Security Hardening
Konkrete Vorgehensweise zur Reduzierung der Angriffsfläche durch standardisierte Konfigurationen, Patchprozesse und Zugriffskontrollen.
Klassifikation
- KomplexitätMittel
- AuswirkungTechnisch
- EntscheidungstypArchitektur
- OrganisationsreifeFortgeschritten
Technischer Kontext
Prinzipien & Ziele
Use Cases & Szenarien
Kompromisse
- Überhärtung kann Funktionalität beeinträchtigen und Ausfallzeiten verursachen.
- Unvollständige Automatisierung führt zu Inkonsistenzen und falscher Sicherheit.
- Fehlende Pflege der Baselines macht Härtung schnell veraltet.
- Automatisiere Härtungsschritte und prüfe regelmäßig.
- Versioniere Baselines als Code und reviewe Änderungen.
- Führe regelmäßige Compliance-Scans und Penetrationstests durch.
I/O & Ressourcen
- Sicherheitsrichtlinien und Baselines
- Zugangs- und Inventarlisten
- Automatisierungswerkzeuge (CM, CI/CD)
- Gehärtete Konfigurationen und Images
- Reporting für Audit und Compliance
- Automatisierte Prüf- und Korrekturskripte
Beschreibung
Security Hardening ist ein systematischer Ansatz zur Reduzierung der Angriffsfläche durch Konfigurations-, Architektur- und Betriebsmaßnahmen über Systeme und Dienste hinweg. Er umfasst Basis-Configs, Patchmanagement, Zugriffssteuerung, Netzwerkbeschränkungen und automatisierte Prüfung auf Konfigurationsabweichungen, um häufige Schwachstellen zu vermeiden. Gilt für Infrastruktur, Anwendungen und Cloud.
✔Vorteile
- Reduzierte Angriffsfläche und geringeres Risiko erfolgreicher Angriffe.
- Verbesserte Compliance und Nachvollziehbarkeit von Sicherheitseinstellungen.
- Skalierbare, automatisierbare Maßnahmen statt manueller Eingriffe.
✖Limitationen
- Initialer Aufwand zur Erarbeitung von Baselines und Automatisierung.
- Mögliche Einschränkung der Flexibilität für Entwickler.
- Nicht alle Bedrohungen werden allein durch Härtung adressiert.
Trade-offs
Metriken
- Anzahl gehärteter Systeme
Anteil der Systeme, die Baseline-Härtung erfolgreich implementiert haben.
- Konfigurations-Drift-Rate
Häufigkeit und Umfang von Abweichungen gegenüber der Baseline pro Zeitraum.
- Zeit bis zur Behebung kritischer Schwachstellen
Durchschnittliche Zeit von Entdeckung bis vollständiger Behebung.
Beispiele & Implementierungen
Linux-Server Härtung im Finanzbereich
Bank implementiert Baselines, automatisiertes Patchmanagement und Compliance-Checks vor Produktivsetzung.
Container-Image-Härtung für Microservices
Entwicklungsteam reduziert Laufzeitrechte, minimiert Layer und integriert Scans in CI/CD.
CIS-basierte Härtung von Endpunkten
Organisation setzt CIS-Benchmarks als Grundlage für automatisierte Richtlinien durch ein Konfigurationsmanagement-Tool um.
Implementierungsschritte
Bestandsaufnahme und Priorisierung kritischer Systeme.
Definition von Baselines und Härtungsrichtlinien.
Automatisierte Umsetzung und kontinuierliche Prüfung integrieren.
⚠️ Technische Schulden & Engpässe
Tech Debt
- Nicht automatisierte Härtungsanweisungen in einzelnen Dokumenten.
- Alte Baselines, die nicht mehr dem aktuellen Stack entsprechen.
- Fehlende Integration zwischen Scans und Ticketing-Systemen.
Bekannte Engpässe
Beispiele für Missbrauch
- Deaktivieren kritischer Dienste ohne Risikoabschätzung.
- Blindes Anwenden externer Benchmarks ohne Kontextanpassung.
- Ignorieren von Ausnahmeprozessen, die legitime Funktionen benötigen.
Typische Fallen
- Überhärtung führt zu unerwarteten Betriebsstörungen.
- Fehlende Tests in Pre-Prod-Umgebungen vor Rollout.
- Kein Prozess für Ausnahmebehandlung und Review.
Erforderliche Fähigkeiten
Drivers (Architectural Drivers)
Constraints
- • Bestehende Legacy-Komponenten können Härtung verhindern.
- • Regulatorische Anforderungen können bestimmte Maßnahmen vorschreiben.
- • Ressourcen für Automatisierung und Tests sind begrenzt.