Cloud sicher betreiben

Cloud sicher betreiben

Jeder Hyperscaler stellt praktisch unbegrenzte Möglichkeiten der Nutzung von IT zur Verfügung. Sie als Nutzer tragen dabei die Verantwortung, diese Möglichkeiten sicher und kosteneffizient zu nutzen. Wie gut dies gelingt, hängt von der gewählten Architektur und dem Betriebskonzept ab. Genau hier setzen wir mit unseren Architektur- und vielfach zertifizierten Betriebslösungen an:
  • Zertifizierte Managed Cloud Services
  • Architektur-Reviews für AWS und Azure mit anschließender Betriebsübernahme
  • Aufbau von sicheren, isolierten Sandbox-Umgebungen
  • Cloud Plattform- , Infrastruktur- und Applikationsbetrieb
  • SaaSifizierung – Betrieb für ISV-Anbieter
Zertifizierte Managed Cloud Services
Langjährige Erfahrung im Bereich Application- und Systemmanagement zahlt sich aus.
Unsere Managed Services für Cloud sind vielfach zertifiziert. Als einer der wenigen Anbieter in diesem Segment lassen wir mit den Zertifizierungen ISO9001, ISO27001 und ISO27017 gleich dreifach unsere Sicherheit und Leistungsfähigkeit auditieren.
Cloud Architektur Review

Cloud Architektur Review

Aller Anfang in der Cloud ist leicht. Aber was ist, wenn es ernst wird und Anwendungen produktiv genutzt werden? Wie steht es um Workload, den Sie von Anderen übernommen haben? Wurde hier immer nach den Best Practices von AWS und Azure verfahren? Genau diese Fragen beantwortet unser Architektur Review.

CutOver: Service- & Architecture-Review
Im Anschluss an die Projektentwicklung oder die Migration einzelner Workloads – spätestens jedoch direkt vor finaler Freigabe und Go-Live – findet ein umfassendes Service- & Architecture Review statt, welches der Sicherstellung eines professionellen Betriebs der Applikation dient. Das Review umfasst folgende Bestandteile:

Das Service- und Architecture-Review richtet sich dabei an das Well-Architected-Review von AWS und Azure aus und wird um zentrale Aspekte der Service-Organisation ergänzt. So werden im Review – gemeinsam mit dem Auftraggeber – folgende Aspekte intensiv geprüft:

  • Security Review: Inwieweit wurden Best-Practices einer sicheren Cloud-Architektur berücksichtigt? Sind empfohlene Konfigurationen und Security-Services aktiviert? Wurde eine sichere Cloud-Architektur ausgewählt, so dass ein zuverlässiger Betrieb sichergestellt ist?
  • Cost & Capacity Review: Wurden die Grundprinzipien des Pay-per-Use in der Architektur berücksichtigt? Skalieren die Kosten entsprechend der tatsächlichen Nutzung? Wurden unnötige Kostenfaktoren vermieden bzw. können optimiert werden? Wurden übliche Kostenoptimierungen angewendet?
  • Operational Review: Wurde das Prinzip von IntelligentCloudOps angewendet? Erfolgt der Betrieb weitestgehend automatisiert? Werden Störungen proaktiv erkannt und automatisch gelöst? Wird eine kontinuierliche Verfügbarkeit gewährleistet?
  • Service Review: Sind die IT-Prozesse klar beschrieben und spezifiziert? Ist der Störungs- und Notfall-Prozess geprüft, getestet und abgenommen? Sind Meldewege und Request-Management-Prozesse bekannt? Wird die Einhaltung der Service-Level kontinuierlich überwacht?

Das Ergebnis des Service- & Architektur-Reviews stellt ein Review-Report dar, welcher ggf. vorhandene Findings priorisiert, kategorisiert und übersichtlich darstellt. Sind keine kritischen Findings vorhanden, erfolgt die Abnahme über Übernahme in den Betrieb (CutOver).

Methodisches Vorgehen

Wir orientieren uns bei unserem Vorgehen an einer Kombination aus unseren eigenen Erfahrungen in einer Vielzahl an unterschiedlichen Kunden-Situationen und dem Well Architected Framework des jeweiligen Cloud Anbieters. Das Review beleuchtet jeden Teil Ihrer bestehenden Architektur und testet diese systematisch auf Schwachstellen und Risiken. Im Anschluss werden Handlungsempfehlungen abgegeben, die zur Optimierung beitragen oder einen sicheren Betrieb erst ermöglichen.

Unser Framework besteht aus sechs Säulen
Im Rahmen des Frameworks suchen wir systematisch nach Sicherheitslücken, sowie architektonischen und betriebsrelevanten Herausforderungen und prüfen, ob die gewünschte Verfügbarkeit und Performance mit der gewählten Architektur erreichbar sind. Auch die Effizienz im Betrieb und natürlich nicht zuletzt die Optimierbarkeit Ihrer Kosten sind Teil unseres Reviews.

Für wen ist diese Leistung interessant?

Wir müssen nicht Ihr Cloud Bestandsdienstleister sein, eher im Gegenteil: Wir liefern Ihnen einen unabhängigen Blick auf Ihre Umgebung. Ob Sie unsere Handlungsempfehlungen selbst, mit Ihrem Bestandsdienstleister oder uns umsetzen, spielt für uns keine Rolle.

Kosten

Wir führen diesen Review zum vorher vereinbarten Festpreis durch, Ihr Risiko ist dabei absolut überschaubar, die Erkenntnisse im Review-Report sind jedoch richtungsweisend! Sprechen Sie uns an!

Sandboxing

Sandboxing ist eine einfache Methode, um Anwendungen in einem isolierten Bereich zu testen, ohne produktive Workload zu gefährden. Eine Sandbox ist außerdem ein zeitlich begrenzter Account in AWS oder Azure, womit die Entstehung von Schatten-IT effektiv verhindert werden kann. Darüber hinaus können Budget-Grenzen definiert werden, damit Kosten nicht unerwartet explodieren.

Highlights:

  • Sichere, isolierte Testumgebung
  • Unbegrenzte Möglichkeiten mit den innovativsten Lösungen am gesamten Markt
  • Zeitlich klar begrenzt - zur Verhinderung von Schatten-IT
  • Definierbare Regeln hinsichtlich Compliance & Security und klar definierte Budget-Grenzen

Als BTC Managed Service-Kunde liefern wir Ihnen eine neue, Ihren Vorgaben entsprechende Sandbox-Umgebung auf Knopfdruck und sorgen für die Einhaltung aller Compliance- und Kostenvorgaben.

Plattform-Betrieb

AWS und Azure Plattform-Betrieb

Wir bauen Ihnen auf Basis von gemanagten Landing Zones Ihre individuelle Umgebung in der Cloud auf. Sie entscheiden so über wesentliche Aspekte der Cloud-Nutzung wie

  • Erlaubte Regionen
  • Netzwerk-Architektur
  • Security-Regeln (z.B. Authentifizierung)
  • Compliance & Governance-Vorgaben
  • Redundanz und Hochverfügbarkeit

 

AWS und Azure Plattform-Betrieb

Wenn wir als Ihr Managed Service Provider den Betrieb übernehmen, ist dieser, mit Ihnen gemeinsam definierte Regelsatz die Basis unserer Arbeit und wir steuern für Sie Backup-, Patch- und Event-Management auf Plattform-Ebene.
Vorteile:

  • 100% compliant & automatisiert
  • Cloud-native Implementierung ohne unnötigen Overhead
  • Alle Azure und AWS-Services weiterhin im Zugriff
  • Steuerung über API- oder Self-Service Portal

Cloud-basierte Plattform für Infrastruktur- und Applikationskomponenten

Für die bereitgestellten Leistungen werden ausschließlich AWS- und Azure-basierte Services berücksichtigt. Eine Abbildung in einer Hybrid-Cloud-Umgebung ist jedoch ebenfalls möglich. Insgesamt stellt die Plattform folgende Fähigkeiten bereit:

  • (Fast) unbegrenzte Skalierbarkeit: Server/Instanztypen von 0,5 GB bis 48 TB Speicher für einfache und besondere umfangreiche Bereitstellung (bspw. für S/4 HANA-Instanzen)
  • Hybrid-Cloud: Die Infrastrukturservices können auf Anforderung auch in BTC-Rechenzentren bereitgestellt werden. Eine flexible Kombination und Kopplung der verschiedenen Cloud-Plattformen ist ebenfalls möglich (optional und auf Anforderung).
  • Flexibilität: Die Infrastruktur kann sich flexibel den aktuellen Bedürfnissen anpassen und mitwachsen. Bei angepasstem Bedarf kann – auch (teil-)automatisiert – unkompliziert eine Anpassung der Infrastruktur vorgenommen werden - ohne komplexe Bestell- und Bereitstellungsverfahren.
  • Wirtschaftlichkeit: flexibel und reserviert: Durch On-Demand-Nutzung nur dann für Ressourcen zahlen, wenn diese auch genutzt werden. Durch Reservierungen können Bereitstellungskosten darüber hinaus um bis zu 70 % reduziert werden.
  • Integrationsfähigkeit: Die bereitgestellten Systeme können auf Wunsch unmittelbar mit anderen Cloud-Services interagieren und bspw. über Data Analytics neue Mehrwerte generieren. Durch direkte Anbindung an die Standorte des Auftraggebers kann außerdem die Integration in die bestehende IT-System- und Anwendungslandschaft gewährleistet werden (optional und auf Anforderung).
  • Unterstützung des Intelligent CloudOps-Prinzips: Durch die stetige Automatisierung von Bereitstellungs-, Betriebs- und Serviceleistungen die Stabilität und Geschwindigkeit Ihrer IT grundlegend verbessern.
  • SAP-zertifizierte Server für S/4 und HANA-Services: Alle genutzten (virtuellen) Server wurden seitens SAP zertifiziert und offiziell freigegeben. Sowohl für S/4-Systeme, als auch HANA-Datenbanken.
  • Geprüft und sicher: Die Managed Services-Leistungen der BTC-Gruppe unterliegen vielfachten Prüfungen und Audits und wurden – ähnlich der Cloud-Plattformen selbst - ISO27001, ISO27017, ISO9001 und Trusted-Cloud zertifiziert. Erprobte sichere Cloud-Architekturen (Well-Architected) und software-basierte Security-Services sorgen dabei für die kontinuierliche Prüfung und Sicherung der Cloud-Umgebung und aller bereitgestellten Komponenten (optional und auf Anforderung).

Natives Cloud-Management für Managed LandingZones

Die Nutzung des Public-Cloud-Services von Amazon Web Serivces (AWS) oder Microsoft Azure eröffnet für Anwender, Unternehmen, Entwickler und Administratoren vielfältige Möglichkeiten einer stark gesteigerten Flexibilität und Geschwindigkeit. Geregelte Betriebsabläufe, die Einhaltung von Compliance-Regeln sowie die Umsetzung und Überprüfung umfassender Sicherheitsanforderungen rücken dabei häufig in den Hintergrund.
Verwaltete, sichere Cloud-Umgebungen für Infrastruktur und Applikation
Mit der nativen Managed LandingZone für Azure und AWS stellt BTC explizit für Public Services verwaltete Cloud-Umgebungen bereit, welche den Sicherheits- und Compliance-Anforderungen dauerhaft genügen und gleichzeitig die volle Flexibilität und Geschwindigkeit gewährleisten. Durch die intelligente und vollautomatisierte Nutzung von Cloud-nativen Services werden alle Aspekte im Bereich der Netzwerksicherheit, den Betriebsprozessen, der Datenverschlüsselung und Identitäts- und Zugriffsverwaltung für jede Aktivität in den bereitgestellten Cloud-Umgebungen sichergestellt.

Cloud-Native statt Cloud-Management-Software-Plattformen

Der Einsatz von nativen Cloud-Services reduziert den Overhead einer zusätzlichen Software-Plattform erheblich und stellt gleichzeitig sicher, dass auch die neusten Innovationen der jeweiligen Cloud-Plattform unverzüglich zur Verfügung stehen. Nutzer der bereitgestellten Cloud-Umgebungen können so immer auf die neuesten Services und Features zurückgreifen und von den neustens Entwicklungen und laufenden Preisanpassungen profitieren.

BTCs Managed LandingZone zur Steuerung und Absicherung der Cloud-Umgebungen

Sämtliche Cloud-Ressourcen werden innerhalb einer gesicherten Cloud-Umgebung laufend und vollständig automatisiert überwacht und proaktiv gesteuert. Das Plattform-Management erfolgt dabei über die Landing Zone (MLZ) von BTC. Diese stellt ein umfassendes Configuration-Management sicher, sorgt für die automatisierte Umsetzung von Patches und unterstützt das (agile) Change-Management durch CI/CD-Pipelines. Die Management-Umgebung unterliegt laufenden Aktualisierungen und Optimierungen, von denen alle Kunden gleichermaßen profitieren.

Automatisierte Sicherstellung von Compliance und Security

Unternehmensweite und Cloud-spezifische Security- und Compliance-Richtlinien werden durch die MLZ dauerhaft sichergestellt. Dabei werden Verstöße technisch verhindert und nicht nur über Richtlinien festgehalten. Die Verletzung von gemeinsam vereinbarten Cloud-Richtlinien ist so grundsätzlich nicht möglich. Nachträgliche erkannte Fehlerzustände oder anderweitige Systemveränderungen können darüber hinauslaufend erkannt und automatisiert reagiert werden. Soweit möglich (und sinnvoll) wird sofort eine Korrektur vorgenommen und der Administrator unmittelbar informiert.

Wir übernehmen mindestens den Betrieb Ihrer Cloud Plattform, optional auch die Betriebsverantwortung inkl. SLAs für Ihre Cloud-Infrastruktur bis hin zum vollständigen Betrieb Ihrer Applikation.

CIM / CAM

Cloud Infrastucture Management / Cloud Application Management

Im Rahmen unserer Managed Service-Tätigkeit liefern wir Ihnen ein weitgehend automatisiertes Cloud-Management hinsichtlich Backups, Patches sowie Monitoring & Desaster Recovery.

CIM/CAM – Cloud Infrastucture Management / Cloud Application Management

Mit CIM/CAM übernehmen wir wahlweise SLA-Verantwortung auf Infrastrukturebene beziehungsweise auf Applikationsebene in der Cloud:

  • Min. 99,9 % Verfügbarkeit je Infrastruktur pro Applikation
  • Bis zu 30 min Reaktionszeit für Prio 1
  • 24x7 Betrieb & Support
  • 100% pauschalisiert und dauerhaft gleichbleibend

Intelligent CloudOps ist die Grundlage unseres innovativen IT-Betriebs

Die gesamten Infrastruktur- und Basisbetriebsleistungen im Umfeld der Public Cloud von AWS und Azure unterliegen dem innovativen Betriebsmodell „Intelligent CloudOps“. Das Intelligent CloudOps ermöglicht die fast vollständig automatisierte Bereitstellung, den Betrieb, die Wartung (Updates, Patches) und das allgemeine Management von Infrastruktur und Applikationsbasis Komponenten auf Basis der Public Cloud.

Intelligent CloudOps von BTC
Durch Intelligent CloudOps von BTC wird ihre Applikation durch verschiedene, vollautomatisierte Mechanismen im Fehlerfall in der Regel vollständig wiederhergestellt. In den meisten Fällen werden bekannte Fehlermuster bereits vorher erkannt und Störungen proaktiv vermieden.
Sollte es dennoch zu unerwarteten Störungen kommen, steht das Cloud-Service-Team jederzeit zur Verfügung und wird unmittelbar automatisch informiert – bei Bedarf auch 24x7. Die zuverlässige IT-Infrastruktur der Public Cloud-Provider unterliegt darüber hinaus allen gängigen Standards für IT-Sicherheit, umfasst vielfache Redundanzen und gehört grundsätzlich zu den stabilsten Infrastrukturen der Welt.
Facetten der Service-Operation-Prozesse
Das Intelligent CloudOps umfasst dabei alle relevanten Service-Operation-Prozesse nach ITIL, kombiniert diese aber mit DevOps-Prinzipien und Leitlinien des Site-Reliability-Engineering (SRE). Dabei werden zentrale ITIL-Prozesse, wie das Incident-, Problem-, Change- und Patch-Management abgebildet und tief in bestehende Strukturen integriert. Die Umsetzung der Leistungserbringung erfolgt jedoch – im Sinne einer DevOps-gerechten Umsetzung – (fast) vollständig automatisiert.
Die Automatisierung umfasst so die Bereitstellung von Infrastruktur- und Applikationskomponenten, sowie die laufende Verwaltung, Überprüfung und Aktualisierung. So werden einzelne Störungen proaktiv erkannt und/oder unmittelbar gelöst. Das Intelligent CloudOps-Prinzip sorgt dafür, dass Incidents nicht oder nur einmal auftreten. Ursachen werden dabei entweder unmittelbar gelöst oder ein nachhaltiger Workaround implementiert. Das Patch-, Compliance-, Security und Backup-Management wiederum basiert auf klar definierten ‚Tags‘, welche im Configuration-Management erfasst und hinterlegt werden. Die Durchführung der jeweiligen Prozesse erfolgt dann – in der Regel automatisiert – anhand dort definiert Muster. Natürlich unter Berücksichtigung individueller Kundenanforderungen, aktueller Ereignisse oder sonstiger Maßnahmen und Vorgaben.

Die Prinzipien von Intelligent CloudOps sind grundsätzlich bereits für den Betrieb der jeweiligen Komponenten berücksichtigt. Weitergehende Umsetzungen – bspw. im Compliance-, Change oder Security-Management – können individuell berücksichtigt und Integrationen in bestehende Umgebungen bereitgestellt werden.

Die Übernahme von Betriebsverantwortung unter Anwendung des Intelligent CloudOps-Modells kann bei Bedarf (optional) explizit vom Auftraggeber angefordert werden.
BTC Utilities Cloud

Die BTC Utilities Cloud

Die BTC Utilities Cloud (im Folgenden BUC) ist eine Eigenentwicklung des Resellers für die Verwaltung und das Reporting von genutzten Cloud-Ressourcen und Services (bspw. Applikationen). Der Auftraggeber (im Folgenden AG) erhält für die Vertragsdauer ein nicht exklusives Nutzungsrecht. Die BUC wird laufend weiterentwickelt. Der AG hat als Nutzer die Möglichkeit weitere, individuelle Features beim Reseller anzufordern. Die neuen Features werden im Anschluss durch den Reseller implementiert und nach Aufwand berechnet.

In der BUC können administrativ relevante Daten von allen Hyperscalern zentral eingesehen werden. Dazu gehören Kosten bzw. Kostenverläufe, Security Vorfälle, Incidents, und alle angelegten Mandanten-Stamm-Ressourcen. Alle Informationen können rückblickend für 6-12 Monate betrachtet werden. Auch ein Forecast für den laufenden und die kommenden zwei Monate ist implementiert.

SaaSifizierung

SaaSifizierung – unser ISV Service

Unser Angebot für alle Software-Hersteller, die exzellente Software im Programm haben, aber diese nicht selbst für Ihre Kunden als SaaS-Leistung anbieten können oder wollen. BTC übernimmt alles angefangen vom CI/CD-Prozess über das Deployment für individuelle Kundenumgebungen bis hin zum 2nd Level Betrieb für alle Software-Produkte, die auf Azure oder AWS deployed werden können.

Mit der BTC als Partner können sich ISVs optimal auf die Entwicklung Ihrer Software und damit ihrem Kerngeschäft fokussieren. Durch die enge Zusammenarbeit mit den Cloud-Experten der BTC und das gemeinsame Ziel einer performanten SaaS-Lösung erfolgt in enger Zusammenarbeit die kontinuierliche Verbesserung der Software-Lösung.

Ein gemeinsames SaaS-Modell hat für ISVs folgende Vorteile:
  • Fokussierung auf die Software-Entwicklung
  • Sicherer und stabiler Betrieb dank hoher Automatisierung
  • Bereitstellung einer sicheren und skalierbaren Cloud-Umgebung durch die BTC
  • Zugriff auf AWS- und Azure-Experten
Thomas Soring