WAF++ WAF++
Back to WAF++ Homepage

WAF-OPS-050 – Change Management & Deployment Risk Assessment

Pillar: Operational Excellence | Severity: Medium | Kategorie: Change Management | Automatisierbar: Mittel

Beschreibung

Alle Änderungen an Produktionssystemen MÜSSEN durch einen definierten Change-Management-Prozess mit Risikobewertung, Approval-Workflow für High-Risk-Changes und Post-Deployment-Verifikation. Deployment-Freeze-Policies MÜSSEN für kritische Geschäftsperioden konfiguriert sein. Change-Records MÜSSEN mit Deployment-Artefakten verknüpft und auditierbar sein.

Rationale

Unkontrollierte Änderungen sind die häufigste Ursache von Produktions-Incidents. Change Management bedeutet nicht: alles verlangsamen. Es bedeutet: jede Änderung hat einen bekannten Owner, ein bekanntes Risiklevel und einen Verifikationsplan. Automatisierte Change-Klassifikation (Low-Risk auto-approved, High-Risk reviewt) ermöglicht sowohl Geschwindigkeit als auch Sicherheit.

Bedrohungskontext

Risiko Beschreibung

Ungeprüfte Änderungen

Ohne Review: Security-Konfigurationsänderungen ohne Security-Team; kein Rollback-Plan.

Change-Kollisionen

Mehrere Teams deployen gleichzeitig ohne Koordination; gegenseitige Störung unbekannt.

Kritische-Perioden-Deployment

Release während Black Friday, Monatsende, Steuerzahlung – erhöhtes Risiko ohne Freeze.

Compliance-Verletzung

SOC 2, PCI DSS, ISO 20000 fordern Change-Records mit Approval-Nachweis.

Anforderung

  • Change-Kategorien MÜSSEN definiert sein (Standard: pre-approved; Normal: Review; Notfall: expedited)

  • High-Risk-Changes MÜSSEN Approval von mindestens 2 Personen erfordern

  • Deployment-Freeze MUSS für konfigurierbare Perioden erzwungen werden können

  • Jedes Deployment MUSS auf ein Change-Record oder Ticket verweisen

  • Post-Deployment-Verifikation MUSS automatisiert sein (Smoke Tests)

Implementierungsanleitung

  1. Change-Kategorien definieren: Standard (pre-approved Routineaufgaben), Normal (Review erforderlich), Notfall (expedited mit rückwirkender Dokumentation)

  2. Approval-Routing automatisieren: Low-Risk (1 Reviewer), High-Risk (Tech Lead + Security), Notfall (CTO)

  3. Branch-Protection stärken: CODEOWNERS für kritische Pfade; required_approving_review_count >= 1

  4. Deployment-Freeze konfigurieren: GitHub Environment Protection Wait Times; Pipeline-Freeze-Check gegen Kalender

  5. Change-Tickets verknüpfen: CI-Pipeline prüft Commit-Message oder Branch-Name auf Ticket-ID

  6. Smoke Tests als Gate: Deployment gilt erst als erfolgreich wenn Smoke Tests grün sind

Reifegrad-Abstufung

Level Bezeichnung Kriterien

1

Keine Kontrolle

Jeder kann jederzeit in Produktion deployen. Keine Dokumentation. Keine Review.

2

Basis-Review

Pull-Request-Reviews für Code-Änderungen. Informelle Koordination vor Deployments.

3

Dokumentierter Change-Prozess

Change-Kategorien definiert. High-Risk mit Multi-Approval. Deployment-Freeze konfiguriert.

4

Automatische Risikobewertung

Auto-Risikoscoring basierend auf betroffenen Ressourcen. Smoke Tests als Deployment-Gate.

5

Kontinuierliche Change-Optimierung

Change Failure Rate < 5%. MTTR < 1 Stunde. Predictive Risk Scoring via ML.

Terraform Checks

waf-ops-050.tf.aws.codepipeline-manual-approval

Prüft: AWS CodePipeline hat eine manuelle Approval-Stage vor dem Production-Deployment.

Compliant Non-Compliant 
resource "aws_codepipeline" "app" {
  /* ... */
  stage {
    name = "Approval-Production"
    action {
      name     = "ManualApproval"
      category = "Approval"
      owner    = "AWS"
      provider = "Manual"
      version  = "1"
      configuration = {
        NotificationArn = aws_sns_topic.approvals.arn
      }
    }
  }
  stage { name = "Deploy-Production" /* ... */ }
}
 
resource "aws_codepipeline" "app" {
  /* Source → Build → Deploy-Production */
  /* Kein Approval-Gate vor Production */
  /* WAF-OPS-050 Violation */
}

Remediation: Approval-Stage mit category = "Approval" und provider = "Manual" vor dem Production-Deployment in der CodePipeline konfigurieren.

Evidenz

Typ Pflicht Beschreibung

Process

✅ Pflicht

Change-Management-Policy mit Change-Kategorien, Approval-Anforderungen und Freeze-Perioden.

Config

✅ Pflicht

Branch-Protection- und Approval-Konfiguration (min. Reviewer, CODEOWNERS).

Governance

Optional

Change-Log mit Change-Records verknüpft zu Deployments (letzte 3 Monate).

Config

Optional

Deployment-Freeze-Konfiguration (Environment Protection Rules oder Pipeline-Freeze-Check).

Regulatorisches Mapping

Framework Controls

ISO/IEC 20000-1:2018

8.2.3 – Change management; 8.3.4 – Release management; 8.4.1 – Service delivery; 8.4.2 – Service reporting

ITIL 4

SVS – Service value system; DP – Design principle; OV – Operation value chain; CW – Continual improvement

AWS Well-Architected Framework

Operational Excellence Pillar – Prepare; Operational Excellence Pillar – Deploy; Operational Excellence Pillar – Monitor; Operational Excellence Pillar – Improve

DORA

DORA 2024 – Technical practices; DORA 2024 – Organizational culture

SOC 2 Type II

CC4.1 – Monitoring activities; CC7.1 – Infrastructure and software monitoring; CC7.2 – Evaluation of system changes

Google SRE Book

Chapter 2 – SRE: The role of an SRE; Chapter 3 – Service Level Objectives; Chapter 4 – Eliminating toil

PCI DSS v4.0

Req 6.4 – Secure development lifecycle; Req 6.5 – Secure coding practices; Req 6.6 – Application security

FinOps Foundation

Core Module – Financial accountability; Management Layer – Cost governance

BSI C5:2020

OPS-01 – Operational monitoring; OPS-02 – Operational control; OPS-03 – Operational capacity; OPS-04 – Change management

NIST SP 800-53

CM-1 – Configuration management policy; CM-2 – Configuration management; CM-6 – Configuration settings; CM-8 – Information system integration; CA-7 – Continuous monitoring

NIST CSF 2.0

GV.PO – Policy; RC.RP – Recovery planning; DE.CM – Continuous monitoring

TISAX

Information security – Change management

ANSSI SecNumCloud

Domain – Change management

BIO

BIO – Veranderingenbeheer

ENS High

op.exp.6 – Gestión de cambios

UK NCSC CAF

A4 – Policy and assurance; A5 – Continual improvement

CMMC 2.0

CM.L2-3.4.1 – Establish baseline configurations; CA.L2-3.12.1 – Periodically assess security controls

IRAP

ISM – Change management

CCCS PBMM

CM-2 – Baseline configuration; CA-7 – Continuous monitoring

MAS TRM

Ch.3 – Technology risk governance; Ch.9 – Change management

ISMAP

Operational excellence and continuous improvement

FISC

Operational measures – Change management

Verwandte Controls

Best Practice