Audit-Vorlage
infrastructure
Prüft, wie dein System gebaut, ausgeliefert und betrieben wird — fragil, exponiert oder nicht wiederherstellbar, gefunden und behoben.
Mappt auf: CISCenter for Internet Security — Konsens-Härtungs-Benchmarks für Systeme und Cloud. · Well-ArchitectedAWS Well-Architected Framework — Best Practices für Cloud-Design über Zuverlässigkeit, Sicherheit, Kosten und Betrieb. · DORADevOps Research and Assessment — die vier zentralen Kennzahlen der Software-Delivery-Performance.
Spezialisten, parallel
Jeder Befund ist belegbasiert und übersteht ≥2-von-3 adversarielle Skeptiker.
Wie dieses Audit arbeitet
Zwölf Spezialisten-Durchläufe decken IaCInfrastructure as Code — Infrastruktur aus versionierten Definitionen bereitstellen.-Qualität und Drift, Cloud-Security und Netzwerk-Exposure, IAMIdentity and Access Management — das System, das regelt, wer was auf welchen Ressourcen darf., Secrets, Container, KubernetesEine Open-Source-Plattform, die das Deployen, Skalieren und Betreiben containerisierter Anwendungen automatisiert., CI/CD, High AvailabilityHigh Availability — Hochverfügbarkeit: ein System so auslegen, dass es Komponentenausfälle mit minimaler Downtime übersteht., Backup/DRDisaster Recovery — Notfallwiederherstellung: Plan und Werkzeuge, um Systeme und Daten nach einem schweren Ausfall wiederherzustellen., Observability, Cost und Environment-Parität ab. Jeder Befund belegt ein konkretes Artefakt — IaC file:line, eine Manifest- oder Pipeline-Stanza, eine CISCenter for Internet Security — Konsens-Härtungs-Benchmarks für Systeme und Cloud.- oder Well-ArchitectedAWS Well-Architected Framework — Best Practices für Cloud-Design über Zuverlässigkeit, Sicherheit, Kosten und Betrieb.-Control — und die zentrale Frage lautet immer: Was passiert, wenn das ausfällt, und kannst du dich erholen? P0–P1-Befunde werden danach von unabhängigen Skeptikern angegriffen, bevor sie es in den Report schaffen.
Wann du es einsetzt
Vor einem Production-Launch
Du bringst einen Service ins öffentliche Internet und willst wissen, was tatsächlich exponiert ist. Das Audit verfolgt Public-Exposure-Pfade — Security Groups offen auf 0.0.0.0/0 an sensiblen Ports, öffentliche Buckets und Datenbanken, fehlendes TLSTransport Layer Security — das Protokoll, das Netzwerkverkehr verschlüsselt und authentifiziert (das S in HTTPS). oder Edge-Schutz — und meldet jeden mit der exakten IaCInfrastructure as Code — Infrastruktur aus versionierten Definitionen bereitstellen.-Zeile und der verletzten CISCenter for Internet Security — Konsens-Härtungs-Benchmarks für Systeme und Cloud.-Control.
Nach einem Beinahe-Ausfall
Ein Incident hat dich fragen lassen, ob du wirklich aus Code und Backups neu aufbauen kannst. Das Audit prüft Single Points of FailureSingle Point of Failure — eine einzelne Komponente, deren Ausfall das ganze System lahmlegt. auf Tier-0-Pfaden und ob Backups verschlüsselt und restore-getestet sind — nicht bloß vorhanden — und legt die nicht wiederherstellbaren Zustände und fehlenden DRDisaster Recovery — Notfallwiederherstellung: Plan und Werkzeuge, um Systeme und Daten nach einem schweren Ausfall wiederherzustellen.-RunbooksEine dokumentierte Schritt-für-Schritt-Anleitung, um ein System zu betreiben oder einen bestimmten Vorfall zu bearbeiten. offen, bevor es der nächste Ausfall tut.
Deploy-Pipeline härten
Dein Team liefert schnell aus und du vermutest, dass die Gates nur Deko sind. Das Audit prüft, ob Build-, Test-, Scan- und Approval-Schritte wirklich blocken, kontrolliert Branch Protection und den Scope der Pipeline-Credentials und markiert Injection-Pfade wie pull_request_targetEin GitHub-Actions-Trigger, der mit Repository-Secrets läuft und bei nicht vertrauenswürdigen Pull Requests riskant ist. — und zeigt, wo ein kaputter oder ungescannter Build in Prod landen kann.
Was du bekommst
Eine nach Dimensionen benotete Scorecard mit DORADevOps Research and Assessment — die vier zentralen Kennzahlen der Software-Delivery-Performance.-Snapshot, eine Blast-RadiusDie Menge an Systemen und Daten, die betroffen ist, wenn eine Komponente ausfällt oder kompromittiert wird.-Map und ein nach Priorität sortiertes Backlog verifizierter Befunde — jeder als GitHub-Issue mit Beleg, Before/After-Fix und Re-Audit-Kriterium.