Private-First-Distributed-Infrastruktur

SRRRS

Sicheres Remote-Ressourcen-Routing-System

Aufgebaut auf einem globalen Anycast-Backbone, vereint SRRRS Netzwerkzugangssteuerung, Kommunikationsrouting, Datenspeicherung und Service-Publishing in einem einzigen privaten Stack. Daten verbleiben in konformen Rechtsgebieten, jede Anfrage ist identitätsbewusst, und der Perimeter wird durch Richtlinien definiert – nicht durch das physische Netzwerk.

Konsole öffnen Architektur ansehen

Übersicht

Infrastruktur ohne veraltete Annahmen

Moderne private Infrastrukturen sollten nicht auf statischen IPs, selbst gehosteten Servern oder den netzwerkschichtbasierten Vertrauensannahmen herkömmlicher VPNs basieren. SRRRS baut neu auf, wie Einzelpersonen und kleine, agile Teams ihre Infrastruktur in Software steuern – vom Geräte-Onboarding bis zur Mail-Zustellung, vom Dateispeicher bis zur internen Service-Veröffentlichung – und bildet dabei einen geschlossenen, sicheren, hochverfügbaren privaten Loop.

Architektur

Architekturübersicht

SRRRS folgt einer klassischen Trennung von Control Plane und Data Plane, um Richtlinienkonsistenz zu gewährleisten und gleichzeitig den Datenverkehr effizient fließen zu lassen:

Edge-Zugriffsebene · Edge Access Plane

Gestützt auf ein globales Anycast-Netzwerk, verarbeitet sie BGP-Routenankündigungen, TLS-1.3-Terminierung und L3/L4-Traffic-Scrubbing.

Steuerungs- & Richtlinienebene · Control & Policy Plane

Die zentrale Identity-Governance-Plane-Engine. Sie bewertet Gerätefingerabdruck, Geolokation und Kontextrisiko in Echtzeit und überträgt dann L7-Zugriffskontrollrichtlinien dynamisch an den Edge.

Daten- & Rechenebene · Data & Compute Plane

Unveränderlicher Objektspeicher (ObjectLake), ein serverloses Compute-Mesh (EventMesh) und Reverse-Tunnel-Proxys. Jeder Lese- und Schreibvorgang ist streng an kurzlebige, von der Control Plane ausgestellte Tokens gebunden.

Kernservices

Sechs Module, ein privater Stack

Access Gateway

Zero-Trust-Netzwerkzugang

Beseitigt das implizite netzwerkschichtbasierte Vertrauen herkömmlicher VPNs. Jede Ressourcenanfrage wird unabhängig authentifiziert und das Gerätevertrauen bewertet. Richtlinien werden granular nach Benutzer, Gerätetyp und Kontext konfiguriert, und Änderungen treten innerhalb von Millisekunden an Edge-Knoten in Kraft. Ein softwaredefinierter Perimeter (SDP) auf dem Anycast-Backbone hält die Zugangslatenz niedrig, indem er am nächsten globalen Knoten terminiert.

Identity Plane

Einheitliche Identitäts-Governance

Eine einzelne Identitäts-Governance-Schicht für jeden internen Service. Jede Anwendung trägt ihre eigene Zugriffsrichtlinie mit MFA, SSO und Sperrung auf Anwendungsebene. Nicht autorisierte Anfragen werden am Edge abgelehnt, bevor sie den Ursprung erreichen, und interne Services bleiben für das öffentliche Internet unsichtbar – eine Dark-Cloud-Architektur.

Mail Gateway

Edge-Mail-Routing

Eine domainbasierte, verteilte Mail-Routing-Architektur. Sende- und Empfangslogik liegt in Edge-Funktionen, ohne schwerfällige herkömmliche Mailserver-Infrastruktur. Vollständige SPF-, DKIM- und DMARC-Authentifizierung etabliert eine überprüfbare Absenderidentitätskette auf Domainebene. Benutzerdefinierte Routing-Regeln und Multi-Adress-Aliase ermöglichen eine domainweise Orchestrierung der Mail-Logik.

ObjectLake

Verteilter Objektspeicher

Ein S3-kompatibler verteilter Objektspeicher für private Dateiverteilung, Backup und geräteübergreifende Synchronisation. Fein granulare Zugriffsrichtlinien und Bucket-Berechtigungen sind tief in die Identitäts-Governance-Schicht integriert.

Tunnel

Interner Service-Tunnel

Ordnen Sie jeden internen Service einer kontrollierten Domain zu – ohne öffentliche IP. Basierend auf ausgehenden Reverse-Tunneln setzen interne Hosts keine eingehenden Ports frei, und der gesamte Datenverkehr ist während der Übertragung verschlüsselt. Veröffentlichen Sie HTTP, SSH und Raw TCP mit servicelevelbasierter Zugriffskontrolle über die Identitätsschicht.

Transfer

Multi-Protokoll-Dateiübertragung

Multi-Protokoll-Zugriffsadapter auf dem einheitlichen Objektspeicher-Backend – kompatibel mit bestehenden FTP/SMB-Protokollen und Legacy-Clients. Jede Übertragung wird durch die Identitätsschicht kontrolliert, mit vollständiger Betriebsprotokollprüfung.

Schnellstart

Von localhost zu einer kontrollierten Domain in drei Befehlen

Einmal authentifizieren, einen Service ohne eingehende Ports freigeben und verschlüsselte Objekte in eine konforme Region übertragen – jeder Schritt wird durch die Identitätsschicht kontrolliert.

Dokumentation lesen

srrrs — zsh

$ srrrs login

✓ Authenticated · device trust verified — 0 passwords stored

$ srrrs tunnel expose http://localhost:3000 --name app

✓ Live at https://app.srrrs.com (0 inbound ports opened)

$ srrrs object cp ./dist s3://objectlake/releases --region eu

↑ 142 files · encrypted in transit & at rest

Warum SRRRS

Was SRRRS auszeichnet

Anycast-Globales-Backbone

Der gesamte Datenverkehr wird am nächsten Knoten über ein global verteiltes Anycast-Netzwerk verarbeitet – kein einzelner Ingress-Engpass, und Backbone-Pfade bleiben unabhängig von überlasteten öffentlichen Internet-Links.

Konformer Datensouveränität

Persistente Daten befinden sich in konformen Rechtsgebieten wie der EU, mit einer Datenschutzbehandlung, die dem GDPR-Framework entspricht – rechtmäßige, sichere Datenresidenz by Design.

Identität als Perimeter

Physische Netzwerkgrenzen haben hier keinen Vertrauenswert. Jeder Zugriff wird unabhängig durch die Identitäts- und Richtlinien-Engine autorisiert, und die Erreichbarkeit interner Services wird vollständig durch Richtlinien definiert.

Full-Stack-Private-Loop

Zugang, Kommunikation, Speicherung und Publishing laufen alle innerhalb eines SRRRS-Stacks – ohne unkontrollierte Drittanbieter-Hops im Datenpfad.

In Zahlen

Null Exposition, by Design

0 Exponierte Ursprungs-IPs

0 Offene eingehende Ports

0 Persistente Daten über unkontrollierte Intermediäre

1 Einheitliche Identitäts-Governance-Schicht für jeden Service

3 Überlappende Mail-Auth-Protokolle — SPF / DKIM / DMARC

6 Kernservice-Module, von Zugang bis Speicherung

Sicherheit & Compliance

Zero Trust, von Anfang bis Ende durchgesetzt

SRRRS folgt den Prinzipien der Zero-Trust-Architektur (ZTA). Jeder interne Service ist standardmäßig nicht erreichbar; der Zugriff wird dynamisch durch die Identitäts- und Richtlinien-Engine autorisiert, mit systemweit durchgesetztem Least-Privilege-Prinzip (PoLP).

Der gesamte Transport ist Ende-zu-Ende verschlüsselt. Edge-Knoten führen Anforderungsfilterung und Identitätsverifizierung durch, und Kerndaten traversieren niemals einen unkontrollierten Zwischenlink. Die Persistenzschicht erfüllt strenge Datenresidenz- und Compliance-Audit-Anforderungen.

FAQ

Häufig gestellte Fragen

Wie unterscheidet sich SRRRS grundlegend von einem kommerziellen VPN oder einem Cloud-VPC?

Ein herkömmliches VPN stützt sich auf die Erreichbarkeit der Netzwerkschicht (IP/Port) – sobald der Tunnel aufgebaut ist, ist das interne Netzwerk lateral exponiert. Ein Cloud-VPC ist auf den physischen Edge eines einzelnen Anbieters begrenzt. SRRRS verwendet einen anwendungsschichtbasierten (L7) softwaredefinierten Perimeter (SDP) mit Reverse-Tunneling: Es beseitigt vollständig die Exposition von Ursprungs-IPs und liefert einheitliche Identitäts- und Richtliniengovernance über Clouds und On-Premise-Rechenzentren hinweg.

Wo werden meine Daten gespeichert und wie wird der Datenschutz gewährleistet?

SRRRS ist datensouveränitätsorientiert. Ihre persistenten Objektdaten befinden sich standardmäßig in dem von Ihnen konfigurierten konformen Rechtsgebiet (z. B. EU-Knoten) und werden nicht über Regionen hinweg verschoben. Alles ist während der Übertragung und im Ruhezustand mit industriestandard-starken Chiffren verschlüsselt, und der Schlüssellebenszyklus wird zentral durch die Identitäts- und Richtlinienebene verwaltet.

Kann SRRRS in meine bestehende CI/CD oder interne Clients integriert werden?

Vollständig. Die SRRRS Identity Plane stellt standardmäßige OIDC/SAML-Föderations-Schnittstellen bereit, die nahtlos mit GitHub Actions, GitLab CI und ähnlichen Pipelines verbunden werden können. Unsere Tunnel- und Access-Komponenten werden mit plattformübergreifenden nativen Clients und einer RESTful-API für eine tiefe Integration in Ihren DevOps-Workflow geliefert.

Warum gibt es keine öffentlichen Preise für SRRRS?

SRRRS ist als private-first, maßgeschneiderte Infrastruktur positioniert – kein standardisiertes öffentliches SaaS-Produkt. Um die architektonische Reinheit und hochverfügbares Scheduling zu bewahren, operiert SRRRS derzeit auf Einladungs- und Private-Deployment-Basis. Wir bieten keinen unbegrenzten gemeinsamen Ressourcenpool für das öffentliche Internet an.