ZS bietet mithilfe der AWS-Sicherheitsservices immer aktive bewährte Sicherheitsmethoden

ZS Associates (ZS) wollte für einen vielfältigen globalen Kundenstamm mit komplexen, anspruchsvollen Sicherheitsanforderungen mehr Transparenz schaffen und die Verwaltung seiner Sicherheitslage vereinfachen. Viele der Kunden des Unternehmens müssen Compliance-Standards erfüllen, die je nach Land und Branche unterschiedlich sind. ZS hatte mithilfe von Amazon Web Services (AWS) Cloud-Lösungsarchitekturen entwickelt, die für einzelne Kunden einzigartig waren. Daher suchte das Unternehmen nach einer replizierbaren Sicherheitslösung, die einfach skaliert werden konnte und gut mit den Hunderten von AWS-Services zusammenarbeitet, die es bereits verwendete. Mithilfe von AWS hat ZS eine skalierbare, umfassende Sicherheitslandschaft aufgebaut, die manuelle Sicherheitsverfahren, die einen hohen Zeitaufwand mit sich gebracht haben, automatisiert und den Kunden die Einführung der Cloud-Architektur erleichtert.

Seit seiner Gründung im Jahr 1983 verwendet ZS Software zur Lösung von Kundenproblemen. Im Laufe der Jahre hat das Unternehmen innovative Angebote entwickelt, die Analytik, künstliche Intelligenz und Machine Learning nutzen und diese als Software-as-a-Service anbieten. ZS entwickelt Kundenlösungen häufig mithilfe seiner eigenen proprietären Plattform ZAIDYN, die auf AWS basiert und durch verschiedene verwaltete AWS-Services erweitert wird. Das Unternehmen verfügt über ein eigenes Cloud-Kompetenzzentrum (CCoE), eine Abteilung, die sich dem Aufbau, der Wartung und der Unterstützung bei der Gestaltung von mehr als 250 AWS-Konten widmet, die Teil der Lösungen von ZS für seine Kunden sind. Verschiedene AWS-Services arbeiten für jeden Kunden in einem von ZS so genannten „Spoke-AWS-Konto“ zusammen, das ZS durch die Zentralisierung von relevanten Protokollen, Metriken und Ereignissen überwachen kann.

Diese Protokolle, Metriken und Ereignisse generieren Terabyte an Rohinformationen, die ZS mithilfe von Amazon Simple Storage Service (Amazon S3), einem Objektspeicherdienst, der branchenführende Skalierbarkeit, Datenverfügbarkeit, Sicherheit und Leistung bietet, mindestens ein Jahr lang speichert. Das CCoE schuf eine Möglichkeit, diese Informationen zu filtern, indem es Hunderte von Gigabyte über zwischengeschaltete Komponenten an eine zentrale Beobachtbarkeitsplattform sendete. (Siehe Abbildung 1, Referenzarchitektur der AWS Observability Platform) „Man benötigt einen unternehmensspezifischen Due-Diligence-Prozess, bei dem verschiedene Datenebenen erstellt werden, sodass man sich die Protokolle ansehen kann, die einem den besten Einblick geben“, sagt Rujuswami Gandhi, Direktor für Cloud-Dienste bei ZS. 

Sicherheit ist ein wichtiger Teil dieses Informationsflusses. ZS hat eine robuste Sicherheitslandschaft aufgebaut, die auf dem Cybersicherheits-Framework des National Institute of Standards and Technology (NIST) basiert: Identifizierung, Schutz, Erkennung und Reaktion sowie Wiederherstellung. ZS fügte außerdem noch Governance hinzu, eine interne Initiative, die dem Unternehmen helfen soll, sich auf Sicherheitsüberprüfungen durch Dritte vorzubereiten. „Bei den vielen verschiedenen AWS-Services, die wir mit der einzigartigen Tenancy-Architektur für unsere Kunden nutzen, ist Sicherheit ein sehr wichtiges Element, da unsere Kunden hohe Erwartungen an die Informationssicherheit haben“, sagt Gandhi. „Unsere Kunden können darauf vertrauen, dass wir nicht nur AWS-Services auf ausgereifte Weise nutzen, sondern uns auch an branchenüblichen Frameworks orientieren.“  Einzelheiten zur Sicherheitslandschaft, die ZS aufgebaut hat, finden Sie in Abbildung 2, „ZS AWS Cloud Trust Landscape — Sicherheitsaspekt“.

So nutzt ZS beispielsweise im Rahmen seiner Detect-and-Respond-Säule acht Services von AWS, die durch zahlreiche Drittanbieterlösungen ergänzt werden. Mithilfe von AWS Security Hub, einem Cloud-Service zur Verwaltung der Sicherheitslage, der bewährte Sicherheitsüberprüfungen durchführt, Warnmeldungen aggregiert und automatische Problembehebungen unterstützt, erreicht ZS eine zentralisierte Sichtbarkeit nahezu in Echtzeit. Darüber hinaus hat ZS sein grundlegendes Compliance-Management mit Zuordnungsfunktionen für viele der Sicherheitsframeworks vereinfacht, die die Kunden von ZS benötigen, wie SOC 2, ISO/IEC 27001 und HITRUST. Die Nutzung von AWS Security Hub hat die globale Expansion von ZS erleichtert, da sich die Sicherheitsstandards weltweit unterscheiden – zum Beispiel die Datenschutz-Grundverordnung der EU und Chinas Governance-Framework, das als Multi-Layer Protection Scheme bekannt ist. „Mit AWS Security Hub wählen wir einfach aus den vorgefertigten Regelsätzen aus, und es wird automatisch bereitgestellt, um Einblicke in die Einhaltung der Vorschriften und Trends zu erhalten, während die Abhilfemaßnahmen voranschreiten“, sagt Gandhi. „Die Verwaltung von AWS Security Hub ist mit geringem Aufwand verbunden.“

Ein weiterer Service, den ZS verwendet, um Bedrohungen zu erkennen und darauf zu reagieren, ist Amazon Inspector, ein automatisierter Schwachstellenmanagement-Service, der AWS-Workloads kontinuierlich auf Software-Schwachstellen und unbeabsichtigte Netzwerkrisiken scannt. Um unmittelbare Bedrohungen abzuwehren, nutzt ZS Amazon GuardDuty, einen Service zur Bedrohungserkennung, der AWS-Konten und Workloads kontinuierlich auf bösartige Aktivitäten überwacht und detaillierte Sicherheitsergebnisse zur Sichtbarkeit und Behebung liefert. „Die Nutzung von Amazon GuardDuty hat uns großartige Einblicke verschafft, bei denen es sich um Sicherheitsvorfälle hätte handeln können, wenn unser Incident-Response-Team nicht schnell darauf aufmerksam gemacht worden wäre“, sagt Gandhi. Und um die Einhaltung der Vorschriften nachzuweisen, verwendet ZS AWS CloudTrail, das die Kontoaktivitäten in der gesamten AWS-Infrastruktur überwacht und aufzeichnet. Diese größere Sichtbarkeit vereinfacht die Auditverfahren.

Als Teil seiner Landschaft, die sich an der Schutzsäule des NIST-Frameworks orientiert, verwendet ZS AWS Identity and Access Management (AWS IAM), das eine fein abgestufte Zugriffskontrolle für alle AWS-Bereiche bietet. „Das ist etwas, das wir ohne AWS nur sehr komplex selbst hätten lösen können,“ sagt Beeling Chang, Cloud-Architekt bei ZS.

Die gesamte Workload des CCoE basiert auf Konzepten der AWS Landing Zone, einer Lösung, mit der Kunden auf der Grundlage von AWS-Best Practices schneller eine sichere AWS-Umgebung mit mehreren Konten einrichten können. AWS Landing Zone hilft, Zeit zu sparen, indem das Setup automatisiert wird, um sichere und skalierbare Workloads auszuführen. ZS schätzt, dass der automatische, ständig aktive Compliance-Modus der AWS-Lösungen jeden Monat etwa 1.000 Arbeitsstunden einspart, die für die manuelle Überprüfung der Einhaltung der bewährten Sicherheitsmethoden aufgewendet worden wären. Außerdem nimmt ZS mithilfe von Stackable Security und anderen Services von AWS das Onboarding neuer Kunden dreimal schneller vor.

Das CCoE-Team von ZS konzentriert sich weiterhin auf Sicherheit und strebt Verbesserungen im gesamten AWS-Well-Architected-Framework an, das Cloud-Architekten beim Aufbau einer sicheren, leistungsstarken, belastbaren und effizienten Infrastruktur für eine Vielzahl von Anwendungen und Workloads unterstützt.

Seit der Verlagerung des Schwerpunkts auf AWS-Lösungen hat ZS außerdem seine Agilität bei der Nutzung innovativer Analyse- und Machine-Learning-Funktionen verbessert und gleichzeitig qualifizierte Talente gewonnen und seine Mitarbeiter gestärkt. Mitarbeiter nutzen diese Spitzentechnologien, um mit Kunden zusammenzuarbeiten, um komplexe Probleme zu lösen. „Die Verwendung von AWS verschafft uns einen zentralen Überblick“, sagt Gandhi. „Es ist immer an und immer live. Es verändert unsere gesamte Denkweise.“