☁️

Cloud & Container Security

Cloud-Posture und Container-Image-Scanning. Von IaC-Misconfigurations bis zu Kubernetes-Security.

Typische Prüfbereiche

Cloud Configuration

IAM-Permissions, Public-Buckets, Security-Groups, Encryption-at-Rest

Container Images

CVEs in Base-Images, Secrets in Layers, Outdated-Dependencies

Kubernetes Security

RBAC, Pod-Security-Standards, Network-Policies, Secrets-Management

IaC-Security

Terraform/CloudFormation-Misconfigurations, Hardcoded-Credentials

Compliance

CIS-Benchmarks, SOC2, ISO 27001, branchenspezifische Standards

CI/CD Pipeline

Shift-Left-Security, Pre-Deployment-Checks, SBOM-Generation

Shift-Left & DevSecOps

  • 🔄CI/CD-Integration: Automatisierte Scans bei jedem Build/Deployment
  • 🔄Policy as Code: Definieren Sie akzeptable Risiko-Level (z. B. keine Critical CVEs)
  • 🔄SBOM: Software Bill of Materials für Supply-Chain-Security
  • 🔄Baseline-Images: Gepflegte, gehärtete Base-Images für alle Teams
  • 🔄Regular Updates: CVE-Datenbanken und Tools stets aktuell halten
  • 🔄Developer-Training: Schulungen für Secure-Coding und Container-Best-Practices

Tools (3)

Alle Tools sind für autorisierte Sicherheitsprüfungen konzipiert und erfordern eine schriftliche Freigabe.

Trivy

Einsteiger

Container-Image-Scanner für CVEs und Misconfigurations

Hauptfunktionen:

  • Image-Scanning (OS-Pakete)
  • Application-Dependencies-Scan
  • IaC-Misconfiguration-Detection

Typische Verwendung:

  • CI/CD-Integration (Shift-Left)
  • Pre-Deployment-Checks

Artefakte:

CVE-Liste nach ImageSeverity-PriorisierungIaC-Findings

Hinweise:

False Positives überprüfen

#container#scanner#cve#cloud

Prowler / ScoutSuite

Fortgeschritten

Cloud-Posture-Management-Tools für AWS/Azure/GCP

Hauptfunktionen:

  • CIS-Benchmark-Checks
  • IAM-Misconfigurations
  • Public-Exposure-Detection

Typische Verwendung:

  • Quartalsweise Cloud-Audits
  • Post-Deployment-Verification

Artefakte:

HTML-DashboardsFinding-Liste nach SeverityCompliance-Status

Hinweise:

Read-Only-Credentials verwenden

#cloud#posture#compliance

kube-bench / kube-hunter

Fortgeschritten

Kubernetes-Security-Assessment-Tools

Hauptfunktionen:

  • CIS-Benchmark für K8s
  • RBAC-Misconfigurations
  • Network-Policy-Checks

Typische Verwendung:

  • Pre-Go-Live K8s-Audit
  • CI/CD-Integration

Artefakte:

CIS-Compliance-ReportRBAC-FindingsNetwork-Policy-Gaps

Hinweise:

Nur auf Test-Clustern ohne Freigabe

#kubernetes#cloud#compliance

Typische Deliverables

  • 📄Cloud-Posture-Report mit CIS-Compliance
  • 📄Container-CVE-Liste nach Severity
  • 📄Kubernetes-RBAC-Analyse
  • 📄IaC-Misconfiguration-Findings
  • 📄Priorisierter Remediation-Backlog für CI/CD-Integration

Empfohlener Einstieg

  1. 1.Starten Sie mit Trivy für Container-Image-Scans
  2. 2.Nutzen Sie Prowler/ScoutSuite für Cloud-Posture-Assessment
  3. 3.Bei Kubernetes: kube-bench für CIS-Compliance
  4. 4.Integrieren Sie Scans in CI/CD für kontinuierliche Checks
  5. 5.Erstellen Sie eine Baseline-Policy für acceptable Risks