Skip to main content

Cloudanbindung Rechenzentrum

Ein Fallbeispiel zur Cloud

Axel.Hinz-IT-Cloud

Projektdetails

Klient

Automotive-Großbank

Kategorie

Finanzbranche

Projektdatum

2021

Einleitung

Ausgangssituation

Die Umstellung von einem lokalen- auf einen Cloud-basierten Proxy veranlasste einen Kunden aus der Finanzbranche, für die geplante Cloud-Anbindung seines Rechenzentrums ein neues Konzept zu erstellen.

Ziel

Die bestehende Netzwerksegmentierung des Rechenzentrums sollte in der Cloud aufrechterhalten bleiben. Neben den typischen Zielen einer erhöhten Flexibilität, besserer Skalierbarkeit und Effizienzsteigerung wollte der Kunde auch Datenschutz und Regulation umsetzen.

Aufgabe

Herausforderungen

Neben AWS, Azure und GCP existiert eine Vielzahl weiterer Clouds, die herstellerspezifisch mit unterschiedlichen Anbindungen operieren. Direct Peering, L2- oder L3-basierte Anbindungen und andere Optionen sollten nicht in unterschiedlichen Lösungen, sondern durch eine zentrale Instanz realisiert werden, die jeweils spezifische Anbindungen ermöglicht.

Die Herausforderung bestand darin, ein einheitliches Konzept zu entwickeln, das viele unterschiedliche Lösungen integriert. Dabei waren Unterschiede zwischen PaaS, IaaS und SaaS genauso zu berücksichtigen wie geeignete Verschlüsselungsverfahren. Die Anbindung solch unterschiedlicher Systeme wie Datenbanken, Web-Frontends und verschiedene Software offerierte einen bunten Strauß an Möglichkeiten. Wie werden Landesgesellschaften verknüpft? Wie nutzen Endanwender künftig eine Cloud-Einwahllösung? Die Frage, wie zentral oder dezentral eine Lösung sein soll, stand demnach im Fokus. Netzwerksegmentierung sowie regulatorische Unterschiede waren nicht zu unterschätzen. Zudem musste die Lösung angesichts der schnellen Entwicklungszyklen in der Cloud-Technologie agil und flexibel sein, um kontinuierlich mit den Veränderungen Schritt zu halten.

Lösung

Blockbasiertes Konzept

Grundsätzlich erlaubt ein blockbasiertes Konzept für Anbindungen unterschiedliche Technologien (z.B. jeweils Layer-2- oder Layer-3-basiert). Router, Firewalls und andere notwendige Komponenten werden je nach Lösung unterschiedlich kombiniert. Die Abbildung der Netzwerksegmentierung musste auch in diesem Fall technologisch individuell konstruiert werden. Die Anpassung des Sicherheitskonzeptes mußte die modernen Cloudtechnologien adressieren. Nicht weniger als 17 verschiedene Clouds waren in der ersten Phase zu berücksichtigen.

Implementierung

L2- und L3-Technologien

Mit üblichen L2- und L3-Technologien ließ sich der Großteil der Clouds anbinden. Einige wenige erforderten dedizierte Lösungen. Diese wurden über zwei unterschiedliche Wege im Anbindungsblock realisiert. Hocheffiziente Router und Firewalls, IDS/IPS-Lösungen und Application Layer Gateways (ALGs) wurden je nach Typ und Struktur für die Sicherheit eingesetzt. Verschlüsselung und NAT erhielten dabei eine zentrale Rolle, für die entsprechend dem Lösungscharakter der Anbindung dedizierte Instanzen zuständig waren. Die Datenflüsse sind in Clouds anders organisiert als „on premise“ und erhöhen dadurch die Komplexität — denn die effizienteste Möglichkeit (Daten in der jeweiligen Herstellercloud routen) konnte wegen der Notwendigkeit zur Anbindung von On-Premise-Systemen nicht immer vollständig realisiert werden.

Ergebnis

Projekterfolg

Flexibilität und Volatilität von Cloudlösungen negieren die Option eines normalen Projektabschlusses. Somit waren agile Methoden vonnöten, wenngleich sich diese mit dem Charakter von Infrastrukturprojekten nur schwer in Einklang bringen lassen. Der abschließende Erfolg ist demnach das Ergebnis einer Vielzahl verschiedenster Anbindungen.
  • Erhöhte Flexibilität
  • Bessere Skalierbarkeit
  • Effizienzsteigerung
  • Datenschutz und Regulation

Fazit & Empfehlung

Cloudstrategie!

Cloudanbindungen lassen sich innerhalb der Finanzbranche regulationskonform und sicher realisieren. Die Dokumentation ist herausfordernder als bei „on premise“-Strukturen. Zentrale Bedeutung erhält die Cloudstrategie, die Ziele klar benennt, dabei aber auch offen bleibt für künftige Veränderungen. Zudem müssen Anforderungen aus der Regulation beständig reflektiert und mit den Veränderungen der Cloud in Einklang gebracht werden. Die Governance fragt daher eine besonders sorgsame Dokumentation ab.
Nächstes Projekt

Netzwerk-segmentierung im Rechen-zentrum

In einer Zeit, in der Sicherheit und Compliance oberste Priorität haben, sah sich ein führendes Unternehmen der Finanzbranche vor der Herausforderung, seine Netzwerksegmentierung innerhalb des Rechenzentrums zu optimieren…

ansehen