Skip to content

Du stellst fest, dass CloudTrail (Control-Plane-Audit-Logging) in einem Produktionskonto deaktiviert ist. Warum ist das wichtig und was tust du?

Kurzantwort

Ohne Control-Plane-Audit-Logs bist du blind, wer auf Cloud-Ebene was getan hat, und Erkennung, Forensik und Compliance hängen alle von diesem Protokoll ab. Aktiviere CloudTrail sofort, organisationsweit, mit Lieferung an einen separaten, zugriffskontrollierten, manipulationssicheren (unveränderlichen) Bucket. Zu sagen, es sei egal, solange nichts schiefläuft, ignoriert, dass du keine Historie hättest, wenn doch etwas schiefläuft. Bis zu einem Vorfall zu warten bedeutet, dass die prägenden frühen Aktionen bereits unprotokolliert und unwiederbringlich sind. Anwendungslogs erfassen keine API-, IAM- oder Konsolenaktivität auf der Control Plane.

Audit-Logging ist das Fundament, auf dem alles andere steht. Der Interviewer will hören, dass du fehlende Control-Plane-Logs als aktives Risiko behandelst – denn die Kosten dafür, sie nicht zu haben, werden stets nur mitten in einem Vorfall bezahlt, wenn es zu spät ist, das zu beheben.

Warum es wichtig ist

CloudTrail zeichnet die Control-Plane-API-Aktivität auf: wer was wann von wo aufgerufen hat – IAM-Änderungen, Konsolen-Logins, Erstellen und Löschen von Ressourcen, Policy-Änderungen. Ohne es hast du kein Protokoll der Kontoaktivität. Erkennungsregeln haben nichts, worauf sie auslösen könnten, ein Incident Responder hat keine Zeitleiste zum Rekonstruieren, und Compliance-Frameworks, die einen Audit-Trail verlangen, sind nicht erfüllt. Anwendungslogs arbeiten eine Ebene höher; sie sagen nichts über API-Aufrufe, IAM oder Konsolenaktionen auf der Cloud-Control-Plane.

Was du tust

Aktiviere CloudTrail jetzt, organisationsweit (damit jedes aktuelle und künftige Konto standardmäßig abgedeckt ist), mit Lieferung an ein separates, zugriffskontrolliertes, unveränderliches Ziel – idealerweise ein dediziertes Logging-Konto mit S3 Object Lock / Log-File-Validierung, sodass selbst ein Admin (oder Angreifer) im Produktionskonto die Historie nicht still löschen oder manipulieren kann.

Warum die Distraktoren falsch sind

  • „Egal, solange nichts schiefläuft.“ Der ganze Sinn von Audit-Logs ist, die Historie zu haben, bevor etwas schiefläuft. Wenn du sie brauchst, kannst du sie nicht rückwirkend erzeugen.
  • Erst nach einem Vorfall aktivieren. Die frühesten, aussagekräftigsten Aktionen eines Vorfalls – der Erstzugriff, die Privilegienerhöhung – passieren bevor du es einschaltest. Du würdest mit einem leeren Band genau für den wichtigsten Teil ermitteln.
  • Auf Anwendungslogs verlassen. Nützlich, aber eine andere Ebene. Sie erfassen keine API-, IAM- oder Control-Plane-Aktivität und können daher nicht sagen, wer einen bösartigen Benutzer angelegt oder eine Sicherheitskontrolle deaktiviert hat.

Worauf Interviewer achten

Es als dringend zu behandeln, eine organisationsweite Abdeckung zu aktivieren und die Integrität des Trails zu schützen (separates Konto, unveränderlicher Speicher, Log-Validierung). Starke Kandidaten merken an, dass Angreifer häufig versuchen, das Logging zu deaktivieren, sodass ein Alarm auf StopLogging/DeleteTrail selbst eine zentrale Erkennung ist.

Wahrscheinliche Anschlussfragen

  • Warum muss der Trail in ein separates Konto oder einen unveränderlichen Bucket statt in dasselbe Konto gehen?
  • Welche Aktivitätsklassen erfasst CloudTrail, die Anwendungslogs nie erfassen werden?
  • Wenn ein Angreifer den Trail deaktiviert hätte, wie würdest du das überhaupt merken, und wie verhinderst du es?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.