Cloud Security Check

Gewissheit, dass Ihr Cloud-Setup den Security Best Practices folgt

Wolkenbrüche vermeiden

Cloud-Umgebungen bringen Geschwindigkeit und Flexibilität — schaffen aber auch viel Raum für Fehlkonfigurationen. Ein S3-Bucket, der öffentlich lesbar geblieben ist, eine zu weit gefasste IAM-Policy, ein Metadata-Endpoint, der von der Applikationsschicht aus nicht erreichbar sein sollte. Das sind die Probleme, die erst auffallen, wenn jemand sie ausnutzt.

Im Rahmen eines Cloud Security Audits prüfe ich Ihre Cloud-Infrastruktur anhand von Security Best Practices. Die Prüfung umfasst:

  • User Management, Authentication, Authorization, Access Policies
  • Component Isolation, Security Groups, VPN Settings, Ingress/Egress Routing
  • Object Storage Visibility (z. B. S3)
  • Security of Serverless Functions (z. B. Lambdas)
  • Hardening von Metadata WebServices (die über SSRF-Schwachstellen missbraucht werden können)
  • Encryption von Data-in-Transit & Data-at-Rest
  • Key Management & Secret Management (Einsatz von Vaults)
  • Logging & Monitoring
  • DFIR-Readiness (Digital Forensics & Incident Response)

Ich kombiniere die aktuellen CIS-Benchmark-Tests mit meiner Pentesting-Erfahrung in Cloud-basierten Umgebungen. Dadurch werden die Findings danach gewichtet, wie ausnutzbar sie in Ihrem konkreten Setup tatsächlich sind — und nicht nur danach, ob sie einen generischen Compliance-Check bestehen oder nicht.

Ergänzung: Review von Container-Orchestrierungsplattformen

Die meisten Cloud-Umgebungen, die ich prüfe, betreiben auch Container-Orchestrierungsplattformen wie Kubernetes (K8s) oder OpenShift. Diese bringen ihre eigene Ebene an Sicherheitsaspekten mit — RBAC-Policies, Pod-Isolation, Control-Plane-Hardening —, die über das hinausgehen, was ein Review auf Cloud-Ebene abdeckt. Wenn Ihre Infrastruktur Container-Plattformen umfasst, biete ich einen dedizierten Container Platform Review an, der mit diesem Cloud Security Check für eine vollständige Abdeckung kombiniert werden kann.

Detailliertes Reporting

Der Ergebnisbericht der gefundenen Security-Probleme umfasst detaillierte Beschreibungen der Findings (inklusive aller gesammelten Nachweise) und konkrete Absicherungsempfehlungen pro Problem sowie Hinweise zur weiteren Härtung Ihrer Anwendung. Damit Findings schnell bei den richtigen Teams landen, kategorisiere ich sie nach Funktion (Business, Architektur, Entwicklung, Betrieb).

Nach Versand des Reports folgt ein Debriefing vor Ort oder remote, um Ergebnisse und offene Fragen gemeinsam mit den für die Behebung zuständigen Teammitgliedern durchzugehen.

Optional kann anschließend ein Re-Check der behobenen Findings erfolgen, der in einen aktualisierten Report mündet.

Voraussetzungen

Diese Art von Security-Check erfordert privilegierten Zugriff auf die Cloud-Umgebung, um deren Sicherheit prüfen zu können.

Hilfreich ist es außerdem, vorab einige Informationen zu Ihrer Architektur und zum gewünschten Cloud-Setup zu erhalten, damit das Review so zielgerichtet wie möglich erfolgen kann. Dazu gehören auch übergeordnete Informationen zu Ihrer Architektur: welche Komponenten eingesetzt werden und welche Art von Daten (in Bezug auf Sensitivität) auf welcher Komponente verarbeitet wird.

Diese Informationen werden üblicherweise in einem Kick-off-Workshop (remote oder vor Ort) bereitgestellt und besprochen, spätestens wenige Tage vor Beginn des Reviews.