Jetzt anrufen: +49 89 538863-0

Sprache:

Wie Six Offene Systeme in die AWS Cloud startete

Aufbau eines Control Towers und Enablement für die AWS Cloud

Die Six Offene Systeme GmbH ist ein inhabergeführtes Unternehmen, das über mehr als 30 Jahre Expertise im Bereich Software-Produktentwicklung verfügt. Zurzeit beschäftigt Six rund 50 Mitarbeitende an den zwei Standorten Stuttgart und Berlin.

Six Offene Systeme hat das Potenzial von AWS sowie die Vorteile einer Cloud-Nutzung für sich erkannt und sich entschieden, in die Cloud zu migrieren. Bisher hostete das Unternehmen seine Daten in eigener Verantwortung. Zukünftig sollten die On-Premises-Systeme aber durch die AWS Cloud abgelöst werden.

Auf der Suche nach einem geeigneten Partner kontaktierte Six Offene Systeme unsere Expert*innen von Skaylink. Gemeinsam fanden wir innerhalb kurzer Zeit einen Termin für unseren Cloud Advisory Workshop. Hier erklärten unsere Expert*innen Lennart Tunze und Kathleen Lorenz ausführlich die Grundlagen der Cloud. Dabei wurde auch auf verschiedene Fragen eingegangen, wie beispielsweise „Was kann die Cloud?“ und „Welche Benefits hat unser Unternehmen davon?“. Six sah sich durch die Antworten in seinem Ziel bestätigt und entschied sich dazu, den Weg in die Cloud weiterzugehen.

Mit dem Cloud Advisory Workshop waren die wichtigsten Grundlagen geschaffen. Im Anschluss ergaben sich für den Kunden viele weitere Fragen. Dazu gehörten zum Beispiel „Wie starten wir in der AWS-Cloud?“ und „Wie steht es zukünftig um Multi-Accounts?“. Selbstverständlich erhielt Six während der weiteren Zusammenarbeit auch auf diese Fragen zufriedenstellende Antworten. 

In drei Tagen zum erfolgreichen Start in die Cloud

Als Grundlage für den strukturierten, sicheren und skalierbaren Start in die AWS Cloud führten unsere Skaylink-Expert*innen einen weiteren 3-tägigen Workshop durch. Dieser bestand aus inhaltlichen Präsentationen, der gemeinsamen technischen Implementation sowie offenen Diskussionsrunden, in denen unsere Expert*innen auf alle Themen und Fragen ausführlich eingingen .

Die technische Umsetzung erfolgte dabei durch Lennart Tunze und Kathleen Lorenz. Die technischen Grundlagen wie zum Beispiel Key Management System (KMS), Verschlüsselung und Logging wurden durch unsere Kolleg*innen Nickolas Webb und Bianca Sprätz vermittelt. Auf diese Weise konnten wir im Sinne einer „Customer Obsession“ direkter auf die individuellen Bedürfnisse der Kolleg*innen von Six Offene Systeme eingehen.

Im Rahmen unserer inhaltlichen Präsentationen erläuterten wir, was für den Aufbau und das Verständnis des Control Towers notwendig ist. Bei der gemeinsamen technischen Implementation kam dieses neu erworbene Wissen direkt zum Einsatz.

Zu den Kernthemen des Workshops gehörten:

  • Zentralisiertes Billing
  • Audit Logging
  • Identity und Access Management
  • Security Monitoring und Bedrohungserkennung
  • Verschlüsselungsmechanismen in AWS
  • Multi-Account-Architektur
  • AWS-Account-Erstellung

Zu allen Themen fanden offene Diskussionen statt, in denen jede Frage sowohl aus der Technik- als auch aus der Sicherheitsperspektive beantwortet wurde.

ALEXEJ WALTHER

Six Offene Systeme

„Im gemeinsamen Workshop konnten wichtige Fragen abgeklärt und beantwortet werden. Es herrschte eine angenehme Atmosphäre und die Chemie zwischen beiden Unternehmen passte von Beginn an.

Wir freuen uns mit Skaylink die passende Lösung für unsere Ansprüche und Bedürfnisse gefunden zu haben.“

Die Themen

Der Kunde erhielt eine Übersicht über die unterschiedlichen AWS-Bereiche, die allesamt wichtig für die zentralisierte Governance und Skalierbarkeit sind. Für das Grundverständnis wurde auf folgende Themen und AWS-Services eingegangen:

  • Die Zentralisierung der AWS-Rechnungen über AWS Organizations und Control Tower. So kann zentral eingesehen werden, welcher AWS-Account welche Kosten verursacht. Die Rechnungsabteilung erhält eine gesammelte AWS-Rechnung. Zudem lässt sich zentralisiert ein „monatliches AWS-Gesamtbudget“ setzen.
  • Die Erstellung eines zentralisierten Audit Log Archive über Amazon CloudTrail und Amazon S3. Dadurch werden die Nutzeraktivitäten aller AWS-Accounts der Six in einem zentralen Amazon S3 Bucket gesammelt. Die Audit Logs werden für 365 Tage gespeichert und können zukünftig bei Bedarf zur Analyse an SIEM-Tools weitergeleitet werden.
  • Die Zentralisierung von IAM in AWS über ein AWS-Rollenkonzept und die Einbindung von AWS IAM Identity Center mit dem vorhandenen Six Azure AD. Dank der Einbindung muss Six keine „AWS-eigenen“ Onboarding-, Offboarding-, Berechtigungszuordnungs- oder Rezertifizierungsprozesse erstellen, sondern kann die bereits etablierten Prozesse aus dem Azure AD verwenden.
  • Die Zentralisierung von Sicherheitsüberwachungsmaßnahmen über AWS Security Hub und Amazon GuardDuty in einem dedizierten Audit AWS Account. Hierdurch kann von zentraler Stelle aus überprüft werden, ob die Amazon Security Best Practices eingehalten werden. Durch Amazon GuardDuty kann zudem unübliches Verhalten auf der AWS-Ebene erkannt und Alarm ausgelöst werden.
  • Verschlüsselungsmechanismen in AWS – und wie mit dem AWS Key Management Service (KMS) und Customer Managed KMS Keys ein State-of-the-Art-Schlüsselmanagement erreicht werden kann. Hierbei wurde insbesondere auf das „Umschlagsverschlüsselungskonzept“ von AWS eingegangen. Es wurden typische Angriffsmuster dargestellt, die durch verschiedene Verschlüsselungsmaßnahmen abgewehrt werden können.
  • Die gesamte Infrastruktur wurde über „Infrastructure as Code“ mittels CloudFormation Templates aufgebaut. Auch hierfür schufen wir im Rahmen des Workshops ein Grundverständnis, indem wir auf den Aufbau und die Erstellung von CloudFormation eingingen. Diese werden zukünftig als Basis für Terraform Templates verwendet. Die für den Control Tower relevanten Templates wurden über die „Customizations for Control Tower“ Solution in einem strukturierten CodeCommit (Git) Repository abgelegt.
  • Auf der konzeptuellen Ebene wurden Optionen für ein zentralisiertes Netzwerk in einem dedizierten AWS-Netzwerk-Account dargestellt. Auch Containerisierungsmöglichkeiten in einer Multi-Account-AWS-Architektur wurden erläutert, jedoch nicht implementiert.

 

Während der gemeinsamen technischen Implementation wurde die erlernte Theorie in die Praxis umgesetzt. Dabei war auch Error Handling ein Thema, das ebenfalls in der Praxis aufgegriffen wurde.

Auch die Multi-Account-Architektur von AWS wurde ausführlich erklärt. Dabei brachten wir dem Kunden die Vielfalt des Aufbaus näher und demonstrierten, was in dieser Architektur alles möglich ist – auch weil sich dank der Multi-Account-Architektur die maximale Isolierung zwischen Workloads ausnutzen lässt. 

Fazit

Mit einer optimalen Mischung aus Theorie und Praxis sowie einer Kombination aus fertigen und im Workshop erarbeiteten Templates konnten wir unserem Kunden maßgebliches Wissen vermitteln. Six Offene Systeme kann nun eigenständig Erfahrungen in einem zentral verwaltbaren Rahmen sammeln, Automatisierungen zentralisiert ausrollen und seine Zukunft in der AWS Cloud selbst in die Hand nehmen. Dank der Dokumentation in Form von Mitschriften und Videos kann Six die Inhalte des Workshops jederzeit wiederholen und erneut anwenden.

NICKOLAS WEBB
Senior Cloud Security Consultant, Skaylink

„Die Atmosphäre im Workshop war durchweg sehr angenehm. Ab der ersten Minute waren sich die Teams sympathisch. So konnten wir problemlos über Inhalte wie auch über andere Themen sprechen. Über den gesamten Workshop hinweg spürten wir deutlich die Motivation der Kolleg*innen von Six Offene Systeme. Dadurch hat die Zusammenarbeit viel Spaß gemacht.“

Weitere Case Studies

Starten wir gemeinsam in die Zukunft

Unsicher, wohin die digitale Reise bei Ihnen führen soll? Unsere Expert*innen stehen Ihnen gerne unverbindlich für Ihre Fragen zur Verfügung!

Einfach das nebenstehende Formular ausfüllen und wir melden uns umgehend bei Ihnen.