Case Studies

Wie Six Offene Systeme in die AWS Cloud startete

Six Offene Systeme hat das Potenzial von AWS erkannt und sich für eine Migration entschieden. Skaylink stand beratend zur Seite.

Aufbau eines Control Tower und Enablement für die AWS Cloud

Die Six Offene Systeme GmbH ist ein inhabergeführtes Unternehmen, das über mehr als 30 Jahre Expertise im Bereich Software-Produktentwicklung verfügt. Zurzeit beschäftigt Six rund 50 Mitarbeitende an den zwei Standorten Stuttgart und Berlin.

Six Offene Systeme hat das Potenzial von AWS sowie die Vorteile einer Cloud-Nutzung für sich erkannt und sich entschieden, in die Cloud zu migrieren. Bisher hostete das Unternehmen seine Daten in eigener Verantwortung,  zukünftig aber sollten die On-Premises-Systeme durch die AWS Cloud abgelöst werden.

Auf der Suche nach einem geeigneten Partner kontaktierte Six Offene Systeme Skaylink. Gemeinsam fanden wir innerhalb kurzer Zeit einen Termin für unseren Cloud Advisory Workshop. Hier erklärten unsere Expert*innen Lennart Tunze und Kathleen Lorenz ausführlich die Grundlagen der Cloud. Dabei wurde auch auf verschiedene Fragen eingegangen, wie beispielsweise „Was kann die Cloud?“ und „Welche Benefits hat unser Unternehmen davon?“. Six sah sich durch die Antworten in seinem Ziel bestätigt und entschied sich dazu, den Weg in die Cloud weiterzugehen.

Mit dem Cloud Advisory Workshop waren die wichtigsten Grundlagen geschaffen. Im Anschluss ergaben sich für den Kunden viele weitere Fragen. Dazu gehörten zum Beispiel „Wie starten wir in der AWS-Cloud?“ und „Wie steht es zukünftig um Multi-Accounts?“. Selbstverständlich erhielt Six während der weiteren Zusammenarbeit auch auf diese Fragen zufriedenstellende Antworten. 

In 3 Tagen zum erfolgreichen Start in die Cloud

Als Grundlage für den strukturierten, sicheren und skalierbaren Start in die AWS Cloud führten unsere Skaylink-Expert*innen einen weiteren 3-tägigen Workshop durch. Dieser bestand aus inhaltlichen Präsentationen, der gemeinsamen technischen Implementation sowie offenen Diskussionsrunden, in denen alle Themen und Fragen ausführlich behandelt wurden.

Die technische Umsetzung erfolgte durch Lennart Tunze und Kathleen Lorenz. Die technischen Grundlagen wie zum Beispiel Key Management System (KMS), Verschlüsselung und Logging wurden durch unsere Kolleg*innen Nickolas Webb und Bianca Sprätz vermittelt. So konnten wir im Sinne einer „Customer Obsession“ direkter auf die individuellen Bedürfnisse von Six Offene Systeme eingehen.

In unseren inhaltlichen Präsentationen erläuterten wir, was für den Aufbau und das Verständnis des Control Tower notwendig ist. Bei der gemeinsamen technischen Implementation konnte das neu erworbene Wissen direkt eingesetzt werden.

Zu den Kernthemen des Workshops gehörten:

  • Zentralisiertes Billing
  • Audit Logging
  • Identity und Access Management
  • Security Monitoring und Bedrohungserkennung
  • Verschlüsselungsmechanismen in AWS
  • Multi-Account-Architektur
  • AWS-Account-Erstellung

Alle Themen wurden offen diskutiert und jede Frage – sowohl aus der Technik- als auch aus der Sicherheitsperspektive – wurde beantwortet.

„Im gemeinsamen Workshop konnten wichtige Fragen geklärt und beantwortet werden. Es herrschte eine angenehme Atmosphäre und die Chemie zwischen beiden Unternehmen passte von Beginn an. Wir freuen uns, mit Skaylink die passende Lösung für unsere Ansprüche und Bedürfnisse gefunden zu haben.“

Eingesetzte Technologien

  • AWS Organizations und Control Tower für die zentrale Verwaltung von AWS-Konten und -Ressourcen
  • Amazon CloudTrail und Amazon S3 für die zentrale Aufzeichnung und Archivierung von Audit Logs
  • Integration von AWS IAM mit Azure AD für ein zentrales Identitätsmanagement
  • AWS Security Hub und Amazon GuardDuty für zentrale Sicherheitsüberwachung und Bedrohungserkennung
  • AWS Key Management Service (KMS) für modernes Schlüsselmanagement
  • Infrastructure as Code (IaC) mit CloudFormation Templates für die automatisierte Bereitstellung der Infrastruktur
  • AWS-Multi-Account-Architektur für maximale Isolierung zwischen Workloads
  • Customizations for Control Tower Solution für eine strukturierte Implementierung und Verwaltung des Control Tower

Die Themen

Der Kunde erhielt eine Übersicht über die unterschiedlichen AWS-Bereiche, die allesamt wichtig für die zentralisierte Governance und Skalierbarkeit sind. Für das Grundverständnis wurde auf folgende Themen und AWS-Services eingegangen:

  • Zentralisierung der AWS-Rechnungen über AWS Organizations und Control Tower. So kann zentral eingesehen werden, welcher AWS-Account welche Kosten verursacht. Die Rechnungsabteilung erhält eine gesammelte AWS-Rechnung. Zudem lässt sich zentralisiert ein „monatliches AWS-Gesamtbudget“ setzen.
  • Erstellung eines zentralisierten Audit Log Archive über Amazon CloudTrail und Amazon S3. Dadurch werden die Nutzeraktivitäten aller AWS-Accounts der Six in einem zentralen Amazon S3 Bucket gesammelt. Die Audit Logs werden für 365 Tage gespeichert und können zukünftig bei Bedarf zur Analyse an SIEM-Tools weitergeleitet werden.
  • Zentralisierung von IAM in AWS über ein AWS-Rollenkonzept und die Einbindung von AWS IAM Identity Center mit dem vorhandenen Six Azure AD. Dank der Einbindung muss Six keine „AWS-eigenen“ Onboarding-, Offboarding-, Berechtigungszuordnungs- oder Rezertifizierungsprozesse erstellen, sondern kann die bereits etablierten Prozesse aus dem Azure AD verwenden.
  • Zentralisierung von Sicherheitsüberwachungsmaßnahmen über AWS Security Hub und Amazon GuardDuty in einem dedizierten Audit AWS Account. Hierdurch kann von zentraler Stelle aus überprüft werden, ob die Amazon Security Best Practices eingehalten werden. Durch Amazon GuardDuty kann zudem unübliches Verhalten auf der AWS-Ebene erkannt und Alarm ausgelöst werden.
  • Verschlüsselungsmechanismen in AWS und wie mit dem AWS Key Management Service (KMS) und Customer Managed KMS Keys ein State-of-the-Art-Schlüsselmanagement erreicht werden kann. Hierbei wurde insbesondere auf das Umschlagsverschlüsselungskonzept von AWS eingegangen. Es wurden typische Angriffsmuster dargestellt, die durch verschiedene Verschlüsselungsmaßnahmen abgewehrt werden können.
  • Die gesamte Infrastruktur wurde über Infrastructure as Code mittels CloudFormation Templates aufgebaut. Auch hierfür schufen wir im Rahmen des Workshops ein Grundverständnis, indem wir auf den Aufbau und die Erstellung von CloudFormation eingingen. Diese werden zukünftig als Basis für Terraform Templates verwendet. Die für den Control Tower relevanten Templates wurden über die „Customizations for Control Tower“-Lösung in einem strukturierten CodeCommit (Git) Repository abgelegt.
  • Auf konzeptueller Ebene wurden Optionen für ein zentralisiertes Netzwerk in einem dedizierten AWS-Netzwerk-Account dargestellt. Auch Containerisierungsmöglichkeiten in einer Multi-Account-AWS-Architektur wurden erläutert, jedoch nicht implementiert.

Während der gemeinsamen technischen Implementation wurde die erlernte Theorie in die Praxis umgesetzt. Dabei war auch Error Handling ein Thema, das ebenfalls in der Praxis aufgegriffen wurde.

Zudem wurde die Multi-Account-Architektur von AWS ausführlich erklärt. Dabei brachten wir dem Kunden die Vielfalt des Aufbaus näher und demonstrierten, was in dieser Architektur alles möglich ist – auch weil sich dank der Multi-Account-Architektur die maximale Isolierung zwischen Workloads ausnutzen lässt. 

Fazit

Mit einer optimalen Mischung aus Theorie und Praxis sowie einer Kombination aus fertigen und im Workshop erarbeiteten Templates konnten wir unserem Kunden maßgebliches Wissen vermitteln. Six Offene Systeme kann nun eigenständig Erfahrungen in einem zentral verwaltbaren Rahmen sammeln, Automatisierungen zentralisiert ausrollen und seine Zukunft in der AWS Cloud selbst in die Hand nehmen. Dank der Dokumentation in Form von Mitschriften und Videos kann Six die Inhalte des Workshops jederzeit wiederholen und erneut anwenden.

„Die Atmosphäre im Workshop war durchweg sehr angenehm. Ab der ersten Minute waren sich die Teams sympathisch. So konnten wir problemlos über Inhalte wie auch über andere Themen sprechen. Über den gesamten Workshop hinweg spürten wir deutlich die Motivation der Kolleg*innen von Six Offene Systeme. Dadurch hat die Zusammenarbeit viel Spaß gemacht.“