Cloud-Sicherheit lebt oft von der Frage: Was hat sich verändert? Doch manche Risiken verstecken sich genau in der Antwort: Nichts hat sich verändert. Ein Geheimnis in AWS Secrets Manager, das seit 200 Tagen nicht rotiert wurde, hinterlässt keine Spuren in klassischen Drift-Erkennern – weil es keine Änderung gibt. Doch genau dieser statische Zustand ist ein kritisches Risiko.
Warum der klassische Drift-Detektor hier versagt
Die meisten Drift-Erkennungstools basieren auf dem Prinzip eines Vergleichs zwischen zwei Zuständen. Ein Sicherheitsgruppe öffnet sich plötzlich für 0.0.0.0/0? Kritisch. Eine Datenbankinstanz wird öffentlich zugänglich? Alarmierend. Doch diese Tools scheitern an Problemen, die keine Änderungen verursachen – wie veraltete Geheimnisrotation.
Nehmen wir ein AWS Secrets Manager-Geheimnis:
- Montag gescannt: Keine Rotation seit 180 Tagen
- Dienstag gescannt: Immer noch keine Rotation
Der klassische Diff-Algorithmus erkennt keine Veränderung – und damit auch kein Risiko. Doch genau die Abwesenheit von Rotation ist das Problem. Eine Geheimnisrotation nach 90 Tagen ist Standard, nach 180 Tagen jedoch ein offensichtliches Sicherheitsrisiko. Die Frage ist nicht *
KI-Zusammenfassung
Bulut sistemlerinde gizli anahtarların dönme süresi ihlallerini tespit etmek için statik durum analizi şart. Değişim tabanlı sistemlerin kaçırdığı riskleri nasıl yakalarsınız?