:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7f/fa/7ffa1340ab62def05e1f90e0e829e170/0115309401.jpeg "Unternehmensweit sind eine engere Zusammenarbeit und eine gemeinsame Sichtbarkeit für alle Dev-, Sec- und Ops-Teams vonnöten. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/4d/a84d6e9a2b83c4638bac6813943e87e0/0115489095.jpeg "Kontinuierliches Testing über den gesamten Software Development Lifecycle hinweh will Veracode mit den neuen Lösungen noch besser unterstützen. (© ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/78/0378db755cdc799a84e4d47a02c8b898/0115139555.jpeg "Der Chatbot samt ChatGPT-Integration. (Bild: Lang / Botpress)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/51/1b/511b16729b1ca7ba78518feb2dd8bbf5/0114533620.jpeg "Sqlectron erleichtert die Datenbankadministration in heterogenen Umgebungen. (Bild: ©gorodenkoff, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/56/88/5688ec566e2eaf918ab513c5e250d0d2/0114682045.jpeg "Allie AI kann neue Datenbestände automatisch dokumentieren und geeignete Data Stewards vorschlagen. (Bild: Alation)")
:quality(80)/p7i.vogel.de/wcms/d8/42/d842e974aba302d38084f99665d5d62b/0115384258.jpeg "API-Sicherheit ist heute Chefsache. CISOs müssen mit den Entwicklerteams den Grundstein für eine sichere IT-Infrastruktur legen und dafür eine Security Policy aufsetzen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a2/6d/a26d6b9b81ed85fae9f94b4893ab44d3/0115643756.jpeg "Der Cyber Resilience Act soll die Besonderheiten in der Entwicklung von Open-Source-Projekten berücksichtigen. (© Duncan Andison - adobe.stock.com)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/e6/a1/e6a1fdcb119277fc720bd9410701c4cf/0115261467.jpeg "Der Low- und No-Code-Trend verändert die Art und Weise, wie Unternehmen Apps für ihre Bedürfnisse erstellen. (Bild: <a href=https://pixabay.com/users/dinesh_pal-26281818/>Dinesh_pal</a>)")
:quality(80)/p7i.vogel.de/wcms/01/d0/01d02743d019010886e4fe0d47222d72/0115628204.jpeg "Der Autor Fabian Tröltzsch auf der w3.vision X DMEXCO 2023. (© koelnmesse)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Versicherungskonzern HDI setzt auf Cloud Native Automatisierte Security- und Compliance-Prozesse
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134771/65.png "20200122-PNG-confluent_logo-denim.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Durch die Implementierung von Sicherheits- und Compliance-Bewertungsprozessen in der Cloud hat HDI die Produktivität in der Entwicklung und die organisatorische Agilität erhöht. Die Teams können heute Innovationen schneller vorantreiben und die steigenden Anforderungen interner und externer Kunden erfüllen.
Als Versicherungsdienstleister muss HDI zahlreichen regulatorischen Datenschutzvorgaben und FSI-Vorschriften sowie den deutschen Aufsichtsanforderungen an die IT (VAIT) und an Versicherungsunternehmen (VAG) gerecht werden. Um gleichzeitig ein hohes Innovationstempo und kurze Experimentierzyklen zu erreichen, benötigte der Versicherer eine Cloud-native Datenplattform mit beschreibenden und präskriptiven Funktionen zur Datenanalyse.
Für eine schnelle Markteinführung müssen die internen Teams in der Lage sein, flexibel und schnell mit neuen Anwendungsfällen zu experimentieren. Gleichzeitig legt HDI großen Wert auf Datenschutz und IT-Sicherheit. Eine sichere und konforme Cloud-Umgebung ist somit eine wichtige Voraussetzung für Experimente und neue Anwendungsfälle auf der Datenplattform.
Um neue Dienste und Funktionen für die Sicherheit und Compliance in der Cloud zu entwickeln, entschied sich der Versicherungskonzern für die Best Practices von AWS sowie eine automatisierte Sicherheits- und Compliance-Überwachung der AWS-Ressourcen mithilfe von AWS- und Open-Source-Lösungen. Bei der Implementierung gibt es drei Verantwortungsbereiche: Das C3-Team (Cloud Competence Center) kümmert sich um die Bereitstellung neuer AWS-Konten, die Kontosicherheit und die Einrichtung der Compliance-Richtlinie. Das Network Operation Center (NoC) richtet die kontoübergreifende Netzwerkkonfiguration ein und verwaltet sie. Und die Produkt- und Plattformteams konfigurieren die AWS-Services so, dass sie alle Anforderungen effizient erfüllen.
Außerdem benötigte HDI ein Kontrollmodell, mit dem sich die Infrastruktur- und Anwendungskomponenten kontinuierlich überwachen lassen und das alle geltenden Richtlinien unterstützt. Damit können sich die Produktteams auf die Implementierung neuer Anwendungsfälle konzentrieren und gleichzeitig Best Practices für Sicherheit und Compliance übernehmen.
Definition der Sicherheits- und Konformitätsgrundlagen
Mit dem Whitepaper „AWS Well-Architected Framework Security Pillar“ erhielt HDI zunächst eine Implementierungsanleitung für die wesentlichen Bereiche von Sicherheit und Compliance in der Cloud: Identitäts- und Zugriffsmanagement, Infrastruktursicherheit, Datenschutz sowie die Erkennung und Reaktion auf Vorfälle.
Die kontinuierliche Überwachung der AWS-Infrastruktur und der Anwendungen sowie automatische Reaktionen auf Vorfälle helfen, bewährte Sicherheitsverfahren umzusetzen und das Innovationstempo zu steigern. Manuelle Überprüfungen zur Bewertung der Sicherheitslage sind nicht mehr erforderlich.
Die Security- und Compliance-Kontrollen von HDI entsprechen den Vorgaben der DSGVO sowie verschiedenen Standards und Programmen, darunter ISO 27001 und C5. Sie auf die Cloud zu übertragen, ist allerdings nicht immer trivial. Daher verwendet der Versicherer eine Reihe von weiteren Richtlinien. Basis sind die Amazon Web Services-Benchmarks gemäß CIS (Center of Internet Security).
Diese branchenweit anerkannten Best Practices und Cyber-Sicherheitsempfehlungen decken ein breites Spektrum von Technologien ab und sind weltweit im Einsatz. Sie beinhalten Kontrollen von AWS-Sicherheitsbereichen wie dem Identitäts- und Zugriffsmanagement, der Protokollierung sowie der Netzwerkkonfiguration. Darüber hinaus richtet sich HDI an die Empfehlungen von GDPR Compliance on AWS und die AWS Foundational Security Best Practices. Dadurch lassen sich die Kontrollen um Inventarisierung, Protokollierung, Datenschutz und Zugriffsmanagement erweitern.
Implementierung der Security- und Compliance-Kontrollen
Folgende AWS-Dienste und Funktionen unterstützen bei der Implementierung der Kontrollen:
- AWS CloudTrail zeigt den Verlauf der Ereignisse in einem AWS-Konto an. Dazu zählen auch Events von Befehlszeilen-Tools, AWS-SDKs, AWS-APIs oder der AWS Management Console. Der Ereignisverlauf lässt sich zur weiteren Analyse exportieren. Zudem können bestimmte Events abonniert und automatische Gegenmaßnahmen implementiert werden.
- AWS Config überwacht die AWS-Ressourcenkonfiguration. Es bewertet und behebt automatisch die auftretenden Vorfälle. Und bei der Einhaltung von Best Practices und Compliance-Standards unterstützen vorgefertigte Konformitätsvorlagen.
- Amazon GuardDuty bietet Funktionen zum Erkennen von Bedrohungen sowie zur kontinuierlichen Überwachung von Netzwerkaktivitäten, Datenzugriffsmustern und Kontoverhalten.
- Mit Funktionen in AWS Lambda und dem AWS SDK für Python (Boto3) lassen sich Sicherheitslücken automatisiert beheben – etwa die server-seitige Verschlüsselung für S3-Buckets aktivieren oder unverschlüsselte Amazon Elastic Block Store (Amazon EBS)-Volumes löschen. Ausgelöst wird die Lambda-Funktion durch die Amazon EventBridge, die Sicherheitsvorfälle nach den jeweiligen Gegenmaßnahmen filtert.
Zentrale Hub-Verwaltung
Einen Überblick über die verschiedenen AWS-Services und ihre Ergebnisse bietet der AWS Security Hub. Er verfügt über integrierte Sicherheitsstandards und erleichtert das Aktivieren von Kontrollen. Da er sich mit CloudTrail, AWS Config, GuardDuty und anderen AWS-Services integrieren lässt, ist die Entwicklung und Pflege von Integrationscode nicht erforderlich.
Der Security Hub akzeptiert auch Erkenntnisse aus Partnerprodukten von Drittanbietern und bietet APIs für die Integration benutzerdefinierter Lösungen. Das reduziert den Aufwand für die Konsolidierung von Audit-Informationen aus AWS-eigenen und Drittanbieter-Kanälen. Änderungen an Sicherheits- und Compliance-Standards sind ebenfalls einfacher umzusetzen.
Im Security Hub werden konsolidierte Sicherheitsergebnisse aus verschiedenen Quellen zentral gebündelt. Ist er in einer bestimmten Region aktiv, werden die CIS AWS Foundations Benchmarks und Foundational Security Best Practices aktiviert sowie AWS Config und Guard Duty integriert.
Die wichtigsten Komponenten der Lösung
Für die Risikoverwaltung bietet AWS eine Vielzahl von Diensten nach dem Three Lines Model. HDI wünschte sich für die Sicherheitskontrollen aber eine Community-Unterstützung, die über die CIS-Benchmarks sowie die Empfehlungen für Compliance und Best Practices von AWS hinausgeht. Die Wahl fiel auf Prowler, ein Open-Source-Tool für AWS-Sicherheitsbewertungen.
Prowler implementiert die CIS-Benchmark-Kontrollen und bietet mehr als 100 zusätzliche Prüfungen. Das macht sich vor allem bei der Erfüllung der DSGVO- und ISO 27001-Anforderungen bezahlt. Zudem liefert Prowler Bewertungen in verschiedenen Formaten und erleichtert damit die Archivierung der Berichte für künftige Audits. Da sich das Tool in den Security Hub integrieren lässt, benötigt HDI nur einen Dienst für die Konsolidierung aller Sicherheits- und Compliance-Vorfälle über verschiedene Kanäle hinweg.
Prowler verwendet das AWS Command Line Interface (AWS CLI) und ein Bash-Skript. Die Prowler-Prüfungen sind je nach Compliance-Standard oder AWS-Dienst in Gruppen unterteilt. Mit entsprechenden Befehlszeilen-Argumenten wird Prowler in einer bestimmten AWS-Region oder mehreren Regionen gleichzeitig ausgeführt.
Bei HDI erfolgt dies als AWS Fargate-Aufgabe für Amazon Elastic Container Service (Amazon ECS). Fargate ist eine server-lose Berechnungsmaschine, die Docker-kompatible Container ausführt. Die geplanten ECS-Fargate-Aufgaben erleichtern die regelmäßigen Bewertungen eines AWS-Kontos und den Export der Ergebnisse. Bei HDI wird Prowler alle sieben Tage in jedem Konto und jeder Region ausgeführt, in der das Tool bereitgestellt wird.
Automatisierte Bereitstellung
Aufgrund rechtlicher Anforderungen entschied sich HDI bei der AWS-Infrastruktur für IaC (Infrastructure as Code). Der Versicherer arbeitete zunächst mit statischen AWS CloudFormation-Vorlagen im YAML- oder JSON-Format, um die bereitgestellten Ressourcen zu definieren. Da die Vorlagen jedoch immer größer und komplexer wurden, benötigte das Unternehmen eine Lösung, um die Produktivität der Entwicklung zu erhöhen und die Infrastruktur einfacher zu definieren.
Die Wahl fiel auf das AWS Cloud Development Kit (AWS CDK) mit zwei wesentlichen Vorteilen: Zum einen liefert es gebrauchsfertige Bausteine, sogenannte Konstrukte, die vorkonfigurierte, nach bewährten Verfahren arbeitende AWS-Dienste enthalten. Zum anderen lassen sich AWS-Services anhand komplexer Programmiersprachen konfigurieren und die Ressourcen präzise definieren. Zudem ist IaC mithilfe des AWS CDK schneller implementiert und weniger fehleranfällig. Insgesamt ist HDI damit in der Lage, gesetzliche Anforderungen leichter zu erfüllen und gleichzeitig die Entwicklerproduktivität zu steigern.
Um auch in Zukunft neue Anwendungsfälle in der Cloud einführen zu können, will HDI die Lösung weiter verbessern. Geplant sind folgende Maßnahmen:
- neue Kontrollen auf Basis von Erfahrungen und verbesserten Branchenstandards;
- kontoübergreifende Sicherheits- und Compliance-Bewertung durch konsolidierte Ergebnisse in einem zentralen Sicherheitskonto;
- höhere Ausfallsicherheit durch automatisierte Benachrichtigungen bei Fehlern sowie Warteschlangen für erneute Versuche;
- „Well-Architected“-Überprüfung, um Verbesserungspotenziale zu identifizieren.
Fazit
HDI konnte sein Sicherheitsniveau mithilfe von AWS deutlich erhöhen und die Compliance-Anforderungen in der Cloud erfüllen. Es herrscht ein einheitliches Verständnis, wie entsprechende Kontrollen zu implementieren sind. Die Sicherheitsprüfungen in der Cloud werden kontinuierlich bewertet, manuelle Überprüfungen sind kaum erforderlich. Für die Produkt- und Plattform-Teams stehen sichere und konforme Umgebungen bereit – eine gute Basis, um auch künftige Anforderungen an die Sicherheit in der Cloud umsetzen zu können.
Dr. Malte Polley ist Cloud Solutions Architect of Modern Data Platform (MDP) bei HDI Deutschland. Uladzimir Palkhouski arbeitet als Senior Solutions Architect bei Amazon Web Services.
(ID:48319528)
:quality(80)/p7i.vogel.de/wcms/9e/fa/9efa0cc7438c341e53e44ab403510441/0111640567.jpeg "Der Open-Source-Scanner Trivy lässt sich unter anderem per CLI aufrufen und unterstützt nun auch die Kubernetes-Benchmarks des CIS. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/4b/5f/4b5f3bc0250747a0be176f75251b855b/0109875780.jpeg "Um die Komplexität dynamischer Cloud-Bereitstellung zu durchblicken, sollten Verantwortliche geeignete Hilfsmittel strategisch einsetzen. Das schlägt sich dann auch schnell in barer Münze nieder. (Bild: 2ragon - stock.adobe.com)")