Niederländischer Anbieter von Finanzrenten entschlüsselt hybride Cloud-Landschaft für zukünftige Sicherheit

MN Pensioen ist ein niederländischer Finanzdienstleister, der sich auf betriebliche und branchenweite Pensionsfonds und Investitionen spezialisiert hat. Das Unternehmen verwaltet ein Pensionsvermögen von über 175 Milliarden Euro und betreut zwei Millionen Menschen in der Metall-, Technologie- und Automobilbranche. Verantwortungsbewusstes Investieren ist das Kernstück von MN, das ein ökologisches, soziales und Governance (ESG) Geschäftsmodell verfolgt. Die treuhänderische Analyse, Verwaltung und Kommunikation machen einen großen Teil der Dienstleistungen von MN aus. Sie verwalten auch Einkommensversicherungen und arbeiten mit Forschungs- und Entwicklungsfonds und Sozialfonds in ihren jeweiligen Branchen zusammen. MN hat seinen Hauptsitz in Den Haag und verfügt über fünf Geschäftseinheiten.

Bereitstellung einer sicheren IT-Landschaft

Die MN-Dienste unterliegen strengen Richtlinien und Protokollen in Übereinstimmung mit der Gesetzgebung. Daher war ein gewisses Maß an Sicherheit bei der Entwicklung einer neuen IT-Architektur von größter Bedeutung. Kunden- und andere sensible Informationen mussten geschützt werden, während die IT-Abteilung schnell reagieren musste, ohne dass es zu Sicherheitsverletzungen oder Informationsverlusten kam. Angesichts dieser Zwänge wandte sich MN an Xebia, um eine geeignete Lösung zu finden. Xebia entschied sich für eine hybride Cloud-Architektur, so dass MN Pensioen seine private Cloud für Legacy-Infrastrukturen und geschäftskritische Anwendungen beibehalten konnte - vor allem für solche, die einer strengen Kontrolle unterliegen. Diese neue Umgebung entsprach auch dem Bedürfnis von MN Pensioen, bei der Bewältigung von Schwankungen und steigenden Anforderungen flexibel zu sein.

Einen Kurs festlegen

Die Anforderungen des Finanzmarktes ändern sich häufig und hängen von einer Reihe von Faktoren ab. Dazu gehört nicht zuletzt die Einhaltung der EU- und niederländischen Gesetzgebung. Da MN bei der Abwicklung seines sensiblen Tagesgeschäfts auf große Datenmengen angewiesen ist, musste es seine IT-Architektur modernisieren, um wettbewerbsfähig zu bleiben und modernste Sicherheitsmaßnahmen einzuführen. Das Unternehmen wandte sich aufgrund seiner Coaching-Fähigkeiten und seiner umfassenden Kenntnisse von Cloud-Architekturen an Xebia. Xebia begleitete MN durch den gesamten Prozess und nahm eine Bestandsaufnahme der Daten vor, die verlagert werden mussten und die bleiben konnten. Anschließend erstellte Xebia eine Roadmap für eine hybride Cloud-Architektur, die die gemeinsame Nutzung von Daten und Anwendungen ermöglicht, die von einer einzigen IT-Architektur verwaltet werden.

Wir haben ein neu eingerichtetes Cloud Competence Center geschaffen und vorübergehend mit Personal ausgestattet. Das Center pflegt die Landing Zone, gibt den Entwicklungsteams Hilfestellung, überwacht Alarme und überprüft regelmäßig die Kosten und gibt den Anwendungseigentümern Empfehlungen zur Kostensenkung. Wir haben ein Rahmenwerk für das Kostenmanagement erstellt, es an MN angepasst und Schulungen zum Cloud-Kostenmanagement für MN durchgeführt.

Die Lösung

Die meisten dieser Anforderungen wurden durch den Einsatz des Cloud Foundation Frameworks von Xebia erfüllt, einer Blaupause für eine AWS-Cloud-Infrastruktur-Landingzone, um die Lösung zu gestalten. Wir entwarfen und implementierten eine ausgereifte AWS Multi-Account-Struktur, die als hoch belastbare Basis dient und ein höheres Sicherheitsniveau sowie eine nahtlose Verwaltbarkeit auf der Grundlage des Well-Architected Framework ermöglicht. Wir haben mit AWS CloudFormation und AWS CodeCommit eine hochgradig automatisierte Umgebung aufgebaut, die das Risiko menschlicher Fehler minimiert, den Zeitaufwand für die Verwaltung der Plattform reduziert und mit AWS Elastic Disaster Recovery eine schnelle Disaster Recovery mit einem niedrigen Recovery Time Objective ermöglicht. Die Prinzipien der Cloud-Sicherheit wurden auf der Grundlage der bewährten AWS-Verfahren und des CIS-Frameworks entwickelt. Dies führte zu einer umfassenden Sicherheitsstruktur, die die nativen AWS Services zu ihrer Unterstützung nutzt. Um die Zugriffskontrolle zu optimieren, haben wir bestehende SAML-basierte Identitätsdienste integriert, so dass MN ihre bekannten Systeme für die Authentifizierung und den sicheren Zugriff auf AWS-Dienste nutzen konnte, was einen nahtlosen Übergang ermöglichte.

Die MN-Infrastruktur wird vollständig in einer einzigen AWS-Region gehostet, und unsere Ingenieure haben logische Kontrollen implementiert, so dass nur diese spezielle Region genutzt werden kann. Dadurch wird das Risiko ausgeschlossen, dass Daten die EU verlassen, und die General Data Privacy Regulation (GDPR) und andere Vorschriften werden eingehalten. Um sicherzustellen, dass ein vollständiger Prüfpfad für zukünftige Audits zur Verfügung steht, haben wir Dienste wie Amazon CloudTrail, VPC Flow Logs, AWS GuardDuty und AWS Config genutzt. Aufgrund der Erfahrungen mit AWS beschloss MN, aus dem Outsourcing-Vertrag auszusteigen und alle Windows-Anwendungen auf AWS zu migrieren. Da es sich dabei meist um zustandsabhängige Anwendungen handelt, haben wir eine Lösung auf 2 Ebenen entwickelt. Die erste nutzt EC2 Autorecovery, um ausfallende lokale EC2-Hosts automatisch neu zu starten. Wenn die Hardware ausfällt, wird die EC2-Instanz auf verfügbarer Hardware innerhalb der gleichen Availability Zone (AZ) neu gestartet. Durch den Neustart in derselben AZ sind die Auswirkungen minimal, da die Spezifikationen der Instanz gleich bleiben (wie z.B. die gleiche IP).

Zum Schutz vor dem Ausfall einer gesamten AZ implementierten wir AWS Backup für nicht kritische Daten und Anwendungen (RTO und RPO > 24 Stunden) und eine Kombination aus täglichen Backups und kontinuierlicher Replikation unter Verwendung von AWS Elastic Disaster Recovery für HA-Anwendungen.

Vorteile für MN im Hinblick auf die Geschäftskontinuität: Bessere SLAs für ihr Geschäft, insbesondere für kritische Anwendungen: Der RTO verbesserte sich von 8 auf 2 Stunden und der erforderliche RPO von 15 Minuten konnte zu wesentlich geringeren Kosten eingehalten werden. Außerdem sind DR-Tests viel einfacher - in der Vergangenheit mussten Failover und Failback zwischen Freitagabend und Montagmorgen stattfinden. Da ein Failback nicht mehr erforderlich ist, sind Sie bei der Planung und Durchführung eines Tests viel flexibler.

Wir haben dieses Projekt von Anfang an (Machbarkeits- und TCO-Analyse) bis zum Abschluss (Migration aller Anwendungen, Vergleich des Business Case mit den tatsächlichen Ergebnissen, Empfehlungen zum Kostenmanagement) begleitet.

Agile Cloud-Migration

Sobald der Ball ins Rollen kam, dauerte es nur drei Monate, bis MN mit der Cloud-Migration fertig war. Nach einer sorgfältigen Planung arbeitete MN eng mit den Experten von Xebia zusammen, um eine hochautomatisierte, hochsichere und dennoch innovative Cloud-Umgebung aufzubauen, die eine Gefährdung der Daten verhindert. Sie erreichten dies, indem sie regionale Kontrollen mit Servern vor Ort neben dem Cloud-System einrichteten - eine hybride Umgebung. Das System optimierte auch die Audits und die Kommunikation zwischen der Cloud und den lokalen Servern. In Übereinstimmung mit der GDPR würden die Daten die EU nicht verlassen. Parallel dazu arbeiteten die Berater von Xebia daran, das Team auf eine agile Denkweise einzustellen. Die agile Arbeitsweise bot MN letztlich eine größere Elastizität und sparte kostspielige Gebühren und Zeit.

Aufgrund der Erfahrungen mit AWS beschloss MN, aus dem Outsourcing-Vertrag auszusteigen und alle Windows-Anwendungen auf AWS zu migrieren. Es wurden neue Muster für Backup und DR entwickelt (die zuvor von dem Outsourcing-Unternehmen durchgeführt wurden). Wir unterstützten dieses Projekt von Anfang an (Machbarkeits- und TCO-Analyse) bis zum Abschluss (Migration aller in Frage kommenden Anwendungen, Vergleich des Business Case mit den tatsächlichen Ergebnissen, Empfehlungen zum Kostenmanagement).