Skalierbare IAM- Lösung für internationalen IT-Dienstleister
Entwicklung einer zuverlässigen Identity-Management-Lösung zum Zugriff auf AWS-Cloud-Ressourcen. Aufbau einer Governance für alle Identity-Management-Aspekte.
Über das Unternehmen
Der Kunde ist ein international tätiger Versicherungskonzern, der fast 30.000 angestellte Mitarbeitende weltweit sowie über 10.000 hauptberufliche Vertreter*innen beschäftigt. Durch Versicherungsbeiträge im zweistelligen Milliardenbereich zählt das Unternehmen zu den großen Erstversicherern in Deutschland und Europa.
Herausforderungen, Lösungsvorschlag und Ergebnisse
Die Herausforderung
Der Kunde verfügt über eine Umgebung mit über 130 AWS-Konten und 60 produktiven Anwendungen. Hier wird eine zuverlässige zentrale IAM-Lösung benötigt, um die Compliance-Einhaltung aller Benutzerkonten zu berichten und eine zuverlässige und konforme (gemäß den Sicherheitsrichtlinien des Kunden) Lösung für den Zugriff auf AWS-Ressourcen für alle Anwendungsentwickler*innen zu ermöglichen. Die Lösung sollte mit der Größe der Plattform skalieren und in der Lage sein, neue Projekte innerhalb von Minuten anstatt Tagen oder Wochen zu integrieren. Die Plattform wurde entwickelt, um zu skalieren und künftig weitere Unternehmensanwendungen mit unterschiedlichen Betriebsmodellen aufzunehmen.
Unser Lösungsvorschlag
Wir haben eine Mehrzweck- und Mehrprojekt-Kontenstruktur entwickelt, die Projekte auf AWS-Kontenebene voneinander trennt. Jedes Projekt erhielt zwei AWS-Accounts (Entwicklung sowie Integration und Produktion) für seine Workloads. Für die Authentifizierung gegen die AWS-Konten haben wir AWS IAM verwendet, um alle Kundenbedürfnisse in Bezug auf Compliance (MFA/IP-Beschränkung/Rotation von Schlüsseln/Service User Governance/…), Skalierbarkeit und Sicherheit zu erfüllen.
Dazu haben wir die Kontoeinrichtung wie folgt automatisiert:
- Die vollautomatische Einrichtung von Workload-AWS Accounts beinhaltet den Einsatz mehrerer IAM-Rollen, die über AWS CloudFormation automatisch mit dem zentralen IAM-AWS Account verbunden sind, der das zentrale Benutzermanagement bietet.
- Installation von IAM-Gruppen in einem zentralen Identitätsmanagementkonto, das die Rollenübernahme in das neue Projektkonto ermöglicht.
- Zentraler Cloud-Governance-Prozess, der das Projekt beim Onboarding an AWS unterstützt, einschließlich der Einrichtung von Benutzer*innen mit Zugriff auf die Entwicklungs-/Internetumgebung des Projekts.
- Anwender*innen können ihre MFA selbstständig einstellen (selbstverwaltet).
- Die Konfiguration aller Benutzer*innen und Rollen wird ständig durch eine selbst entwickelte Compliance-Logik geprüft, die alle Konfigurationen anhand einer Richtlinie (CIS Benchmark + Customer Guidelines) überprüft.
Mit dieser Lösung konnten wir neue Benutzer*innen sehr schnell und ohne Kompromisse in Bezug auf Geschwindigkeit, Agilität und Sicherheit einbinden. Benutzer*innen können agil auf ihre Projektressourcen zugreifen, jedoch nach einer zentralen Logik, die im Falle einer Fehlkonfiguration oder eines Vorfalls benachrichtigt.
Zusätzlich haben wir mehrere Compliance-Checks gegen AWS IAM implementiert, die an eine zentrale ElasticSearch melden, um die weitere Bearbeitung durch ein zentrales Cloud Operations Team zu ermöglichen:
- Alter der Zugangsschlüssel (> 90 Tage)
- Benutzeraktivität (> 30 Tage)
- MFA aktiviert (obwohl alle Rollen die Verwendung einer MFA erzwingen)
- Komplexe Passwort-Richtlinien
Vorfälle/Ergebnisse werden an ein zentrales Cloud Operations Team (innerhalb eines Cloud Competence Centers) gemeldet, um die Vorfälle zu bearbeiten und an den entsprechenden Benutzer*innen weiterzuleiten.
AWS als Teil der Lösung
Die Lösung wurde zu großen Teilen auf mehreren AWS-Diensten aufgebaut.
- AWS IAM eignet sich sehr gut für eine skalierbare IAM-Infrastruktur mit mehr als 130 AWS-Konten. Mehrere Limits für Richtliniengrößen, Gruppenlimits, Benutzerlimits wurden während der Projekt- und Hypercare-Phase erhöht, ohne dabei ein hartes Limit zu erreichen.
- Mit AWS Lambda wird die IAM-Konformität konstant („Continuous Compliance“) und zu sehr niedrigen Kosten überprüft.
- AWS ElasticSearch wird als einfach einzurichtendes Dashboard für eine Compliance-Übersicht verwendet, die dem Cloud Operations Team hilft.
Erzielte Erfolge des Projekts
Alle Anforderungen des auftraggebenden Unternehmens an das Identitätsmanagement konnten erfüllt werden. In Bezug auf Skalierbarkeit und Sicherheit übertrifft unsere Lösung sogar die aktuell implementierten Lösungen des Kunden. Eine sehr niedrige Fehlerrate beim Zugriff auf Ressourcen über AWS IAM wurde erreicht. Über die AWS ElasticSearch wurde eine sehr gute Transparenz des Compliance-Zustandes aller IAM-Ressourcen erzielt (Alter, Aktivitäten, …). Die Eingliederung neuer Projekte erfolgt in wenigen Minuten und ein Compliance-Bericht kann bei Bedarf ohne manuelle Tätigkeiten erstellt werden.
Weitere Case Studies
Umgestaltung von Girtekas AWS Infrastructure Management
Drivitty: Verwandlung in ein Microservices-Wunder
Story House Egmont – digitalisiert und rationalisiert in nur drei Monaten
Nets erreicht starke DevOps-Mentalität mit „You built it, you run it“
Starten wir gemeinsam in die Zukunft
Unsicher, wohin die digitale Reise bei Ihnen führen soll? Unsere Expert*innen stehen Ihnen gerne unverbindlich für Ihre Fragen zur Verfügung!
Einfach das nebenstehende Formular ausfüllen und wir melden uns umgehend bei Ihnen.
