In dieser Netzwerkarchitektur werden Hüllen um einen Kern gebaut. Dabei hat jede Hülle von außen nach innen mehr Sicherheitsrisiken. Die innerste Hülle, der Kern, ist die am wichtigsten und damit am stärksten gesicherte Einheit.
Alle Hüllen sind virtuell voneinander getrennt mit separate subnets und VLans/SD-Lans. Die Kommunikation von einer Hülle zu einer anderen findet nur über ein No Mans Net statt, in welchem nur Firewalls/Router existieren. Diese können mittels NAT zwischen den Netzwerken Routen herstellen.
So ist ein Zugriff auf Netzwerkressourcen nur mittels einer Whitelist möglich und jeder Zugriff muss explizit freigegeben werden und ist protokolliert.
Gleichzeitig werden die Netzwerkressourcen "versteckt", da als Gegenstelle immer nur eine Firewall sichtbar ist, aber nie die Ressource selbst. Somit ist auch eine Fehlkonfiguration nicht möglich, da ohne explizite Freigabe diese nicht sichtbar ist.
Beta Version
Die Netzwerkarchitektur hat sich in der Praxis als zuverlässig erwiesen.
Zusätzliche Integration von Sicherheitslösungen und Log Server sind vor Release Candidate nötig.
Voll automatische Installation ist noch nicht gegeben.