AWS Multi-Account Architektur für eine sicherheitskritische Applikation in der Energiebranche

• BRANCHE: ENERGIESEKTOR
• Team:

  • 3 AWS-Architekten

  • 3 IaC Cloud Engineers

  • 1 Kubernetes Engineer, Schwerpunkt OpenShift/Jenkins

• Projektlaufzeit: +12 Monate

• Aufbau einer AWS-Platform für den Energiemarkt

• Großes Public-Cloud Projekt in der Energiebranche (+100 Projektmitarbeiter)

• Hohe Sicherheitsanforderungen durch den stark regulierten Energiemarkt, z.B. Vorbereitung für eine C5 Audit-Fähigkeit

• Einhaltung der besonderen Sicherheitsbestimmungen des Kunden (Prüfung durch diverserer Audits)

• Erstellung von Konzepten für Sicherheit, Backup, Skalierung

• Architektur war vorher nicht Skalierbare, durch Aufteilung in separate Zonen mehr Modularität

• Keine CI/CD Pipeline für IaC und den Aufbau der AWS-Infrastruktur

• Anforderung komplette Lösung möglichst Cloud-Native zu entwickeln

• Greenfield Projekt

• Elastizität in der Infrastruktur nur ungenügend vorhanden

• Konzept für die Umsetzung erstellen (bspw. Absicherung von Datenabfluss)

• Kompletter Aufbau der Netzwerkstruktur

• AWS Multi-Account-Strategie zur Trennung kritischer Infrastrukturelemente

• Separation of Concerns (Definition und Ausführung von Teilprojekten durch verschiedene Firmen/Teams)

• Aufbau einer modularen Architektur, um die Sicherheit zu erhöhen und gleichzeitig eine skalierbare Architektur zu erreichen

• Absicherung von systemrelevanten Komponenten durch doppelte Ausführung (Bspw. Sicherung von Netzwerktraffic durch NACLs & SecurityGroups)

• Einsatz und Implementierung von Cloud-Native Konzepten

• Großer Einsatz von Serverless-Komponenten für die Elastizität

• Automatisierung sämtlicher Release- & Deployment Prozesse durch CI/CD

• Vollautomatisierte Provisionierung der kompletten Cloud Infrastruktur mittels Terraform/Terragrunt, um im Desaster Recovery Fall innerhalb von 4 Std. die Plattform wiederherzustellen.

• Replizieren von kompletten Infrastrukturen für mehrere Organisationen durch Terraform/Terragrunt

• Einführung einer “No Shell on Prod” Kultur, sodass die Produktion nur automatisiert verwaltet werden können

• Umsetzen von sicherheitsrelevanten Features für das c5 Audit

• Einführung DevOps Prozessen und Methoden in allen Projekt-Teams

• Stabilität und Qualität im Rollout der Infrastruktur durch Pipelines für IaC

• Höhere Flexibilität durch modularer Aufbau der Cloud Architektur

• Skalierungsfähigkeit durch AKS (Kubernetes-Services auf Azure) und Auto-Scaling in der Cloud

• Robustheit durch Verwendung von Infrastructure as Code (Terraform)

• Datenintegrität und Synchronisierung durch Einsatz von modernen Services wie CDC Mechanismen und Apache Airflow

• Schnelleres Release Zyklen durch den Einsatz von CI/CD und Azure DevOps Pipelines

• Modernes Secret Management durch Nutzung von Key Vaults und Infrastruture as Code

Spezielle Anforderungen des Kunden

• Sehr hoher Anspruch an Sicherheit der aufgebauten Infrastruktur

• Regulierte Branche

• Sehr großes Team

Robuste und modulare Cloud Infrastruktur

Aufgrund der Kritikalität und die nicht vorhanden Berechtigungen durch Einzelpersonen in den Produktivstages, musste der gesamte Aufbau der Cloud-Infrastruktur inkl. der Konfiguration komplett automatisiert werden. Auch um im Desaster Recovery Fall innerhalb sehr kurzer Zeit die gesamte Plattform wiederherzustellen zu können. Dies wurde unter anderem mit Terraform/Terragrunt erreicht.

Ein Verändern der Infrastruktur ist damit nur über einen geregelten Prozess und einem auditierten Prozess durch die CI/CD-Pipeline möglich und lässt Veränderungen in der Infrastruktur transparent werden.

Anpassung und Aufbau der Pipelines

Durch den Aufbau verschiedener Release und Deployment Pipelines konnte die durchschnittliche Zeit neue Features zu liefern deutlich reduziert werden. Bei der Entwicklung der Pipelines wurde immer darauf geachtet, dass diese die besonderen Sicherheitsanforderungen abdecken. Die Pipelines dienen dazu, die Fehleranfälligkeit zu reduzieren und die Rollout-Prozesse möglichst standardisiert zu gestalten und die Rollen und Rechte nicht spezifischen Personen geben zu müssen.

Sicherheitsrelevante Features in einer hochregulierten Branche

Durch die sehr hohen Sicherheitsanforderungen im Projekt, gegeben durch die stark regulierte Energiebranche haben die Cloud Architekten im Projekt sicherheitsrelevante Features eingebaut, um die C5 Audit-Fähigkeit zu gewährleisten. Im Projekt wurde darauf geachtet, systemrelevante Komponenten doppelt auszuführen, um im kritischen Fall eine produktiv laufende Umgebung sicherzustellen. Ein Beispiel dafür ist die Sicherung des Netzwerktraffic, dieser wird an mehreren Stellen geprüft und abgesichert.

Weitere Komponenten einer gut gestalteten Architektur ist ein AWS Multi Account-Architektur, Organisationseinheiten und eine gut geplante Account-Struktur. Durch die Verwendung eines solchen Aufbaus konnte im Projekt die Sicherheitsziele und Anforderungen an sämtliche Geschäftsprozesse gewährleistet werden. Im Fall eines Audits kann die Sicherheitskontrolle viel einfacher umgesetzt werden, da jegliche Komponente abtrennt. Potenzielle Risiken in der Applikation sind somit voneinander abgekapselt und isoliert. Im Projekt wurde auch darauf geachtet, verschiedenen Usern und Teams unterschiedliche Verantwortlichkeiten und Ressourcen freizugeben, so kann jedes Team individuell arbeiten für die jeweils relevanten Komponenten. Dabei wurde darauf geachtet, Geschäftsprozesse auf sicherheitsrelevante Komponenten aufzuteilen, um den Datenfluss gezielt zu steuern. Das hilft dabei, Daten isoliert und geschützt für die jeweilige Zielgruppe zu halten.

Projektstatus und Ergebnisse

Durch den Aufbau einer modularen AWS-Account Landschaft ist es dem Kunden gelungen eine sichere und dennoch skalierbaren bzw. erweiterbarer AWS-Plattform bereitzustellen. Durch den modularen Aufbau und die Skalierungsfähigkeit der Architektur sind sämtliche Komponenten auf die zukünftigen Anforderungen vorbereitet. Es wurde darauf geachtet, die komplette Systeminfrastruktur robust und wiederherstellungsfähig bereitzustellen. Gleichzeitig kann die Infrastruktur sehr schnell und flexibel auf Veränderungen an den Sicherheitsanforderungen angepasst werden (CI/CD und Infrastructure as Code).

Um die Sicherheit der Plattform nachhaltig zu gewährleisten wurde Awareness zum Thema Sicherheit in IaC bei allen beteiligten Cloud-Engineers geschaffen, dies sorgt für ein einhalten der Standards. Um kontinuierlich die Security Standards einzuhalten, wurde ein Monitoring Dashboard eingeführt, welches automatisiert Prozesse und Metriken des Systems einsammeln und stets kontrollieren.

Cloud Infrastruktur:

• AWS-Amazon-Web-Service

• Container Runtime: Docker

• Orchestrator: OpenShift, Ec2

Daten Services:

• Cassandra

• Postgres-SQL

CI/CD & IaC:

• Jenkins

• AWS-Codebuild

• ARGO-CD

• Terraform & Terragrunt

• Version Control: Bitbucket

Security Management:

• AWS-Security Hub

• Guard-Duty

• SAST, DAST

• Dependency Track

• SonarQube

Software Entwicklung:

• Java

• Python

• Shell