AWS-Cloud-Audit für ein skalierendes Startup

Sektor

B2B-SaaS · skalierendes Startup · 30-60 Mitarbeitende · Multi-Account-AWS-Architektur · Firmenkunden mit Nachweispflichten.

Ausgangslage

Das Unternehmen war von einer einzigen AWS-Umgebung zu einer Multi-Account-Architektur gewachsen, ohne einen formalen Cloud-Governance-Prozess. Jeder neue Firmenkunde brachte vertragliche Anforderungen, die das Team von Fall zu Fall erfüllte. Ein kleinerer Vorfall mit der Exposition eines Buckets führte zur internen Entscheidung, die Cloud-Lage zu professionalisieren, bevor sie zu einem schwerwiegenden Vorfall führte.

Vorgehen

Wir führten ein Audit gegen den CIS AWS Benchmark durch und deckten IAM, Logging, Monitoring, Schlüsselverwaltung, Netzwerk, Storage und Konfiguration kritischer Dienste ab. Ergänzend prüften wir den bestehenden IaC, um die Abweichung zwischen ausgerollter Architektur und Quellcode zu bewerten. Befunde wurden mit Best Practices des Well-Architected Framework und mit dokumentierten Vertragsanforderungen der drei größten Kunden abgeglichen. Der Bericht trennte sofortige Konfigurationsbefunde von strukturellen Befunden.

Ergebnis

Wir identifizierten 23 Befunde (5 kritisch, 9 hoch, 9 mittel-niedrig) und erstellten einen 90-Tage-Plan in drei Wellen: sofortiges Patching, IaC-Refactor und präventive Guardrails. Das Unternehmen schloss den Plan in 11 Wochen ab und etablierte eine wiederkehrende vierteljährliche Überprüfung.

Lehre

Eine Cloud-Architektur wird nicht mit einem Einzelprojekt abgesichert: Sie wird mit Guardrails abgesichert, die ein Zurückfallen in den vorherigen Zustand verhindern.

Zeit und Aufwand

3-5 Wochen Audit · 11-13 Wochen begleitete Remediation · 100-140 verteilte Beratungsstunden.

Schlagwörter

Cloud-Sicherheit · AWS · CIS Benchmark · IaC · Well-Architected · Guardrails