Policiescan

Dieser Leitfaden beschreibt das Mindestvorgehen, um Infrastruktur- und Konfigurationsdateien vor Releases auf Policy-Verstöße zu prüfen. Ziel ist der ISO-27001-Nachweis, dass bekannte Fehlkonfigurationen erkannt und adressiert werden.

Was ist ein Policiescan? #

Ein Policiescan analysiert Infrastructure-as-Code (IaC) oder Konfigurationsdateien gegen Regelwerke (z. B. CIS Benchmarks). Tools wie trivy config, tflint oder kube-score erkennen unsichere Standardwerte, fehlende Verschlüsselung oder offene Ports.

Minimalvorgehen je Release #

  1. Wählt das passende Tool:
    • Terraform: tflint
    • Kubernetes Manifeste/Helm: kube-score oder trivy config
    • Generische YAML/JSON (z. B. Docker Compose): trivy config
  2. Führt den Scan im Projektroot aus und speichert den Report in scan-reports/<datum>/policiescan.txt.
  3. Dokumentiert das Ergebnis im Release-/Sprint-Ticket (SEC-POL-<nr>), inklusive Status der Findings.
  4. Hohe Findings sofort beheben oder im Corrective Action Log vermerken.

Beispielbefehle #

# Terraform
tflint --config tflint.hcl

# Kubernetes Manifeste
kube-score score k8s/

# Generische YAML/JSON
trivy config --severity HIGH,CRITICAL .

Häufige Fehler & Tipps #

  • Achtet auf Exit-Codes (CI sollte bei HIGH+ Findings fehlschlagen).
  • Versioniert die Tool-Konfiguration (tflint.hcl, .trivyignore), um reproduzierbare Ergebnisse zu sichern.
  • Stimmt Abweichungen mit dem Security Champion ab; dokumentiert Ausnahmen in docs/config-baseline.md.
Previous Scans in CI/CD DAST Next
Ändere dieses Dokument in GitLab.