Fallbeispiel
Automatisiertes Compliance-Reporting

DER AUFTRAG

Entwicklung einer Continuous-Compliance-Lösung mit wöchentlichem Management Reporting und Dashboard-Funktionalitäten für tägliche Cloud-Operationen.

ÜBER DAS UNTERNEHMEN 

Der Kunde ist ein international tätiger Versicherungskonzern, der fast 30.000 angestellte Mitarbeiter weltweit sowie über 10.000 hauptberufliche Vertreter beschäftigt. Durch Versicherungsbeiträge im zweistelligen Milliardenbereich zählt das Unternehmen zu den großen Erstversicherern in Deutschland und Europa.

9

Monate
Projektdauer

3

Mitarbeiter
kundenseitig

3

Mitarbeiter
direkt gruppe

130

verwaltete
AWS Accounts

60

DevOps gesteuerte
produktive Applikationen

180

Kubernetes
Cluster

DIE HERAUSFORDERUNG

Der Kunde verfügt über eine enterprise-skalierte Umgebung mit über 130 AWS Accounts und 60 produktiven Anwendungen, die von agilen DevOps Teams betrieben wird. Dennoch benötigte der Kunde eine Möglichkeit, Berichte zur Compliance-Konformität seiner AWS-Konten anhand einer Reihe von selbst auferlegten Richtlinien oder Leitplanken, zu erstellen. Die Leitplanken sind eine Kombination aus AWS Best Practices, CIS-Benchmarkregeln und selbst auferlegten Regeln einer vom Kunden vorgegebenen Richtlinie. Der Kunde wollte die Agilität der Betriebsteams beibehalten, aber trotzdem sicherstellen, dass sich alle an die entsprechenden Leitplanken halten. Es sollte wöchentlich ein Bericht an den Sicherheitsrat erstellt werden, um sicherzustellen, dass Projekte die dokumentierten Compliance-Regeln erfüllen. So wurde beispielsweise ein starker Fokus auf die explizite Nutzung der deutschen AWS-Region zur Speicherung und Verarbeitung von Daten gelegt. Andere Regeln basierten auf Verschlüsselung, geringsten Privilegien und einer stabilen IAM-Lösung, die die aktiven Benutzer und die Rotation der Anmeldeinformationen überwacht.

UNSER LÖSUNGSVORSCHLAG

Wir haben eine Lambda-Step-Funktion entwickelt, die alle AWS-Konten der Kunden nach spezifischen Compliance-Regeln (>30 Regeln) überprüft. Diese Schrittfunktion skaliert mit der Anzahl der AWS-Konten, da wir AWS-Organisationen verwenden, um die Liste der derzeit im Besitz des Kunden befindlichen AWS-Konten zu überprüfen. Diese Lösung eliminiert manuelle Arbeitsschritte vollständig, neue und deaktivierte Konten werden ohne manuellen Eingriff erkannt.

Die folgenden Beispiele für Compliance-Checks wurden implementiert:

  • Keine Ressourcen außerhalb einer bestimmten AWS-Region
  • Es werden nur verschlüsselte Datenträger verwendet und deployed.
  • Es werden nur verschlüsselte RDS-Datenbanken verwendet und bereitgestellt.
  • Es werden keine exponierten RDS-Datenbanken bereitgestellt.
  • Es werden keine Sicherheitsgruppen mit exponierten Verwaltungsports für das öffentliche Internet eingerichtet.
  • Es werden keine S3-Buckets ohne erzwungene Verschlüsselung eingesetzt.
  • Keine aktiven Peering- oder VPN-Verbindungen zu Konten, die nicht Teil des Unternehmens sind (alle sollten lose über öffentliche Endpunkte gekoppelt sein).
  • Keine IAM-Benutzer außerhalb des zentralen IAM AWS-Kontos
  • Keine alten Zugriffsschlüssel
  • Keine inaktiven Benutzer
  • Keine Load Balancer mit unverschlüsselten Endpunkten (z.B. HTTP)

Diese Überprüfungen werden stündlich durch die Lambda-Schrittfunktion durchgeführt und verschlüsselt an einen zentralen S3-Bucket in einem separaten AWS-Konto gestreamt, um sie dann an eines der On-Prem Warehouses der Kunden weiterzugeben. In diesem Prozess sind keine manuellen Schritte erforderlich. Zusätzlich wurden alle im Bucket gespeicherten Dateien über eine Lambda-Funktion an AWS ElasticSearch zur Analyse und zum Einsatz im täglichen Betrieb des Cloud Ops Teams (Teil des lokalen Cloud Competence Center – CCC) gestreamt. Das Dashboard wird täglich verwendet, um die Einhaltung der Vorschriften zu melden und zu überprüfen, ob alle Projekte alle Kundenanforderungen in Bezug auf Compliance und Sicherheit erfüllen. Das Dashboard enthält alle genannten Compliance-Ergebnisse. CloudTrail-Logdateien werden über eine Lambda-Funktion auch an den ElasticSearch-Cluster gestreamt. Dies hilft dem Cloud Operations Team, Probleme zwischen Compliance-Verstößen und dem API-Log (CloudTrail) zu überprüfen.

AWS ALS TEIL DER LÖSUNG

Die Lösung, die alle Anforderungen des Kunden erfüllt, basiert vollständig auf AWS-Diensten und wurde ohne IaaS-Komponenten implementiert. Die von uns häufig eingesetzten AWS Config-Regeln passten für diesen Kunden nicht gut, da sie nur eine sehr dezentrale Sicht auf eine sehr große Unternehmensumgebung bieten (AWS Config Rules pro Account ohne zentrales Dashboard oder Alarmierung). Eine eigens entwickelte Lösung, die auf mehreren AWS Lambda-Funktionen und ElasticSearch basiert, brachte uns die Lösung und das Ergebnis, das vom Kunden gewünscht wurde, zu einem sehr niedrigen Preis. Die Lösung brachte maximale Transparenz in die riesige Unternehmensumgebung.

ERZIELTE ERFOLGE DES PROJEKTS

Alle vom Kunden dokumentierten Compliance-Prüfungen wurden implementiert und werden kontinuierlich überwacht. Dabei wurde ein wöchentliches Reporting hinzugefügt. Ohne Benutzerinteraktion werden alle Prüfungen an ein zentrales Dashboard (AWS ElasticSearch) gestreamt, um tägliche Compliance-Kontrollen durchzuführen. Alle Teile der Lösung werden vollständig von AWS (Lambda, S3, ElasticSearch) verwaltet und voll automatisiert. Neue Konten für neue Anwendungen werden ohne manuelle Interaktion automatisch der Compliance-Logik hinzugefügt. Wichtige Einblicke zu den Anwendungsumgebungen, welche von kleineren DevOps Teams verwaltet werden, werden von Anfang an bereitgestellt, ohne dabei zusätzliche Overhead-Barrieren für die Projektteams zu erzeugen.

Oder direkt von unseren Cloud-Experten:

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.