tecRacer Security Review

Als Kunde nutzen Sie die Infrastruktur von AWS um Ihre Applikationen zu betreiben und diese für Zugriffe aus dem Internet oder Intranet freizugeben. Für die Sicherheit innerhalb der Cloud bietet AWS standardmäßig aktive Sicherheitssysteme und lässt sich regelmäßig extern auditieren – Sie als Kunde tragen jedoch die Verantwortung dafür, dass Sie alle weiteren erforderlichen Sicherheitskonfigurationen korrekt tätigen. AWS nennt dies das Shared Responsibility Modell. 

An genau dieser Stelle setzen wir an und unterstützen Ihre bereits geleistete Arbeit mit einem Review Ihrer Architektur. Das geschieht dabei nicht nur auf einer reinen technischen Betrachtungsweise, sondern ist ausgerichtet auf Ihren individuellen Anwendungsfall, branchenspezifische Anforderungen und konkrete Risiken. 

So können unsere Consultants die tatsächlichen Lücken aufzeigen und Verbesserungen vorschlagen – etwas das vollautomatische Reviews nur bedingt oder gar nicht können. 

Das tecRacer Security Review basiert u.a. auf folgenden Empfehlungen und Standards: 

• Branchentypische Projekterfahrung 
• AWS Whitepapers und Best Practices 
• Empfehlungen aus der ISO 27.000-Reihe 
• Security Benchmarks des Center for Internet Security (CIS) 

• European Union Agency for Network and Information Security (ENISA) 
• Controls der Cloud Security Alliance (CSA) 
• Bundesamt für Sicherheit (BSI) IT-Grundschutzkataloge 
• National Institute of Standards and Technology (NIST) SP 800-Reihe 

Das tecRacer Security Review besteht aus einem Kickoff Meeting, in dem Sie uns einen Überblick über Ihre Architektur, Systeme und Anwendungsfälle geben. Wir erhalten danach einen reinen Lesezugriff auf Ihre Accounts und die Infrastruktur über einen von Ihnen eingespielten, zeitlich befristeten, CloudFormation-Stack, der von uns bereitgestellt wird.  

In den darauffolgenden Tagen prüfen wir Ihren Account, die VPCs und die verwendeten AWS Services auf Sicherheitsprobleme, stellen unsere Ergebnisse in einem Dokument zusammen, priorisieren Probleme mit Risikoklassen und Erfüllungsgrad und geben letztendlich Handlungsempfehlungen, um diese zu beheben.  

Geprüft werden, je nach Wunsch, bis zu drei Ebenen: AWS-Konfiguration (Account, IAM Rechte, EC2, RDS, VPC, S3, …), Betriebssystemkonfiguration der EC2-Instanzen (Windows, Linux) und Ihr Docker/Kubernetes-Setup. 

Die Ergebnisse unseres Reviews spiegeln sich in einem englischsprachigen Dokument mit ca. 80-160 Seiten wider. Das Dokument ist im Wesentlichen in 3 Abschnitte unterteilt, die jeweils die Adressaten Management, IT-Leitung bzw. IT-Security (CISO), sowie Techniker mit konkreten Informationen und transparenten Handlungsempfehlungen versorgen. 

Alle Ergebnisse werden nach Risikoklassen und dem Erfüllungsgrad strukturiert dargestellt und können so priorisiert Punkt für Punkt von Ihnen und Ihrem Team abgearbeitet werden. 

Zur Unterstützung Ihrer Arbeitsabläufe können wir Ihnen die Ergebnisse im JSON-Format zukommen lassen, damit sie z.B. in Jira importiert werden können. Auf Wunsch erhalten Sie natürlich auch die Rohdaten unserer Scans im JSON-Format. 

Alle Scandaten werden verschlüsselt und revisionssicher gespeichert und standardmäßig nach drei Monaten gelöscht, um Leaks dieser kritischen Informationen zu verhindern.