Eine gute Sicherheitsarchitektur stellt nicht die Frage, ob Kontrollen wie PII-Maskierung, Rate-Limiting und Audit-Protokollierung implementiert werden sollen. Sie fragt, wo. Die richtige Antwort lautet beide Ebenen: Plattform-nativ zuerst, wobei Engineering-Teams zusätzliche Kontrollen aufbauen. Das ist Defense-in-Depth.
Ohne Fundament zu bauen bedeutet, dass Engineering-Teams keine Sicherheitsentscheidungen treffen. Stattdessen schließen sie reaktiv Lücken bei jedem neuen Agenten-Deployment und jedem neuen Kanal. Aber wenn ein solides Fundament vorhanden ist, können diese Teams bewusste Kontrollen auf einer Basis aufbauen, die hält.
An diesem Punkt wird die architektonische Frage zu einer Roadmap-Frage. Wenn plattformnative Kontrollen existieren, können Engineering-Führungskräfte sehen, was ihr Team tatsächlich baut, und bewerten, was echten Schutz bietet und was lediglich Infrastruktur rekonstruiert, über die die Plattform bereits verfügen sollte. Das entscheidet darüber, ob Engineering-Teams an der nächsten Funktion arbeiten oder nur den Betrieb aufrechterhalten.