🧱 TRACKLIVEEMPFOHLEN FÜR TEAMS

Stack Hardening

DevOps-reife Verteidigung über deinen kompletten Stack.

DevOps-Teams und Solo-Ops die self-hosten und wissen wollen ob sie es richtig machen.

geplante Missionen

~2h

Gesamtlaufzeit

NIS2

Controls gemappt

Early Access

ship in Kohorten

DIE LAGE

Du betreibst den Produktions-Stack. Du nutzt Container, einen Reverse-Proxy, einen Secrets-Manager (oder — ehrlich — eine `.env`-Datei von der du weißt dass du sie löschen solltest). Das Team shipped, der Stack hält, und jedes Quartal fragt jemand 'sind wir NIS2-compliant?' und der Raum wird still. Dieser Track ist der Nachmittag nach dem der Raum nicht mehr still wird.

WARUM DIESER TRACK

Docker, Nginx, Vault, RBAC, CI/CD — jeder Punkt auf dieser Liste hat eine Default-Config die Angreifer lieben. Der Stack-Hardening-Track ist ein geführter Sprint durch genau die Controls die ein Team das schnell shippt von einem Team das schnell shippt UND nachts durchschläft trennen.

PLAYABLE MISSIONS

📚 15 missions⏱️ ~178 min⚡ 3425 XP

WAS DU AM ENDE LIVE HAST

Concrete outcomes. No lecture notes.

01Ein Dockerfile das non-root läuft, read-only, mit signierten Images
02Eine Nginx-Config die aggressive Scraper an der Edge rate-limitet
03Ein Vault-gestützter Secrets-Flow — null Credentials in Git-History
04RBAC so spezifisch dass jedes Rollen-Audit 10 Minuten dauert, nicht 10 Stunden
05Eine CI/CD-Pipeline die den ClawGuru Security-Check auf jeden PR laufen lässt und Regressions-Builds failen lässt
06Ein schriftliches Incident-Response-Runbook das du um 3 Uhr morgens tatsächlich nutzen kannst

FÜR WEN

▸DevOps / SRE Leads in 10–200 Personen Firmen
▸Solo-Ops mit Multi-Service Self-Hosted Infra
▸Engineering Manager:innen die sich auf NIS2-Audit vorbereiten
▸Security Engineers die eine Legacy-DevOps-Kultur geerbt haben

COMPLIANCE-HEBEL

Adressiert direkt NIS2 Artikel 21 technische Controls (Risikomanagement, Incident Handling, Supply-Chain-Security, Verschlüsselung). Alignt mit ENISA Self-Hosted Guidance und BSI-Grundschutz SYS.1, APP.4 und CON.3. Produziert Evidence-Artefakte die du an eine Audit-Antwort anhängen kannst.

“

Wir hatten ein NIS2-Readiness-Assessment auf Dienstag gelegt. Am Montagabend haben wir Stack Hardening durchgezogen. Der Auditor ging 40 % schneller als geplant weil die Antworten schon dokumentiert waren.

Head of Platform

EU Fintech, Series B

ZERTIFIZIERUNG

🏆

Defender II

Schließe alle Stack-Hardening-Missionen ab + die cross-track 'NIS2 Audit Response' Capstone (ship mit dem Track).

✓W3C Verifiable Credential — Defender II Level
✓Einladung zum ops-fokussierten Defender-Guild-Channel
✓Rabatt auf ClawGuru Pro (Stack-Hardening-Graduates)
✓Listing als hardening-fähig im optionalen ClawGuru Talent-Directory (opt-in)

FAQ

Questions we already got.

Ist das produktionsreife Guidance oder nur Theorie?+

Jede Mission produziert funktionierende Config. Wir shippen die exakten Flags, Headers, Rules, YAML. Kopieren, testen, deployen.

Wir sind nicht auf Docker/K8s. Relevant?+

~70 % des Contents gilt für jeden Linux-Stack (systemd-Services, nginx, Secrets-Handling, RBAC, CI/CD). Die Docker-+-K8s-Specifics sind klar markiert — skippe sie wenn sie nicht relevant sind.

Deckt ihr cloud-spezifische Controls ab (AWS IAM, GCP, Azure)?+

Teilweise — dieser Track fokussiert auf self-hosted. Cloud-spezifisches Hardening ist der Auth-&-Identity-Track plus zukünftige provider-spezifische Bonus-Missionen.

Wie unterscheidet sich das von CIS Benchmarks?+

CIS ist eine Checkliste. Stack Hardening ist eine spielbare Simulation der exakten Config-Changes die du machen würdest um CIS zu erfüllen — mit Erklärungen die ein Operator auch liest.

Wöchentlicher Security-Report

Kritische CVEs, Fix-Anleitungen und Hardening-Tipps — kostenlos, jede Woche.

Ich stimme dem Erhalt des wöchentlichen Security-Newsletters zu. Jederzeit abbestellbar. Datenschutz

DSGVO-konform·Kein Spam, kein Tracking·Jederzeit abbestellbar

Geschrieben und validiert von Schwerti · ClawGuru

Zuletzt aktualisiert: 5. Mai 2026· Veröffentlicht: 22. April 2026

Stack Hardening

Ship a non-root Dockerfile before it hits staging

Lock down Postgres before the audit team lands

Stop the credential-stuffing wave on /login — without locking out users

Restore the nightly backup before the SLA breach hits

Rotate the leaked API key without breaking a single client

Default-deny the prod namespace without breaking ingress + worker traffic

Lock down the public /admin endpoint with IP allowlist + HTTP Basic Auth

Harden the docker-compose stack: drop root, remove socket, move secrets

Secure Redis: bind restriction, requirepass, ACL, disable dangerous commands

Kubernetes Pod Security: restrict capabilities & drop privileges

AWS S3 Bucket Policy: restrict public access and enforce encryption

TLS Certificate Rotation: automate cert renewal before expiry

PostgreSQL Row-Level Security: multi-tenant data isolation

GitHub Actions Hardening: secure CI/CD pipeline

Prometheus Alerting: configure critical security alerts

Concrete outcomes. No lecture notes.

Defender II

Questions we already got.