Kundenlogos 7

Kundenstory

AWS Multi-Account Architektur für eine sicherheitskritische Applikation in der Energie Branche

Aufbau einer Plattform für den Energie Sektor, wegweisend in der Public-Cloud. Erstellen einer sicheren, stabilen und zukunftsorientierten AWS-Architektur.

Unternehmen

Atos SE

Leistungen

Aufbau Cloud Infrastruktur
Industrie

Wirtschaft
Kunde seit

2020
P

Stabilität und Qualität

Im rollout der Infrastruktur durch Pipelines für IaC.

P

Höhere Flexibilität

Durch modularer Aufbau der Cloud Architektur.

P

Skalierungsfähigkeit

Durch AKS (Kubernetes-Services auf Azure) und Auto-Scaling in der Cloud.

P

Daten Integrität und Synchronisierung

Durch Einsatz von modernen Services wie CDC Mechanismen und Apache Airflow.

P

Schnellere Release Zyklen

Durch den Einsatz von CICD und Azure DevOps pipelines.

P

Modernes Secret Management

Durch Nutzung von Key Vaults und Infrastruture as Code.

In A Nutshell:

  • BRANCHE: ENERGIESEKTOR
  • Team:
    • 3 AWS-Architekten

    • 3 IaC Cloud Engineers

    • 1 Kubernetes Engineer, Schwerpunkt OpenShift/Jenkins

  • Projektlaufzeit: +12 Monate

Herausforderungen:

  • Aufbau einer AWS-Platform für den Energiemarkt

  • Großes Public-Cloud Projekt in der Energiebanche (+100 Projektmitarbeiter)

  • Hohe Sicherheitsanforderungen durch den stark regulierten Energiemarkt z.B. Vorbereitung für eine C5 Audit-Fähigkeit

  • Einhaltung der besonderen Sicherheitsbestimmungen des Kunden (Prüfung durch diverserer Audits)

  • Erstellung von Konzepten für Sicherheit, Backup, Skalierung

  • Architektur war vorher nicht Skalierbare, durch Aufteilung in separate Zonen mehr Modularität

  • Keine CICD Pipeline für IaC und den Aufbau der AWS-Infrastruktur

  • Anforderung komplette Lösung möglichst Cloud-Native zu entwickeln

  • Greenfield Projekt

  • Elastizität in der Infrastruktur nur ungenügend vorhanden

  • Konzept für die Umsetzung erstellen (bspw. Absicherung von Datenabfluss)

  • Kompletter Aufbau der Netzwerkstruktur

Lösungen:

  • AWS Multi-Account-Strategie zur Trennung kritischer Infrastrukturelemente

  • Separation of Concerns (Definition und Ausführung von Teilprojekten durch verschiedene Firmen/Teams)

  • Aufbau einer Modularen Architektur um die Sicherheit zu erhöhen und gleichzeitig eine skalierbare Architektur zu erreichen

  • Absicherung von systemrelevanten komponenten durch doppelte Ausführung (Bspw. Sicherung von Netzwerktraffic durch NACLs & SecurityGroups)

  • Einsatz und Implementierung von Cloud-Native Konzepten

  • Großer Einsatz von Serverless-Komponenten für die Elastizität

  • Automatisierung sämtlicher Release- & Deployment Prozesse durch CICD

  • Vollautomatisierte Provisionierung der kompletten Cloud Infrastruktur mittels Terraform/Terragrunt, um im Desaster Recovery Fall innerhalb von 4 Std die Platform wiederherzustellen.

  • Replizieren von kompletten Infrastrukturen für mehrere Organisationen durch Terraform/Terragrunt

  • Einführung einer “No Shell on Prod” Kultur, sodass die Produktion nur automatisiert verwaltet werden können

  • Umsetzen von Sicherheitsrelevanten Features für das c5 Audit

  • Einführung DevOps Prozessen und Methoden in allen Projekt-Teams

Ergebnisse:

  • Stabilität und Qualität im rollout der Infrastruktur durch Pipelines für IaC

  • Höhere Flexibilität durch modularer Aufbau der Cloud Architektur

  • Skalierungsfähigkeit durch AKS (Kubernetes-Services auf Azure) und Auto-Scaling in der Cloud

  • Robustheit durch Verwendung von Infrastructure as Code (Terraform)

  • Daten Integrität und Synchronisierung durch Einsatz von modernen Services wie CDC Mechanismen und Apache Airflow

  • Schnelleres Release Zyklen durch den Einsatz von CICD und Azure DevOps pipelines

  • Modernes Secret Management durch Nutzung von Key Vaults und Infrastruture as Code

Projektgeschehen:

Spezielle Anforderungen des Kunden

  • Sehr hoher Anspruch an Sicherheit der aufgebauten Infrastruktur

  • Regulierte Branche

  • Sehr großes Team

Robuste und modulare Cloud Infrastruktur

Aufgrund der Kritikalität und die nicht vorhanden Berechtigungen durch Einzelpersonen in den Produktivstages, musste der gesamte Aufbau der Cloud-Infrastruktur inkl. der Konfiguration komplett automatisiert werden. Auch um im Desaster Recovery Fall innerhalb sehr kurzer zeit die gesamte Platform wiederherzustellen zu können. Dies wurde unter anderem mit Terraform/Terragrunt erreicht.

Ein verändern der Infrastruktur ist damit nur über einen geregelten Prozess und einem auditierten Prozess durch die CICD-Pipeline möglich und lässt Veränderungen in der Infrastruktur transparent werden.

Anpassung und Aufbau der Pipelines

Durch den Aufbau verschiedener Release und deployment pipelines konnte die durchschnittliche Zeit neue Features zu liefern deutlich reduziert werden. Bei der Entwicklung der Pipelines wurde immer drauf geachtet das diese die besonderen Sicherheitsanforderungen abdecken. Die Pipelines dienen dazu die Fehleranfälligkeit zu reduzieren und die Rollout-Prozesse möglichst standardisiert zu gestalten und die die Rollen und Rechte nicht spezifischen Personen geben zu müssen.

Sicherheitsrelevante Features in einer hochregulierten Branche

Durch die sehr hohen Sicherheitsanforderungen im Projekt, gegeben durch die stark regulierte Energiebranche haben die Cloud Architekten im Projekt sicherheitsrelevante Features eingebaut um die C5 Audit-Fähigkeit zu gewährleisten. Im Projekt wurde darauf geachtet systemrelevante Komponenten doppelt auszuführen um im kritischen Fall eine produktiv laufende Umgebung sicherzustellen. Ein Beispiel dafür ist die Sicherung des Netzwerktraffic, dieser wird an mehreren stellen geprüft und abgesichert.

Weitere Komponenten einer gut gestalteten Architektur ist ein AWS Multi Account-Architektur, Organisationseinheiten und eine gut geplante Account-Struktur. Durch die Verwendung eines solchen Aufbaus konnte im Projekt die Sicherheitsziele und Anforderungen an sämtliche Geschäftsprozesse gewährleistet werden. Im Fall eines Audits kann die Sicherheitskontrolle viel einfacher umgesetzt werden, da jegliche Komponente abtrennt. Potenzielle Risikien in der Applikation sind somit voneinander abgekapselt und isoliert. Im Projekt wurde auch darauf geachtet verschiedenen Usern und Teams unterschiedliche Verantwortlichkeiten und Ressourcen freizugeben, so kann jedes Team individuell arbeiten für die jeweils relevanten Komponenten. Dabei wurde darauf geachtet Geschäftsprozesse auf sicherheitsrelevante Komponenten aufzuteilen, um den Datenfluss gezielt zu steuern. Das hilft dabei Daten isoliert und geschützt für die jeweilige Zielgruppe zu halten.

Projektstatus und Ergebnisse

Durch den Aufbau einer Modularen AWS-Account Landschaft ist es dem Kunden gelungen eine sichere und dennoch skalierbaren bzw. erweiterbarer AWS-Platform bereitzustellen. Durch den modularen Aufbau und die Skalierungsfähigkeit der Architektur sind sämtliche Komponenten auf die zukünftigen Anforderungen vorbereitet. Es wurde dabei stehts drauf geachtet die komplette Systeminfrastruktur robust und wiederherstellungsfähig bereitzustellen. Gleichzeitig kann die Infrastruktur sehr schnell und flexibel auf Veränderungen an den Sicherheitsanforderungen angepasst werden (CICD und Infrastructure as Code).

Um die Sicherheit der Platform nachhaltig zu gewährleisten wurde Awareness zum Thema Sicherheit in IaC bei allen beteiligten Cloud-Engineers geschaffen, dies sorgt für ein einhalten der Standards. Um kontinuierlich die Security Standards einzuhalten wurde ein Monitoring Dashboard eingeführt welches automatisiert Prozesse und Metriken des Systems einsammeln und stets kontrollieren.

Technology Stack:

Cloud Infrastruktur:

  • AWS-Amazon-Web-Service

  • Container Runtime: Docker

  • Orchestrator: OpenShift, Ec2

Daten Services:

  • Cassandra

  • Postgres-SQL

CICD & IaC:

  • Jenkins

  • AWS-Codebuild

  • ARGO-CD

  • Terraform & Terragrunt

  • Version Control: Bitbucket

Security Management:

  • AWS-Security Hub

  • Guard-Duty

  • SAST, DAST

  • Dependency Track

  • SonarQube

Software Entwicklung:

  • Java

  • Python

  • Shell

Warum Pexon Consulting?

Pexon Consulting hat sich voll und ganz Ihrem Erfolg verschrieben und wir glauben daran, dass wir immer für jeden unserer Kunden die Extrameile gehen:

PexonConsulting 32 min

Hingabe zum Erfolg

Wir glauben, dass Erfolg dreifach ist: für unsere Kunden, ihre Kunden und die Gemeinschaften, die sie beeinflussen.
PexonConsulting 33 min

Fokus auf Leistung

Wir werden Ihr engagierter Partner. Das bedeutet, dass wir ein Projekt erst dann abschließen, wenn sowohl Sie als auch wir zu 100 % zufrieden sind.

PexonConsulting 31 min

Engineering mit Leidenschaft

Wir sind ein Netzwerk von Innovatoren. Wir entwickeln mutige Lösungen für die kompliziertesten Herausforderungen unserer Kunden.

Ihre Ansprechpartner

Schicken Sie uns eine Nachricht über das Kontaktformular unserer Kontaktseite und wir werden uns innerhalb weniger Arbeitstage mit Ihnen in Verbindung setzen. Alle übermittelten Informationen werden vertraulich behandelt.

bild-von-paul-niebler

Paul Niebler

GF - Management, HR                                                                          Group 8

bild-von-phillip-pham

Phillip Pham

GF - Delivery, Sales, Finance                                                                Group 8

bild-von-alexander-nenninger

Alex Nenninger

Head of  Sales                                                  Group 8

bild-von-florian-schmidl

Florian Schmidl

Enterprise Architect & Ansprechpartner Pre-Sales                                                      Group 8

bild-von-david-das-neves

David das Neves

Head of Azure                                                  Group 8

bild-von-marco-schwarz

Marco Schwarz

Head of Google Cloud                                                  Group 8

Sie suchen einen Partner für Ihr Projekt?

Wir geben unser Bestes, um Sie zufrieden zu stellen.