Das Projekt
Unsere Experten von kreuzwerker waren schon an der Konzeption und Implementierung der Deutschen Payment Infrastruktur in AWS beteiligt. Terraform und Infrastructure als Code sind hier ein fixer Ausgangspunkt. Um die Umgebung für die weitere Automatisierung und PCI/DSS-Rezertifizierung vorzubereiten, wurde die Erstellung von Hardened Amazon Machine Images (AMI) aus verifizierten Code-Check-Ins erforderlich.
Das Problem
Durch die Nutzung der Auto-Scaling- und Self-Healing-Infrastruktur von AWS für das Hosting von Anwendungen werden die Grundlagen für Golden AMI geschaffen. Die Zielcomputer müssen den Richtlinien des Center for Internet Security (CIS) entsprechen und die verifizierte Software für kurze Startup-Zeiten enthalten.
Die Lösung
Ein mehrstufiger Build-Prozess wurde mit AWS CodeCommit, CodeBuild und CodePipeline implementiert. Im Zuge der ersten Schritte wird geprüft, ob die Commits von einem zulässigen Autor signiert sind, erst dann wird der Build fortgesetzt. Durch den Einsatz des HashiCorps-Packers und des modernen Amazon Linux 2 werden die CIS-Regeln auf AMI angewendet, bevor die eigentliche Software eingebrannt und das Volume verschlüsselt wird. Als zusätzliches Management-Tool kommt AWS Inspector hinzu, um laufende Instanzen permanent auf Compliance überwachen zu können.
Unser Beitrag
kreuzwerker hat den Prozess gemeinsam mit der Deutschen Payment konzipiert und die Infrastruktur in Terraform beschrieben. Von uns stammen auch die Tools, um laufende Anwendungen vor Ort mit neuen AMI- und Housekeeping-Funktionen zu aktualisieren.
Vorteile
Durch die Einrichtung eines automatisierten Build-Prozesses profitiert die resultierende Umgebung immer von aktualisierten und von AWS verwalteten Sicherheitspatches und dem Wissen um Bedrohungen, während die Anwendungen mit dem AWS Inspector vollständig überwacht werden.
Fazit
Weil die benutzte Infrastruktur von Anfang an gestärkt und permanent auf Compliance mit dem vollen AWS-Feature-Set überwacht wird, kann die Deutsche Payment ihr Angebot weiter entwickeln und auf vollständig verwalteten AWS IaaS skalierbar und sicher betreiben.