1 Punkte von GN⁺ 2025-06-22 | Noch keine Kommentare. | Auf WhatsApp teilen
  • Das dänische Workforce-Management-Unternehmen Datapult erklärt, seine AWS-basierte Infrastruktur in eine europäische Cloud verlagert und dabei ISO 27001 beibehalten sowie die monatlichen Kosten von rund 2.000 US-Dollar drastisch gesenkt zu haben
  • Hintergrund der Migration waren Bedenken, dass europäische Kundendaten unter CLOUD Act und FISA der US-Regierungszuständigkeit ausgesetzt sein könnten, sowie die Belastung durch jährliche Rechnungen von 24.000 US-Dollar
  • Durch die Nutzung europäisch betriebener Infrastruktur wie Hetzner und OVHcloud habe man Kunden und Auditoren den Datenstandort klarer erklären können
  • Der Komfort von AWS Lambda, RDS und CloudWatch nahm zwar ab, doch mit Ansible, Prometheus, Grafana und Loki wurde Automatisierung und Monitoring selbst aufgebaut
  • Ansible-Playbooks wurden mit den Kontrollpunkten aus Anhang A von ISO 27001 verknüpft und als Audit-Trail-Material genutzt; die gesunkenen Cloud-Ausgaben flossen zurück ins Geschäft

Hintergrund für die Verringerung der AWS-Abhängigkeit

  • Datapult ist ein dänisches Workforce-Management-Unternehmen und dient für Mitarbeitereinsatzplanung, Gehaltsanpassungen für Überstundenvergütung und als Single Source of Truth für Anwesenheitsdaten
  • Der Dienst hat strengere Betriebsanforderungen als ein einfacher Webservice, und es gilt die Prämisse, dass Daten jederzeit abgerechnet, aggregiert und niemals verloren gehen dürfen
  • Die bestehende Infrastruktur begann auf AWS, und ein erheblicher Teil der rechtlichen Anforderungen war ebenfalls auf AWS-basierte Workflows zugeschnitten
  • Daher war die Migration nicht nur ein Wechsel des Cloud-Anbieters, sondern eine gemeinsame Neuausrichtung von rechtlichen Anforderungen und Betriebsweise

Wachsende Compliance- und Kostenlast auf AWS

  • Die erste Belastung war eine Compliance-Lücke
    • Man kam zu dem Schluss, dass US-Cloud-Anbieter unabhängig vom physischen Standort der Server nur schwer vollständig außerhalb der Zuständigkeit der US-Regierung agieren können
    • Unter CLOUD Act und FISA könnten europäische Kundendaten potenziell offengelegt werden, was die GDPR-Zusagen schwäche
  • Die zweite Belastung waren 2.000 US-Dollar pro Monat
    • Die jährlichen Rechnungen von 24.000 US-Dollar wurden im Verhältnis zum tatsächlichen Bedarf als zu hoch eingeschätzt
    • Es wurde geprüft, ob sich RDS durch eine verwaltete Postgres-Instanz und Automatisierungsskripte ersetzen lässt
    • Für dieselben Kosten, so die Einschätzung, lasse sich resiliente dedizierte Hardware in Europa bereitstellen

Welcher Komfort beim Verlassen von AWS aufgegeben wurde

  • Beim Verlassen von AWS nimmt der Komfort von Managed Services ab
    • tief integrierte Dienste wie Lambda
    • One-Click-Deployments von RDS
    • ein integriertes Ökosystem von Compliance-Tools, das ISO-27001-Audits reibungslos macht
  • Mit dem Verzicht auf den Komfort von Managed Services musste man selbst ein höheres Maß an Kontrolle und Verantwortung übernehmen
  • Solche Veränderungen können in vielen Teams Angst und Verzögerungen bei der Umsetzung auslösen

Effekte der Migration zu Hetzner und OVHcloud

  • Durch den Wechsel zu den europäischen Anbietern Hetzner und OVHcloud erzielte man Vorteile bei Datensouveränität, Kosteneffizienz und operativer Kontrolle
  • In Bezug auf Datensouveränität habe das Hosting auf europäisch betriebener Infrastruktur einen klaren Nachweis des Datenstandorts ermöglicht
    • Es ließ sich ohne Unklarheiten erklären, wo sich Kundendaten befinden
    • Dies sei eine wichtige Veränderung bei GDPR-Audits und der Rezertifizierung nach ISO 27001 gewesen
  • Bei den Kosten gingen die Cloud-Ausgaben um 90 % zurück
    • Teure Managed Services wurden durch automatisierte Self-Hosting-Lösungen ersetzt
    • Das Budget sei dadurch berechenbarer und transparenter geworden
  • Operativ betrachtet gingen zwar die vorgefertigten AWS-Tools verloren, doch die internen Fähigkeiten wurden laut Unternehmen gestärkt
    • Es wurde eine Ansible-basierte Infrastructure-as-Code-Konfiguration aufgebaut
    • Man habe stärkere Sicherheitskontrollen und bessere Auditierbarkeit als zuvor erreicht

Betriebsmodell mit Ansible und Open-Source-Monitoring

  • Ansible-Playbooks wurden nicht nur für Konfigurationsautomatisierung, sondern als Compliance-Engine eingesetzt
    • Jede Zeile der Serverkonfiguration kann direkt mit den Kontrollpunkten aus Anhang A von ISO 27001 verknüpft werden
    • Der Infrastruktur-Code wird damit selbst zu selbst dokumentierendem Audit-Trail-Material
  • Auch ohne CloudWatch lasse sich Monitoring auf Enterprise-Niveau aufbauen
    • Verwendet wird die Kombination aus Prometheus, Grafana und Loki
    • Damit habe man die Sichtbarkeit aus AWS nachgebildet und sei in einigen Aspekten sogar besser geworden
    • Das habe geholfen, die Reaktionsgeschwindigkeit bei Vorfällen zu verbessern
  • Da es keine vorgefertigten Sicherheitslösungen zum Anwenden per Klick gab, musste Sicherheit von Grund auf selbst entworfen werden
    • Eingesetzt wurde ein mit Ansible automatisierter Security-by-Design-Ansatz
    • Dadurch sei das ISMS, also das Informationssicherheits-Managementsystem, robuster und für Entwickler leichter umsetzbar geworden

Was dem Geschäft geblieben ist

  • Das Compliance-Risiko im Zusammenhang mit US-Überwachungsgesetzen sei gesunken
  • Europäisches Hosting werde als Vertriebsinstrument genutzt, um das Markenvertrauen zu stärken
  • 90 % der Cloud-Ausgaben seien wieder ins Geschäft zurückgeflossen

Noch keine Kommentare.

Noch keine Kommentare.