Cloud Audit

Die Cloud bietet viele inhärente Vorteile wie hohe Skalierbarkeit und Flexibilität, bei gleichzeitig niedrigen Kosten und Wartungsaufwänden. Dies macht sie insbesondere für kleine und mittelständische Unternehmen zu einer attraktiven Alternative zu häufig starren und schwerfälligen On-Premise-Systemen.

Was ist ein Cloud Audit?

Was ist ein Cloud Audit?

Cloud Audits sind so facettenreich wie das Thema Cloud selbst. Zu unserem Portfolio gehören unter anderem die folgenden Punkte:

  • Beratung zu Themen wie Cloud-Architekturen, Aufbau oder Bewertung von DevSecOps-Prozessen oder Migration von Altsystemen in die Cloud
  • Config Audits von (cloud-native) Services wie Kubernetes, Docker, Openshift, Keycloak, CloudFoundry, Vault, Jenkins etc.
  • Control Plane Audits (Analyse der Cloud Control Plane, bspw. AWS, Azure und GCP)
  • Penetrationstests oder Vulnerability Assessments von Systemen in der Cloud

Falls Sie ein Problem in diesem Themenbereich haben und noch nicht wissen, wie Sie dieses optimal angehen sollen, bietet sich auch eine initiale Beratung an. Im Rahmen dieser erarbeiten wir gemeinsam mit Ihnen eine individuelle Lösung, um sie optimal in die Zukunft zu führen.

Warum lohnt sich ein Cloud Audit?

Die Cloud stellt in vielerlei Hinsicht die Basis Ihrer IT-Landschaft dar. Daher ist es unerlässlich, geeignete Sicherheits- und Härtungsmaßnahmen umzusetzen, um diese zu schützen. Andernfalls kann das Sicherheitsniveau der gesamten IT-Infrastruktur beeinträchtigt werden.

Darüber hinaus bringt die Cloud auch eine Vielzahl an neuen Technologien mit sich, die Fluch und Segen zugleich sind. Zwar erleichtern moderne Alternativen oftmals den Entwicklungsprozess, jedoch bringen sie häufig auch neue Herausforderungen und Probleme mit sich. So kann eine einzelne Fehlkonfiguration schon dazu führen, dass Datenbanken plötzlich frei zugänglich im Internet verfügbar sind.

Mit einem Audit Ihrer Cloudinfrastruktur und -services können Sie Ihre vorhandenen Systeme auf die Probe stellen. Funktioniert das Berechtigungskonzept? Gibt es Designfehler oder Fehlkonfigurationen? Werden Compliance-Anforderungen eingehalten?

Falls Sie aktuell noch darüber nachdenken, Ihre On-Premise-Systeme in die Cloud umzuziehen oder neue Infrastruktur in der Cloud aufzusetzen, sind wir Ihnen zudem gerne bei der Konzeption und dem Deployment behilflich. Gerne beraten wir Sie initial, um über Ihr Vorhaben, potentielle Probleme und mögliche Lösungen zu sprechen.

Warum lohnt sich ein Cloud Audit?

Ablauf eines Config Audits

  • Verstehen

    In einer initialen Beratungsrunde erstellen wir gemeinsam eine Übersicht Ihrer Cloud-Infrastruktur, von Ihnen eingesetzte Cloud-Services sowie für Sie geltende Compliance-Anforderungen.

  • Bewerten

    Anhand der erarbeiteten Übersicht stellen wir Ihnen in einer zweiten Runde eine auf Ihre Bedürfnisse angepasste Audit-Strategie vor.

  • Analyse

    Auf Basis der ausgewählten Strategie wird eine automatisierte und manuelle Auswertung aller relevanten Konfigurationsdateien bzw. Einstellungsmöglichkeiten anhand von anerkannten Best Practices und ausgewählten Compliance-Anforderungen durchgeführt.

  • Berichterstattung

    Die gefundenen Schwachstellen und Fehlkonfigurationen werden analysiert, dokumentiert und dazu passende Handlungsempfehlungen erstellt.

  • (OPTIONAL) Automatisierung

    Falls von Ihnen gewünscht, helfen wir im Anschluß an das Audit im Rahmen einer Beratungsleistung, die von uns durchgeführten (toolgestützten) Überprüfungen in Ihren Entwicklungsprozess zu integrieren.

Nachbereitung und Abschluss

Am Ende des Audits erhalten Sie einen Bericht mit Compliance-Vorgaben, Härtungsmaßnahmen und konkreten Schwachstellen aus Fehlkonfigurationen. Mit diesem Bericht können Sie Ihre Cloud nun weiter härten. Falls dabei Fragen aufkommen, stehen wir weiterhin für Sie zur Verfügung.

Im Nachgang kann eine erneute Prüfung Ihren Fortschritt dokumentieren. Durch Automatisierung der ausgeführten Überprüfungen können Sie anhand von definierten KPIs Ihr Sicherheitslevel kontinuierlich und selbständig überwachen.

Config Audits sind eine gute und kosteneffiziente Wahl, wenn Ihre IT-Systeme mithilfe einer zentralen Konfiguration verwaltet werden. Dies ist vor allem beim Einsatz von Konzepten wie Infrastructure as Code (IaC) oder Configuration as Code (CaC) der Fall. Andernfalls könnte oftmals ein Penetrationstest oder Vulnerability Assessment die bessere Wahl sein, da hier der Ist-Zustand der Systeme geprüft wird.

Das lässt sich pauschal ohne ein Gespräch schwer beantworten. Grundsätzlich können wir Sie auf dem gesamten Weg von der Planung bis zur fertigen Anwendung begleiten.

In welcher Tiefe Sie unsere Hilfe benötigen, hängt von mehreren Faktoren ab. Kontaktieren Sie uns deshalb gerne für ein erstes Gespräch: hello@lutrasecurity.com.

Beim Umzug Ihrer On-Premise-Systeme in die Cloud sollten Sie darauf achten, nicht nur einen reinen “Lift-and-Shift-Ansatz” heranzuziehen, bei dem bestehende Strukturen in der Cloud nachgebildet werden.

Dies scheint zwar angesichts der initialen Aufwände sehr verlockend, führt jedoch häufig zu Problemen und die Vorteile der Cloud können nicht vollständig ausgenutzt werden.

Auch wenn diese Frage immer wieder aufkommt, gibt es hier keine einfache Antwort. Die Sicherheit der eigenen Cloud-Infrastruktur hängt von vielen Faktoren ab, die oft unabhängig vom Anbieter sind. Vielmehr gilt es, die eigene Konfiguration an den Cloudanbieter anzupassen und die bereitgestellten Sicherheitsfunktionen zu nutzen, um ein hohes Sicherheitsniveau zu erreichen.