Infrastruktur-Drift erkennen: Wenn die Realität nicht mehr zum Code passt
David Hussain 3 Minuten Lesezeit

Infrastruktur-Drift erkennen: Wenn die Realität nicht mehr zum Code passt

In einer perfekten Welt ist Ihr Infrastructure as Code (IaC) Repository die absolute „Source of Truth". Jede Änderung an Load Balancern, DNS-Einträgen oder Firewall-Regeln wird über Git-Commits und automatisierte Pipelines gesteuert. In der Realität sieht es oft anders aus: Ein Administrator behebt ein dringendes Problem mitten in der Nacht direkt über die Cloud-Konsole, oder ein automatisches Update verändert eine Konfiguration im Hintergrund.
infrastruktur-drift infrastructure-as-code drift-detection ci-cd-pipeline cloud-security compliance terraform

In einer perfekten Welt ist Ihr Infrastructure as Code (IaC) Repository die absolute „Source of Truth". Jede Änderung an Load Balancern, DNS-Einträgen oder Firewall-Regeln wird über Git-Commits und automatisierte Pipelines gesteuert. In der Realität sieht es oft anders aus: Ein Administrator behebt ein dringendes Problem mitten in der Nacht direkt über die Cloud-Konsole, oder ein automatisches Update verändert eine Konfiguration im Hintergrund.

Diese Abweichung zwischen dem definierten Soll-Zustand (im Code) und dem tatsächlichen Ist-Zustand (in der Cloud) nennen wir Infrastruktur-Drift. Unentdeckter Drift ist einer der größten Risikofaktoren für die Stabilität und Sicherheit moderner Plattformen.

Warum Infrastruktur-Drift gefährlich ist

Drift schleicht sich oft unbemerkt ein, hat aber weitreichende Konsequenzen:

  1. Sicherheitslücken: Eine „kurz mal" geöffnete Sicherheitsgruppe in AWS oder Azure wird vergessen und bleibt als offenes Scheunentor für Angreifer bestehen.
  2. Fehlgeschlagene Deployments: Die nächste Terraform-Ausführung scheitert oder überschreibt die manuelle Korrektur, was zu einer erneuten Downtime führt.
  3. Compliance-Verstöße: Audits (z. B. für ISO 27001) verlangen, dass die Infrastruktur exakt der Dokumentation entspricht. Drift macht eine Zertifizierung unmöglich.
  4. Verlorene Reproduzierbarkeit: Wenn Sie im Katastrophenfall die Infrastruktur per Skript neu aufbauen müssen, fehlen die manuellen Änderungen – das System wird nicht wie gewohnt funktionieren.

Techniken zur Erkennung und Behebung

Um Drift effektiv zu bekämpfen, setzen wir im Jahr 2026 auf proaktive und reaktive Mechanismen:

1. Drift-Detection in der CI/CD-Pipeline

Moderne Pipelines führen regelmäßig einen plan-Befehl aus (z. B. terraform plan). Wenn dieser Änderungen anzeigt, obwohl kein Code-Commit stattgefunden hat, wird ein Alarm ausgelöst. Tools wie Atlantis oder Terraform Cloud automatisieren diesen Prozess und machen Abweichungen direkt in Pull Requests sichtbar.

2. Der GitOps-Ansatz (Control Planes)

Anstatt nur Skripte auszuführen, nutzen wir Control Planes wie Crossplane oder den Terraform Controller in Kubernetes. Diese arbeiten nach dem Reconcile-Prinzip:

  • Der Controller vergleicht permanent den Ist-Zustand mit dem Soll-Zustand.
  • Wird eine Abweichung festgestellt, kann der Controller den Zustand automatisch auf den Code-Stand zurücksetzen (Self-Healing).

3. Spezialisierte Drift-Scanner

Tools wie driftctl scannen Cloud-Accounts auf Ressourcen, die überhaupt nicht im IaC-Code definiert sind. Das hilft besonders dabei, „verwaiste" Ressourcen zu finden, die unnötige Kosten verursachen oder Sicherheitsrisiken darstellen.

Fazit

Infrastruktur-Drift zu ignorieren bedeutet, die Kontrolle über die eigene Cloud-Souveränität aufzugeben. Durch die Implementierung von automatisierten Drift-Scans und den Übergang zu GitOps-gesteuerten Infrastrukturen stellen wir sicher, dass die Realität immer dem entspricht, was wir im Code definiert haben. Das Ergebnis ist eine belastbare, auditierbare und hochverfügbare Plattform, die keine bösen Überraschungen bei nächtlichen Notfalleinsätzen bereithält.

FAQ

Was ist Infrastructure Drift? Infrastruktur-Drift bezeichnet die Diskrepanz zwischen der im Code (z. B. Terraform oder Pulumi) definierten Konfiguration und dem tatsächlichen Zustand der Live-Infrastruktur in der Cloud. Er entsteht meist durch manuelle Eingriffe oder automatisierte Hintergrundprozesse.

Wie kann ich Drift automatisch verhindern? Vollständig verhindern lässt sich Drift nur durch den Entzug von Schreibrechten für menschliche Nutzer in der Cloud-Konsole. Zur Korrektur werden GitOps-Tools eingesetzt, die den Zustand permanent überwachen und Abweichungen automatisch auf den Stand im Git-Repository zurückrollen (Self-Healing).

Welche Tools helfen bei der Drift-Detection? Zu den gängigsten Werkzeugen gehören Terraform (plan-Modus), Crossplane (für Kubernetes-native Infrastruktur), driftctl (speziell für das Aufspüren nicht-verwalteter Ressourcen) und Cloud-native Dienste wie AWS Config.

Warum ist Drift ein Problem für die Compliance? Regularien wie NIS-2 oder ISO 27001 fordern eine lückenlose Dokumentation und Kontrolle über IT-Systeme. Wenn die reale Infrastruktur von der dokumentierten Code-Basis abweicht, ist die Revisionssicherheit nicht mehr gegeben und Sicherheitsaudits können fehlschlagen.

Unterstützt ayedo bei der Bereinigung von Infrastruktur-Drift? Ja. Wir analysieren bestehende Cloud-Umgebungen, identifizieren Abweichungen und überführen manuelle Konfigurationen systematisch in sauberen Infrastructure-as-Code. Zudem implementieren wir Monitoring-Systeme, die Drift in Echtzeit melden.

Vorheriger Post Alle Posts Nächster Post

Ähnliche Artikel