeichnisse bereitstellen
  • Auftragnehmer oder Teammitglieder, die nur auf bestimmte Teile des Systems zugreifen dürfen
  • MCP-Server-Integrationen mit Claude Desktop oder anderen Agentic-Frameworks

🔒 Sicherheitsvorteil: Das Prinzip der geringsten Rechte wird standardmäßig durchgesetzt. Selbst wenn ein API-Schlüssel durchsickert, ist der Schaden auf seinen eingeschränkten Umfang begrenzt.

8

Sitzungsbeendigung & Bereinigung

Sichere Sitzungsschließung

Wenn Sie den Zugriff auf Ihr Gerät beendet haben, wird die Sitzung sicher beendet:

  • Ordnungsgemäße Trennung: Schließen Sie den Browser-Tab oder senden Sie einen Trennungsbefehl
  • Ungültigkeit des Tokens: Das Sitzungstoken wird sofort ungültig und kann nicht mehr verwendet werden
  • Rückkehr zum Ruhezustand: Das Gerät kehrt in seinen sicheren Ruhezustand zurück und kann keine Befehle ausführen, bis die nächste authentifizierte Verbindungsanfrage erfolgt
  • Eintrag im Audit-Log: Die Sitzungsschließung wird mit Zeitstempel und Dauer protokolliert

Automatische Timeouts: Sitzungen laufen nach einer Inaktivitätsperiode automatisch ab, um sicherzustellen, dass vergessene Sitzungen nicht unbegrenzt offen bleiben.

🔒 Sicherheitsvorteil: Kein verbleibender Zugriff. Sobald eine Sitzung beendet ist, kann sie nicht wieder aufgenommen oder übernommen werden. Eine neue Authentifizierung ist erforderlich.

Standardinstallation: Browserbasierter Terminal

awaBerry Remote - Fernzugriff auf die Shell von überall

Die Standardinstallation von awaBerry bietet ein webbasiertes Terminal, das genauso funktioniert wie SSH, aber ohne die Komplexität:

  • Kein SSH-Client erforderlich: Greifen Sie von jedem Browser auf jedem Gerät (Laptop, Telefon, Tablet) auf Ihr Gerät zu
  • Keine zu verwaltenden SSH-Schlüssel: Ihre awaBerry-Identität ersetzt die traditionelle SSH-Schlüsselverwaltung
  • Keine Port-22-Exposition: Ihr Gerät lauscht nie auf Port 22 und eliminiert damit das Hauptziel für Brute-Force-Angriffe
  • Intelligentes Terminal: Verwenden Sie natürliche Sprachbefehle wie "Zeige mir große Dateien" anstelle des Auswendiglernens komplexer Shell-Syntax
  • Integrierte Dateiübertragung: Ziehen Sie Dateien per Drag & Drop direkt in Ihren Browser – keine Notwendigkeit für SCP-, SFTP- oder FTP-Clients
  • Plattformübergreifend: Funktioniert auf Linux, macOS, Windows und Docker-Containern
  • Cloud-unabhängig: Verbindet sich mit Geräten in jeder Cloud (AWS, Azure, GCP, Hetzner, Digital Ocean) oder On-Premise

🔒 Sicherheitsvorteil: Die gesamte Bequemlichkeit von SSH mit Zero-Trust-Sicherheit und keiner exponierten Angriffsfläche.

Erweiterte Integration: Agentic Workflows

MCP-Server-Implementierung

Die awaBerry API lässt sich nahtlos mit Agentic-Frameworks über das Model Context Protocol (MCP) integrieren:

  • Claude Desktop: Verbinden Sie Claude AI mit Ihren Geräten, sodass es Befehle ausführen, Dateien lesen und Aufgaben automatisieren kann
  • Agentic Frameworks: Integrieren Sie sich mit KI-Agenten-Orchestrierungsplattformen wie LangChain, AutoGen oder benutzerdefinierten Frameworks
  • CI/CD-Automatisierung: Lösen Sie Geräteoperationen aus Ihren Continuous-Integration-Pipelines aus
  • IoT-Flottenmanagement: Automatisieren Sie Operationen über Hunderte oder Tausende von Geräten gleichzeitig
  • Benutzerdefinierte Workflows: Erstellen Sie Ihre eigenen Skripte, Anwendungen oder Dienste, die über die awaBerry API mit Geräten interagieren

Beispielanwendungsfälle:

  • KI-Agent, der Serverprotokolle überwacht und Probleme automatisch diagnostiziert
  • Automatisches Bereitstellungssystem, das Updates an Geräteflotten pusht
  • Datenerfassungsagenten, die Informationen von verteilten Sensoren sammeln
  • Selbstheilende Infrastruktur, die Probleme autonom erkennt und behebt

🔒 Sicherheitsvorteil: KI-Agenten und Automatisierungsskripte erhalten feingranulare Berechtigungen über API-Projekte, um sicherzustellen, dass sie nur autorisierte Aktionen ausführen können.

Vergleich der Sicherheitsprinzipien

Sicherheitsprinzip Traditionelles SSH/VPN awaBerry Protokoll
Erforderliche offene Ports ❌ Ja (Port 22, VPN-Ports) ✅ Keine offenen Ports
Angriffsfläche ❌ Hoch (exponierte Dienste) ✅ Minimal (nur ausgehend)
Authentifizierungsmethode ⚠️ Statische Schlüssel oder Passwörter ✅ Zertifikatsbasiert + Identität
Sitzungsverwaltung ⚠️ Langlaufende Verbindungen ✅ Zeitlich begrenzte Token
Ende-zu-Ende-Verschlüsselung ✅ Ja (SSH-Protokoll) ✅ Ja (HTTPS/TLS)
Feingranulare Zugriffskontrolle ❌ Begrenzt (nur Benutzer/Gruppe) ✅ Pro Verzeichnis, pro Befehl
Audit-Protokollierung ⚠️ Grundlegend (falls konfiguriert) ✅ Umfassend standardmäßig
VPN erforderlich ❌ Oft ja ✅ Nie
Zero-Trust-Architektur ❌ Netzwerkbasierte Vertrauensstellung ✅ Identitätsbasierte Vertrauensstellung
API für Automatisierung ⚠️ Niedrig (SSH-Protokoll) ✅ Hochrangige REST-API

Erleben Sie Sicherheit durch Design

Erfahren Sie, wie das awaBerry Protokoll Ihre Geräte schützt, ohne die Benutzerfreundlichkeit zu beeinträchtigen.