⚡ Claw Score91/100
Stand: 2026-02-25·Author: ClawGuru Institutional Ops🥈 Claw Certified Silver90/100
Claw Security Score: 91/100 – Security Headers & CSP auf AWS
Runbook
Security Headers & CSP auf AWS
CSP, HSTS, XFO, Referrer Policy – richtig. (Operator Guide für AWS).
Was ist das hier?
CSP, HSTS, XFO, Referrer Policy – richtig. (Operator Guide für AWS).
Priorität
Wenn Production betroffen ist: Containment zuerst (Stop the bleeding), dann Root Cause.
Schnell‑Triage (5 Minuten)
- Was ist exponiert (Ports, Admin, Webhooks, Origins, Buckets)?
- Sind gerade Anomalien sichtbar (Spikes, 4xx/5xx, Login‑Fehler, Bot‑Traffic)?
- Sind Secrets/Keys kompromittiert (Repo, CI, Logs, Chat)?
Ziel
Security Headers & CSP: CSP, HSTS, XFO, Referrer Policy – richtig.
CSP Policies (strict vs. relaxed) – Nginx
# Strict (Prod)
add_header Content-Security-Policy "default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self' data:; object-src 'none'; base-uri 'self'; frame-ancestors 'none'; upgrade-insecure-requests" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
add_header X-Content-Type-Options "nosniff" always;
add_header X-Frame-Options "DENY" always;
# Relaxed (Dev)
# add_header Content-Security-Policy "default-src 'self' 'unsafe-inline' 'unsafe-eval' data: https:" always;
# CSP Reports (optional)
# add_header Report-To '{"group":"csp-endpoint","max_age":10886400,"endpoints":[{"url":"https://csp-report.example.com/report"}]}' always;
# add_header Content-Security-Policy "...; report-to=csp-endpoint; report-uri=https://csp-report.example.com/report" always;
Validierung & Reload
# Nginx Config testen + neu laden
sudo nginx -t && sudo systemctl reload nginx
# Quick Test
curl -I https://your-domain | grep -Ei "content-security-policy|strict-transport-security|x-content-type-options|x-frame-options"
Fix‑Schritte (Copy/Paste‑fähig)
- HSTS aktivieren (nur wenn HTTPS überall stimmt).
- CSP erstmal report-only, dann enforce.
- X-Frame-Options / frame-ancestors setzen (Clickjacking).
- Referrer-Policy + Permissions-Policy setzen.
- Verifikation: curl -I + Browser DevTools console CSP reports.
Verifikation
aws sts get-caller-identity
aws ec2 describe-security-groups --max-items 5aws cloudtrail lookup-events --max-results 10Prävention / Guardrails
- CloudTrail aktiv + Alerts auf IAM-Key-Erstellung & Policy-Änderungen
- Security Groups: default-deny, nur benötigte Ports/Quellen
- Keys in Secrets Manager statt .env / Git
Warnungen
- Keys zuerst rotieren, dann forensisch arbeiten (Stop the bleeding).
Was andere Tools nicht sagen
Die meisten Guides zeigen nur den Happy Path. Was wirklich wichtig ist: CSP, HSTS, XFO, Referrer Policy – richtig. (Operator Guide für AWS). – aber erst nach einem erfolgreichen Smoke Test zählt es als erledigt. Viele Admins vergessen den Rollback-Plan und das Monitoring nach dem Change.
- Defaults allein reichen nicht – ohne Verifikation ist jeder Fix unvollständig.
- Externe Scantools sehen oft nicht den Unterschied zwischen 'konfiguriert' und 'wirksam'.
- Incident-Postmortems zeigen: 60% der Rückfälle entstehen durch fehlende Guardrails, nicht durch falschen Fix.
Mein persönlicher Tipp als Ops-Engineer
Nach Security Headers & CSP auf AWS: Setze sofort einen Monitoring-Alert auf die kritischen Metriken (5xx-Rate, Latenz, Auth-Fehler). Ein Fix ohne Alert ist nur halb fertig. – Rolf Schwertfechter
Schritt-für-Schritt
- HSTS aktivieren (nur wenn HTTPS überall stimmt).
- CSP erstmal report-only, dann enforce.
- X-Frame-Options / frame-ancestors setzen (Clickjacking).
- Referrer-Policy + Permissions-Policy setzen.
- Verifikation: curl -I + Browser DevTools console CSP reports.
Häufige Fragen (FAQ)
Was ist Security Headers & CSP auf AWS?▼
CSP, HSTS, XFO, Referrer Policy – richtig. (Operator Guide für AWS).
Wie verifiziere ich Security Headers & CSP auf AWS?▼
Nutze den ClawGuru Re-Check: curl-I + Logs + Smoke Test. Grünes Ergebnis = verifiziert.
Welche Risiken entstehen ohne Security Headers & CSP?▼
Ohne aktive Härtung sind Datenleaks, Abuse, Downtime und Compliance-Verstöße wahrscheinlicher.
Wie lange dauert Security Headers & CSP auf AWS?▼
Im Schnitt 15–45 Minuten bei sauberem Vorgehen. Mit Rollback-Plan unter 2h.
🌿
Mycelium Versioning. Jede Version dieses Runbooks ist nachvollziehbar – fork it, evolve it, merge it.
Lade Versionen…
🔗
Provenance Singularity. This runbook is cryptographically signed and immutably recorded.
View Provenance Chain →Verwandte Runbooks
Firewall Baseline auf AWS
⚡73Default deny, minimal offene Ports, sichere Defaults. (Operator Guide für AWS).
Öffnen →
SSH Hardening auf AWS
⚡96Key-only, Root aus, Rate-Limits, sichere Admin-Zugänge. (Operator Guide für AWS).
Öffnen →
WebSocket Origin Hardening auf AWS
⚡77Origin whitelist, Auth, Rate-Limits, sichere Headers. (Operator Guide für AWS).
Öffnen →
Reverse Proxy Baseline auf AWS
⚡62TLS, headers, caching, upstream health, timeouts. (Operator Guide für AWS).
Öffnen →
Rate Limit Baseline auf AWS
⚡85Edge + App Limits gegen Abuse und Cost-Spikes. (Operator Guide für AWS).
Öffnen →
DDoS First Response auf AWS
⚡68Blocken, absorbieren, recovern – ohne Panik. (Operator Guide für AWS).
Öffnen →
API Key Rotation (Notfall) auf AWS
⚡90Keys rotieren, alte killen, re-deploy, audit. (Operator Guide für AWS).
Öffnen →
Secrets Management auf AWS
⚡82Kein .env in Git. Secret stores sauber einsetzen. (Operator Guide für AWS).
Öffnen →
Backup/Restore Drill auf AWS
⚡96Backups ohne Restore sind Fantasy. So testest du’s. (Operator Guide für AWS).
Öffnen →
Observability Baseline auf AWS
⚡90Logs, Metrics, Traces – minimal sinnvoll. (Operator Guide für AWS).
Öffnen →
Hinweis: Diese Inhalte sind für Ops/Security gedacht. Keine „Namen-Datenbank", keine Anschuldigungen – nur Runbooks, Tools und verifizierbare Checks.