Von AWS zu Hetzner migriert, 90 % Kosten gespart und ISO 27001 mit Ansible beibehalten
(medium.com/@accounts_73078)- Das dänische Workforce-Management-Unternehmen Datapult erklärt, seine AWS-basierte Infrastruktur in eine europäische Cloud verlagert und dabei ISO 27001 beibehalten sowie die monatlichen Kosten von rund 2.000 US-Dollar drastisch gesenkt zu haben
- Hintergrund der Migration waren Bedenken, dass europäische Kundendaten unter CLOUD Act und FISA der US-Regierungszuständigkeit ausgesetzt sein könnten, sowie die Belastung durch jährliche Rechnungen von 24.000 US-Dollar
- Durch die Nutzung europäisch betriebener Infrastruktur wie Hetzner und OVHcloud habe man Kunden und Auditoren den Datenstandort klarer erklären können
- Der Komfort von AWS Lambda, RDS und CloudWatch nahm zwar ab, doch mit Ansible, Prometheus, Grafana und Loki wurde Automatisierung und Monitoring selbst aufgebaut
- Ansible-Playbooks wurden mit den Kontrollpunkten aus Anhang A von ISO 27001 verknüpft und als Audit-Trail-Material genutzt; die gesunkenen Cloud-Ausgaben flossen zurück ins Geschäft
Hintergrund für die Verringerung der AWS-Abhängigkeit
- Datapult ist ein dänisches Workforce-Management-Unternehmen und dient für Mitarbeitereinsatzplanung, Gehaltsanpassungen für Überstundenvergütung und als Single Source of Truth für Anwesenheitsdaten
- Der Dienst hat strengere Betriebsanforderungen als ein einfacher Webservice, und es gilt die Prämisse, dass Daten jederzeit abgerechnet, aggregiert und niemals verloren gehen dürfen
- Die bestehende Infrastruktur begann auf AWS, und ein erheblicher Teil der rechtlichen Anforderungen war ebenfalls auf AWS-basierte Workflows zugeschnitten
- Daher war die Migration nicht nur ein Wechsel des Cloud-Anbieters, sondern eine gemeinsame Neuausrichtung von rechtlichen Anforderungen und Betriebsweise
Wachsende Compliance- und Kostenlast auf AWS
- Die erste Belastung war eine Compliance-Lücke
- Man kam zu dem Schluss, dass US-Cloud-Anbieter unabhängig vom physischen Standort der Server nur schwer vollständig außerhalb der Zuständigkeit der US-Regierung agieren können
- Unter CLOUD Act und FISA könnten europäische Kundendaten potenziell offengelegt werden, was die GDPR-Zusagen schwäche
- Die zweite Belastung waren 2.000 US-Dollar pro Monat
- Die jährlichen Rechnungen von 24.000 US-Dollar wurden im Verhältnis zum tatsächlichen Bedarf als zu hoch eingeschätzt
- Es wurde geprüft, ob sich RDS durch eine verwaltete Postgres-Instanz und Automatisierungsskripte ersetzen lässt
- Für dieselben Kosten, so die Einschätzung, lasse sich resiliente dedizierte Hardware in Europa bereitstellen
Welcher Komfort beim Verlassen von AWS aufgegeben wurde
- Beim Verlassen von AWS nimmt der Komfort von Managed Services ab
- tief integrierte Dienste wie Lambda
- One-Click-Deployments von RDS
- ein integriertes Ökosystem von Compliance-Tools, das ISO-27001-Audits reibungslos macht
- Mit dem Verzicht auf den Komfort von Managed Services musste man selbst ein höheres Maß an Kontrolle und Verantwortung übernehmen
- Solche Veränderungen können in vielen Teams Angst und Verzögerungen bei der Umsetzung auslösen
Effekte der Migration zu Hetzner und OVHcloud
- Durch den Wechsel zu den europäischen Anbietern Hetzner und OVHcloud erzielte man Vorteile bei Datensouveränität, Kosteneffizienz und operativer Kontrolle
- In Bezug auf Datensouveränität habe das Hosting auf europäisch betriebener Infrastruktur einen klaren Nachweis des Datenstandorts ermöglicht
- Es ließ sich ohne Unklarheiten erklären, wo sich Kundendaten befinden
- Dies sei eine wichtige Veränderung bei GDPR-Audits und der Rezertifizierung nach ISO 27001 gewesen
- Bei den Kosten gingen die Cloud-Ausgaben um 90 % zurück
- Teure Managed Services wurden durch automatisierte Self-Hosting-Lösungen ersetzt
- Das Budget sei dadurch berechenbarer und transparenter geworden
- Operativ betrachtet gingen zwar die vorgefertigten AWS-Tools verloren, doch die internen Fähigkeiten wurden laut Unternehmen gestärkt
- Es wurde eine Ansible-basierte Infrastructure-as-Code-Konfiguration aufgebaut
- Man habe stärkere Sicherheitskontrollen und bessere Auditierbarkeit als zuvor erreicht
Betriebsmodell mit Ansible und Open-Source-Monitoring
- Ansible-Playbooks wurden nicht nur für Konfigurationsautomatisierung, sondern als Compliance-Engine eingesetzt
- Jede Zeile der Serverkonfiguration kann direkt mit den Kontrollpunkten aus Anhang A von ISO 27001 verknüpft werden
- Der Infrastruktur-Code wird damit selbst zu selbst dokumentierendem Audit-Trail-Material
- Auch ohne CloudWatch lasse sich Monitoring auf Enterprise-Niveau aufbauen
- Verwendet wird die Kombination aus Prometheus, Grafana und Loki
- Damit habe man die Sichtbarkeit aus AWS nachgebildet und sei in einigen Aspekten sogar besser geworden
- Das habe geholfen, die Reaktionsgeschwindigkeit bei Vorfällen zu verbessern
- Da es keine vorgefertigten Sicherheitslösungen zum Anwenden per Klick gab, musste Sicherheit von Grund auf selbst entworfen werden
- Eingesetzt wurde ein mit Ansible automatisierter Security-by-Design-Ansatz
- Dadurch sei das ISMS, also das Informationssicherheits-Managementsystem, robuster und für Entwickler leichter umsetzbar geworden
Was dem Geschäft geblieben ist
- Das Compliance-Risiko im Zusammenhang mit US-Überwachungsgesetzen sei gesunken
- Europäisches Hosting werde als Vertriebsinstrument genutzt, um das Markenvertrauen zu stärken
- 90 % der Cloud-Ausgaben seien wieder ins Geschäft zurückgeflossen
Noch keine Kommentare.