Cloud Transformation bei internationalem Versicherungskonzern
Entwicklung einer Continuous-Compliance-Lösung mit wöchentlichem Management-Reporting und Dashboard-Funktionalitäten für tägliche Cloud-Operationen
Über das Unternehmen
Der Kunde ist ein international tätiger Versicherungskonzern, der fast 30.000 angestellte Mitarbeitende weltweit sowie über 10.000 hauptberufliche Vertreter*innen beschäftigt. Durch Versicherungsbeiträge im zweistelligen Milliardenbereich zählt das Unternehmen zu den großen Erstversicherern in Deutschland und Europa.
Herausforderungen, Lösungsvorschlag und Ergebnisse
Die Herausforderung
Der Kunde verfügt über eine Enterprise-skalierte Umgebung mit über 130 AWS Accounts und 60 produktiven Anwendungen, die von agilen DevOps-Teams betrieben werden. Dennoch benötigte der Kunde eine Möglichkeit, Berichte zur Compliance-Konformität seiner AWS-Konten anhand einer Reihe von selbst auferlegten Richtlinien oder Leitplanken zu erstellen. Die Leitplanken sind eine Kombination aus AWS Best Practices, CIS-Benchmarkregeln und selbst auferlegten Regeln einer vom Kunden vorgegebenen Richtlinie. Der Kunde wollte die Agilität der Betriebsteams beibehalten, aber trotzdem sicherstellen, dass sich alle an die entsprechenden Leitplanken halten. Es sollte wöchentlich ein Bericht an den Sicherheitsrat erstellt werden, um sicherzustellen, dass Projekte die dokumentierten Compliance-Regeln erfüllen. So wurde beispielsweise ein starker Fokus auf die explizite Nutzung der deutschen AWS-Region zur Speicherung und Verarbeitung von Daten gelegt. Andere Regeln basierten auf Verschlüsselung, geringsten Privilegien und einer stabilen IAM-Lösung, die die aktiven Benutzer*innen und die Rotation der Anmeldeinformationen überwacht.
Unser Lösungsvorschlag
Wir haben eine Lambda-Step-Funktion entwickelt, die alle AWS-Konten der Kunden nach spezifischen Compliance-Regeln (> 30 Regeln) überprüft. Diese Schrittfunktion skaliert mit der Anzahl der AWS-Konten, da wir AWS-Organisationen verwenden, um die Liste der derzeit im Besitz des Kunden befindlichen AWS-Konten zu überprüfen. Diese Lösung eliminiert manuelle Arbeitsschritte vollständig. Neue und deaktivierte Konten werden ohne manuellen Eingriff erkannt.
Die folgenden Beispiele für Compliance-Checks wurden implementiert:
- Keine Ressourcen außerhalb einer bestimmten AWS-Region
- Es werden nur verschlüsselte Datenträger verwendet und deployed
- Es werden nur verschlüsselte RDS-Datenbanken verwendet und bereitgestellt
- Es werden keine exponierten RDS-Datenbanken bereitgestellt
- Es werden keine Sicherheitsgruppen mit exponierten Verwaltungsports für das öffentliche Internet eingerichtet
- Es werden keine S3-Buckets ohne erzwungene Verschlüsselung eingesetzt
- Keine aktiven Peering- oder VPN-Verbindungen zu Konten, die nicht Teil des Unternehmens sind (alle sollten lose über öffentliche Endpunkte gekoppelt sein)
- Keine IAM-Benutzer*innen außerhalb des zentralen IAM AWS-Kontos
- Keine alten Zugriffsschlüssel
- Keine inaktiven Benutzer*innen
- Keine Load Balancer mit unverschlüsselten Endpunkten (z. B. HTTP)
Diese Überprüfungen werden stündlich durch die Lambda-Schrittfunktion durchgeführt und verschlüsselt an einen zentralen S3-Bucket in einem separaten AWS-Konto gestreamt, um sie dann an eines der On-Prem Warehouses der Kunden weiterzugeben. In diesem Prozess sind keine manuellen Schritte erforderlich. Zusätzlich wurden alle im Bucket gespeicherten Dateien über eine Lambda-Funktion an AWS ElasticSearch zur Analyse und zum Einsatz im täglichen Betrieb des Cloud Ops Teams (Teil des lokalen Cloud Competence Center – CCC) gestreamt. Das Dashboard wird täglich verwendet, um die Einhaltung der Vorschriften zu melden und zu überprüfen, ob alle Projekte alle Kundenanforderungen in Bezug auf Compliance und Sicherheit erfüllen. Das Dashboard enthält alle genannten Compliance-Ergebnisse. CloudTrail-Logdateien werden über eine Lambda-Funktion auch an den ElasticSearch-Cluster gestreamt. Dies hilft dem Cloud Operations Team, Probleme zwischen Compliance-Verstößen und dem API-Log (CloudTrail) zu überprüfen.
AWS als Teil der Lösung
Die Lösung, die alle Anforderungen des Kunden erfüllt, basiert vollständig auf AWS-Diensten und wurde ohne IaaS-Komponenten implementiert. Die von uns häufig eingesetzten AWS Config-Regeln passten für diesen Kunden nicht gut, da sie nur eine sehr dezentrale Sicht auf eine sehr große Unternehmensumgebung bieten (AWS Config Rules pro Account ohne zentrales Dashboard oder Alarmierung). Eine eigens entwickelte Lösung, die auf mehreren AWS Lambda-Funktionen und ElasticSearch basiert, brachte uns die Lösung und das Ergebnis, das vom Kunden gewünscht wurde, zu einem sehr niedrigen Preis. Die Lösung brachte maximale Transparenz in die riesige Unternehmensumgebung.
Erzielte Erfolge des Projekts
Alle vom Kunden dokumentierten Compliance-Prüfungen wurden implementiert und werden kontinuierlich überwacht. Dabei wurde ein wöchentliches Reporting hinzugefügt. Ohne Benutzerinteraktion werden alle Prüfungen an ein zentrales Dashboard (AWS ElasticSearch) gestreamt, um tägliche Compliance-Kontrollen durchzuführen. Alle Teile der Lösung werden vollständig von AWS (Lambda, S3, ElasticSearch) verwaltet und voll automatisiert. Neue Konten für neue Anwendungen werden ohne manuelle Interaktion automatisch der Compliance-Logik hinzugefügt. Wichtige Einblicke zu den Anwendungsumgebungen, die von kleineren DevOps-Teams verwaltet werden, werden von Anfang an bereitgestellt, ohne dabei zusätzliche Overhead-Barrieren für die Projektteams zu erzeugen.
Weitere Case Studies
Zukunftssicheres Enterprise Social Network für Continental
Wie Six Offene Systeme in die AWS Cloud startete
KWS und Skaylink treiben digitales Produktportfolio voran
Mit dem IT Risk Assessment zentralen Herausforderungen der VAIT begegnen
Starten wir gemeinsam in die Zukunft
Unsicher, wohin die digitale Reise bei Ihnen führen soll? Unsere Expert*innen stehen Ihnen gerne unverbindlich für Ihre Fragen zur Verfügung!
Einfach das nebenstehende Formular ausfüllen und wir melden uns umgehend bei Ihnen.
