Infra Audit

Audit infrastruktury Snapshot

Pevně vymezený audit menší infrastruktury se zaměřením na bezpečnost, soukromí a provozní rizika.

Nevíte přesně, kde je vaše infrastruktura vystavená, kdo má k čemu přístup, kde končí vaše data a jestli vaše deployment procesy nejsou závislé jen na štěstí?

Audit infrastruktury Snapshot je praktická kontrola serverů, účtů, repozitářů a deployment procesů. Cílem není formální razítko do šanonu, ale jasný a použitelný výstup: co je skutečný problém, co má prioritu a co můžete konkrétně udělat pro bezpečnější provoz.

Rozsah auditu

Balíček zahrnuje kontrolu menší infrastruktury v pevně daném rozsahu:

  • až 3 Linux servery
  • základní nastavení Dockeru, Docker Compose a self-hosted služeb
  • jeden cloudový účet nebo hostingové prostředí
  • jednu GitHub/GitLab organizaci nebo hlavní repozitář
  • základy CI/CD pipeline a deployment procesu
  • přístupová práva, SSH, administrátorské účty a MFA
  • veřejně vystavené služby, DNS, TLS, reverse proxy a otevřené porty
  • zálohy, obnovu ze záloh, aktualizace, monitoring, logování a alerting
  • nakládání s osobními a citlivými daty, telemetry a externí služby
  • základní připravenost na bezpečnostní incident

Jak audit probíhá

  • nejprve společně potvrdíme rozsah auditu, seznam služeb a priority
  • audit probíhá pokud možno s read-only přístupem a bez zbytečných zásahů do produkce
  • kontroluji konfigurace, přístupy, procesy, vystavené služby a provozní návyky
  • rizika řadím podle dopadu a pravděpodobnosti, ne podle strašidelnosti názvu
  • výsledky společně projdeme při závěrečné konzultaci

Co dostanete

  • srozumitelné shrnutí hlavních rizik pro netechnické rozhodování
  • technický seznam nálezů seřazený podle priority
  • konkrétní doporučení k nápravě
  • návrh rychlých oprav i dlouhodobějších provozních zlepšení
  • rozlišení mezi skutečnými riziky a věcmi, které nejsou v dané situaci priorita
  • závěrečnou konzultaci k výsledkům auditu

Typické nálezy

  • špatně omezené SSH nebo administrátorské přístupy
  • příliš široká oprávnění v cloudu nebo v CI/CD
  • secrets uložené na nevhodných místech
  • kontejnery s rizikovým nastavením
  • služby vystavené do internetu bez jasného důvodu
  • chybějící nebo neotestované zálohy
  • nedostatečné logování a monitoring
  • zbytečné předávání dat externím službám

Pro koho je audit vhodný

Audit je vhodný pro malé firmy, neziskové projekty, startupy, webové služby, kryptoměnové projekty i jednotlivce, kteří provozují vlastní infrastrukturu a chtějí vědět, jestli jejich servery, účty a deployment procesy dávají bezpečnostně smysl.

Hodí se zejména ve chvíli, kdy infrastruktura postupně rostla, nastavovalo ji více lidí, část věcí vznikla narychlo, nebo se blíží větší provozní změna, migrace, investice, spuštění nové služby či bezpečnostní požadavek od zákazníka.

Dodání

Typické dodání je do 7 pracovních dnů od potvrzení rozsahu a předání přístupů.

Co audit není

Nejde o formální certifikaci, compliance audit ani plnohodnotný penetrační test, pokud se na tom výslovně nedomluvíme. Jde o praktickou bezpečnostní a provozní kontrolu infrastruktury pohledem bezpečnostně zaměřeného sysadmina.

Pokud je infrastruktura větší než uvedený rozsah, je možné domluvit rozšířený audit individuálně.

Výsledkem má být použitelný plán: co opravit hned, co naplánovat později a co není potřeba zbytečně řešit.