Versicherungskonzern HDI setzt auf Cloud Native Automatisierte Security- und Compliance-Prozesse

Von Dr. Malte Polley und Uladzimir Palkhouski *

Durch die Implementierung von Sicherheits- und Compliance-Bewertungsprozessen in der Cloud hat HDI die Produktivität in der Entwicklung und die organisatorische Agilität erhöht. Die Teams können heute Innovationen schneller vorantreiben und die steigenden Anforderungen interner und externer Kunden erfüllen.

Anbieter zum Thema

Für Versicherer müssen Sicherheit und Compliance auch und gerade in der Cloud gewahrt bleiben gewahrt bleiben.
Für Versicherer müssen Sicherheit und Compliance auch und gerade in der Cloud gewahrt bleiben gewahrt bleiben.
(© leowolfert - stock.adobe.com)

Als Versicherungsdienstleister muss HDI zahlreichen regulatorischen Datenschutzvorgaben und FSI-Vorschriften sowie den deutschen Aufsichtsanforderungen an die IT (VAIT) und an Versicherungsunternehmen (VAG) gerecht werden. Um gleichzeitig ein hohes Innovationstempo und kurze Experimentierzyklen zu erreichen, benötigte der Versicherer eine Cloud-native Datenplattform mit beschreibenden und präskriptiven Funktionen zur Datenanalyse.

Für eine schnelle Markteinführung müssen die internen Teams in der Lage sein, flexibel und schnell mit neuen Anwendungsfällen zu experimentieren. Gleichzeitig legt HDI großen Wert auf Datenschutz und IT-Sicherheit. Eine sichere und konforme Cloud-Umgebung ist somit eine wichtige Voraussetzung für Experimente und neue Anwendungsfälle auf der Datenplattform.

Um neue Dienste und Funktionen für die Sicherheit und Compliance in der Cloud zu entwickeln, entschied sich der Versicherungskonzern für die Best Practices von AWS sowie eine automatisierte Sicherheits- und Compliance-Überwachung der AWS-Ressourcen mithilfe von AWS- und Open-Source-Lösungen. Bei der Implementierung gibt es drei Verantwortungsbereiche: Das C3-Team (Cloud Competence Center) kümmert sich um die Bereitstellung neuer AWS-Konten, die Kontosicherheit und die Einrichtung der Compliance-Richtlinie. Das Network Operation Center (NoC) richtet die kontoübergreifende Netzwerkkonfiguration ein und verwaltet sie. Und die Produkt- und Plattformteams konfigurieren die AWS-Services so, dass sie alle Anforderungen effizient erfüllen.

Außerdem benötigte HDI ein Kontrollmodell, mit dem sich die Infrastruktur- und Anwendungskomponenten kontinuierlich überwachen lassen und das alle geltenden Richtlinien unterstützt. Damit können sich die Produktteams auf die Implementierung neuer Anwendungsfälle konzentrieren und gleichzeitig Best Practices für Sicherheit und Compliance übernehmen.

Definition der Sicherheits- und Konformitätsgrundlagen

Mit dem Whitepaper „AWS Well-Architected Framework Security Pillar“ erhielt HDI zunächst eine Implementierungsanleitung für die wesentlichen Bereiche von Sicherheit und Compliance in der Cloud: Identitäts- und Zugriffsmanagement, Infrastruktursicherheit, Datenschutz sowie die Erkennung und Reaktion auf Vorfälle.

Die kontinuierliche Überwachung der AWS-Infrastruktur und der Anwendungen sowie automatische Reaktionen auf Vorfälle helfen, bewährte Sicherheitsverfahren umzusetzen und das Innovationstempo zu steigern. Manuelle Überprüfungen zur Bewertung der Sicherheitslage sind nicht mehr erforderlich.

Die Security- und Compliance-Kontrollen von HDI entsprechen den Vorgaben der DSGVO sowie verschiedenen Standards und Programmen, darunter ISO 27001 und C5. Sie auf die Cloud zu übertragen, ist allerdings nicht immer trivial. Daher verwendet der Versicherer eine Reihe von weiteren Richtlinien. Basis sind die Amazon Web Services-Benchmarks gemäß CIS (Center of Internet Security).

Diese branchenweit anerkannten Best Practices und Cyber-Sicherheitsempfehlungen decken ein breites Spektrum von Technologien ab und sind weltweit im Einsatz. Sie beinhalten Kontrollen von AWS-Sicherheitsbereichen wie dem Identitäts- und Zugriffsmanagement, der Protokollierung sowie der Netzwerkkonfiguration. Darüber hinaus richtet sich HDI an die Empfehlungen von GDPR Compliance on AWS und die AWS Foundational Security Best Practices. Dadurch lassen sich die Kontrollen um Inventarisierung, Protokollierung, Datenschutz und Zugriffsmanagement erweitern.

Implementierung der Security- und Compliance-Kontrollen

Folgende AWS-Dienste und Funktionen unterstützen bei der Implementierung der Kontrollen:

  • AWS CloudTrail zeigt den Verlauf der Ereignisse in einem AWS-Konto an. Dazu zählen auch Events von Befehlszeilen-Tools, AWS-SDKs, AWS-APIs oder der AWS Management Console. Der Ereignisverlauf lässt sich zur weiteren Analyse exportieren. Zudem können bestimmte Events abonniert und automatische Gegenmaßnahmen implementiert werden.
  • AWS Config überwacht die AWS-Ressourcenkonfiguration. Es bewertet und behebt automatisch die auftretenden Vorfälle. Und bei der Einhaltung von Best Practices und Compliance-Standards unterstützen vorgefertigte Konformitätsvorlagen.
  • Amazon GuardDuty bietet Funktionen zum Erkennen von Bedrohungen sowie zur kontinuierlichen Überwachung von Netzwerkaktivitäten, Datenzugriffsmustern und Kontoverhalten.
  • Mit Funktionen in AWS Lambda und dem AWS SDK für Python (Boto3) lassen sich Sicherheitslücken automatisiert beheben – etwa die server-seitige Verschlüsselung für S3-Buckets aktivieren oder unverschlüsselte Amazon Elastic Block Store (Amazon EBS)-Volumes löschen. Ausgelöst wird die Lambda-Funktion durch die Amazon EventBridge, die Sicherheitsvorfälle nach den jeweiligen Gegenmaßnahmen filtert.

Zentrale Hub-Verwaltung

Einen Überblick über die verschiedenen AWS-Services und ihre Ergebnisse bietet der AWS Security Hub. Er verfügt über integrierte Sicherheitsstandards und erleichtert das Aktivieren von Kontrollen. Da er sich mit CloudTrail, AWS Config, GuardDuty und anderen AWS-Services integrieren lässt, ist die Entwicklung und Pflege von Integrationscode nicht erforderlich.

Der Security Hub akzeptiert auch Erkenntnisse aus Partnerprodukten von Drittanbietern und bietet APIs für die Integration benutzerdefinierter Lösungen. Das reduziert den Aufwand für die Konsolidierung von Audit-Informationen aus AWS-eigenen und Drittanbieter-Kanälen. Änderungen an Sicherheits- und Compliance-Standards sind ebenfalls einfacher umzusetzen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Softwareentwicklung und DevOps

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Im Security Hub werden konsolidierte Sicherheitsergebnisse aus verschiedenen Quellen zentral gebündelt. Ist er in einer bestimmten Region aktiv, werden die CIS AWS Foundations Benchmarks und Foundational Security Best Practices aktiviert sowie AWS Config und Guard Duty integriert.

Die wichtigsten Komponenten der Lösung

Für die Risikoverwaltung bietet AWS eine Vielzahl von Diensten nach dem Three Lines Model. HDI wünschte sich für die Sicherheitskontrollen aber eine Community-Unterstützung, die über die CIS-Benchmarks sowie die Empfehlungen für Compliance und Best Practices von AWS hinausgeht. Die Wahl fiel auf Prowler, ein Open-Source-Tool für AWS-Sicherheitsbewertungen.

Prowler implementiert die CIS-Benchmark-Kontrollen und bietet mehr als 100 zusätzliche Prüfungen. Das macht sich vor allem bei der Erfüllung der DSGVO- und ISO 27001-Anforderungen bezahlt. Zudem liefert Prowler Bewertungen in verschiedenen Formaten und erleichtert damit die Archivierung der Berichte für künftige Audits. Da sich das Tool in den Security Hub integrieren lässt, benötigt HDI nur einen Dienst für die Konsolidierung aller Sicherheits- und Compliance-Vorfälle über verschiedene Kanäle hinweg.

Prowler verwendet das AWS Command Line Interface (AWS CLI) und ein Bash-Skript. Die Prowler-Prüfungen sind je nach Compliance-Standard oder AWS-Dienst in Gruppen unterteilt. Mit entsprechenden Befehlszeilen-Argumenten wird Prowler in einer bestimmten AWS-Region oder mehreren Regionen gleichzeitig ausgeführt.

Bei HDI erfolgt dies als AWS Fargate-Aufgabe für Amazon Elastic Container Service (Amazon ECS). Fargate ist eine server-lose Berechnungsmaschine, die Docker-kompatible Container ausführt. Die geplanten ECS-Fargate-Aufgaben erleichtern die regelmäßigen Bewertungen eines AWS-Kontos und den Export der Ergebnisse. Bei HDI wird Prowler alle sieben Tage in jedem Konto und jeder Region ausgeführt, in der das Tool bereitgestellt wird.

Automatisierte Bereitstellung

Aufgrund rechtlicher Anforderungen entschied sich HDI bei der AWS-Infrastruktur für IaC (Infrastructure as Code). Der Versicherer arbeitete zunächst mit statischen AWS CloudFormation-Vorlagen im YAML- oder JSON-Format, um die bereitgestellten Ressourcen zu definieren. Da die Vorlagen jedoch immer größer und komplexer wurden, benötigte das Unternehmen eine Lösung, um die Produktivität der Entwicklung zu erhöhen und die Infrastruktur einfacher zu definieren.

Die Wahl fiel auf das AWS Cloud Development Kit (AWS CDK) mit zwei wesentlichen Vorteilen: Zum einen liefert es gebrauchsfertige Bausteine, sogenannte Konstrukte, die vorkonfigurierte, nach bewährten Verfahren arbeitende AWS-Dienste enthalten. Zum anderen lassen sich AWS-Services anhand komplexer Programmiersprachen konfigurieren und die Ressourcen präzise definieren. Zudem ist IaC mithilfe des AWS CDK schneller implementiert und weniger fehleranfällig. Insgesamt ist HDI damit in der Lage, gesetzliche Anforderungen leichter zu erfüllen und gleichzeitig die Entwicklerproduktivität zu steigern.

Um auch in Zukunft neue Anwendungsfälle in der Cloud einführen zu können, will HDI die Lösung weiter verbessern. Geplant sind folgende Maßnahmen:

  • neue Kontrollen auf Basis von Erfahrungen und verbesserten Branchenstandards;
  • kontoübergreifende Sicherheits- und Compliance-Bewertung durch konsolidierte Ergebnisse in einem zentralen Sicherheitskonto;
  • höhere Ausfallsicherheit durch automatisierte Benachrichtigungen bei Fehlern sowie Warteschlangen für erneute Versuche;
  • Well-Architected“-Überprüfung, um Verbesserungspotenziale zu identifizieren.

Fazit

HDI konnte sein Sicherheitsniveau mithilfe von AWS deutlich erhöhen und die Compliance-Anforderungen in der Cloud erfüllen. Es herrscht ein einheitliches Verständnis, wie entsprechende Kontrollen zu implementieren sind. Die Sicherheitsprüfungen in der Cloud werden kontinuierlich bewertet, manuelle Überprüfungen sind kaum erforderlich. Für die Produkt- und Plattform-Teams stehen sichere und konforme Umgebungen bereit – eine gute Basis, um auch künftige Anforderungen an die Sicherheit in der Cloud umsetzen zu können.

Dr. Malte Polley ist Cloud Solutions Architect of Modern Data Platform (MDP) bei HDI Deutschland. Uladzimir Palkhouski arbeitet als Senior Solutions Architect bei Amazon Web Services.

(ID:48319528)