Fallbeispiel
Skalierbare IAM Lösung

DER AUFTRAG

Entwicklung einer zuverlässigen Identity-Management-Lösung zum Zugriff auf AWS-Cloud-Ressourcen. Aufbau einer Governance für alle Identity-Management-Aspekte.

ÜBER DAS UNTERNEHMEN 

Der Kunde ist ein international tätiger Versicherungskonzern, der fast 30.000 angestellte Mitarbeiter weltweit sowie über 10.000 hauptberufliche Vertreter beschäftigt. Durch Versicherungsbeiträge im zweistelligen Milliardenbereich zählt das Unternehmen zu den großen Erstversicherern in Deutschland und Europa.

12

Monate
Projektdauer

2

Mitarbeiter
kundenseitig

3

Mitarbeiter
direkt gruppe

130

verwaltete
AWS Accounts

60

DevOps gesteuerte
produktive Applikationen

200

aktive Nutzer auf
Dev-Staging-Umgebung

DIE HERAUSFORDERUNG

Der Kunde verfügt über eine Umgebung mit über 130 AWS-Konten und 60 produktiven Anwendungen. Hier wird eine zuverlässige zentrale IAM-Lösung benötigt wird, um die Compliance-Einhaltung aller Benutzerkonten zu berichten, und eine zuverlässige und konforme (gemäß den Sicherheitsrichtlinien des Kunden) Lösung für den Zugriff auf AWS-Ressourcen für alle Anwendungsentwickler zu ermöglichen. Die Lösung sollte mit der Größe der Plattform skalieren und in der Lage sein, neue Projekte innerhalb von Minuten anstatt Tagen oder Wochen zu integrieren. Die Plattform wurde entwickelt, um zu skalieren und künftig weitere Unternehmensanwendungen mit unterschiedlichen Betriebsmodellen aufzunehmen.

UNSER LÖSUNGSVORSCHLAG

Wir haben eine Mehrzweck- und Mehrprojekt-Kontenstruktur entwickelt, die Projekte auf AWS-Kontenebene voneinander trennt. Jedes Projekt erhielt zwei AWS-Accounts (Entwicklung sowie Integration und Produktion) für seine Workloads. Für die Authentifizierung gegen die AWS-Konten haben wir AWS IAM verwendet, um alle Kundenbedürfnisse in Bezug auf Compliance (MFA/IP-Beschränkung/Rotation von Schlüsseln/Service User Governance/…), Skalierbarkeit und Sicherheit zu erfüllen.

Dazu haben wir die Kontoeinrichtung wie folgt automatisiert:

  • Die vollautomatische Einrichtung von Workload-AWS Accounts beinhaltet den Einsatz mehrerer IAM-Rollen, die über AWS CloudFormation automatisch mit dem zentralen IAM-AWS Account verbunden sind, der das zentrale Benutzermanagement bietet
  • Installation von IAM-Gruppen in einem zentralen Identitätsmanagementkonto, das die Rollenübernahme in das neue Projektkonto ermöglicht.
  • Zentraler Cloud-Governance-Prozess, der das Projekt beim Onboarding an AWS unterstützt, einschließlich der Einrichtung von Benutzern mit Zugriff auf die Entwicklungs-/Internetumgebung des Projekts.
  • Der Anwender kann dann seine MFA selbstständig einstellen (selbstverwaltet).
  • Die Konfiguration aller Benutzer und Rollen wird ständig durch eine selbst entwickelte Compliance-Logik geprüft, die alle Konfigurationen anhand einer Richtlinie (CIS Benchmark + Customer Guidelines) überprüft.

Mit dieser Lösung konnten wir neue Benutzer sehr schnell und ohne Kompromisse in Bezug auf Geschwindigkeit, Agilität und Sicherheit einbinden. Benutzer können agil auf ihre Projektressourcen zugreifen, jedoch nach einer zentralen Logik, die im Falle einer Fehlkonfiguration oder eines Vorfalls benachrichtigt.

Zusätzlich haben wir mehrere Compliance-Checks gegen AWS IAM implementiert, die an eine zentrale ElasticSearch melden, um die weitere Bearbeitung durch ein zentrales Cloud Operations-Teams zu ermöglichen:

  • Alter der Zugangsschlüssel (>90 Tage)
  • Benutzeraktivität (>30 Tage)
  • MFA aktiviert (obwohl alle Rollen die Verwendung einer MFA erzwingen)
  • Komplexe Passwort-Richtlinien

Vorfälle/Ergebnisse werden an ein zentrales Cloud Operations Team (innerhalb eines Cloud Competence Centers) gemeldet, um die Vorfälle zu bearbeiten und an den entsprechenden Benutzer weiterzuleiten.

AWS ALS TEIL DER LÖSUNG

Die Lösung wurde zu großen Teilen auf mehreren AWS-Diensten aufgebaut.

  • AWS IAM eignet sich sehr gut für eine skalierbare IAM-Infrastruktur mit mehr als 130 AWS-Konten. Mehrere Limits für Richtliniengrößen, Gruppenlimits, Benutzerlimits wurden während der Projekt- und Hypercare-Phase erhöht, ohne dabei ein hartes Limit zu erreichen.
  • Mit AWS Lambda wird die IAM-Konformität konstant („Continuous Compliance“) und zu sehr niedrigen Kosten überprüft.
  • AWS ElasticSearch wird als einfach einzurichtendes Dashboard für eine Compliance-Übersicht verwendet, die dem Cloud Operations Team hilft.

ERZIELTE ERFOLGE DES PROJEKTS

Alle Anforderungen des Auftraggebers an das Identitätsmanagement konnten erfüllt werden. In Bezug auf Skalierbarkeit und Sicherheit übertrifft unsere Lösung sogar die aktuell implementierten Lösungen des Kunden. Eine sehr niedrige Fehlerrate der Kunden beim Zugriff auf ihre Ressourcen über AWS IAM wurde erreicht. Über die AWS ElasticSearch wurde eine sehr gute Transparenz des Compliance-Zustandes aller IAM-Ressourcen erreicht (Alter, Aktivitäten, …). Die Eingliederung neuer Projekte erfolgt in wenigen Minuten und ein Compliance-Bericht kann bei Bedarf ohne manuelle Tätigkeiten erstellt werden.

Nehmen Sie Kontakt mit unseren Experten auf!