Unser Kunde, eines der größten Unternehmen im deutschen und europäischen Energiemarkt, hatte ein Problem: Aufgrund seines Status als Branchenführer war seine Cloud-Infrastruktur groß und unhandlich geworden. Da Tausende von Menschen remote, vor Ort und in Büros auf der ganzen Welt arbeiteten und Tausende von Cloud-Ressourcen zu ihrer Unterstützung zur Verfügung standen, waren die virtuellen Maschinen, Mikrodienste, Datenbanken, serverlosen Anwendungen, Webanwendungen, Speicher und deren Wartung des Unternehmens zunehmend verschwenderisch Zeit, wodurch neue digitale Initiativen und daraus resultierende Effizienzsteigerungen und Rationalisierungen schwieriger zu erreichen sind und gleichzeitig die Kosten steigen.

Gleichzeitig erforderten die zunehmende Komplexität und die wachsenden Anforderungen des Energiesektors, dass die Organisation bei der Bereitstellung und Nutzung ihrer Technologielösungen effizienter und agiler werden musste. Diese Lücke zwischen steigenden Cloud-Computing-Anforderungen und stagnierenden Cloud-Computing-Fähigkeiten führte zu Netzwerkproblemen, Speichersicherheitsrisiken und Governance-Problemen. In dieser Fallstudie, der ersten von zwei in der Reihe, werden wir näher erläutern, wie wir die Automatisierung der Kostenoptimierung und die Behebung von Sicherheitslücken in der Cloud-Infrastruktur in großem Maßstab durch den umfassenden Einsatz von Low-Code- und No-Code-Tools, DevOps und Cloud-Native gelöst haben Speicherdienste in der Microsoft Azure Cloud.

Wichtigste Hindernisse und Herausforderungen

Eine der größten Herausforderungen im Zusammenhang mit großen Cloud-Infrastrukturen ist der Umgang mit großen Mengen an Cloud-Ressourcen in der IT-Umgebung und deren Compliance-, Governance- und Genehmigungsprozessen in großem Maßstab. Dies zeigt sich im Energiesektor, wo die Fähigkeit, vertrauliche Daten auf kostengünstige und konforme Weise sicher zu speichern, von entscheidender Bedeutung ist. Unser Kunde identifizierte Cloud-Sicherheit und Kostenoptimierung schon früh im Prozess als Hauptanliegen.

Da die Organisation sensible Daten verarbeitet und speichert, müssen bestimmte Arten von Maßnahmen zunächst von Vorgesetzten, Informationssicherheitsabteilungen und anderen Interessengruppen genehmigt werden, bevor sie tatsächlich in der Organisation umgesetzt werden. Zeitweise wussten nicht alle Mitarbeiter, ob eine bestimmte Maßnahme zur Schließung einer Sicherheitslücke oder zur Einführung einer Kostenoptimierungsmaßnahme möglich war und mit den Unternehmensrichtlinien übereinstimmte, was die Mitarbeiter dazu zwang, Kontakt zu Managern, Kollegen, Teams und Abteilungen sowie anderen Personen aufzunehmen, die sie für möglich hielten kann die Antwort durch E-Mails, Anrufe, die Organisation von Treffen und Sitzungen (viele Male mehr als einmal) erhalten, um die Herausforderungen und potenziellen Maßnahmen mit Managern, Architekten, IT-Sicherheitspersonal, Fallverantwortlichen und anderen Personen zu besprechen, die möglicherweise die Verantwortung tragen oder nicht Antwort, was manchmal zu der Antwort führt, dass eine Maßnahme ergriffen werden kann, konform ist und wie sie umgesetzt werden kann, aber oft auch, dass dies nicht möglich ist oder dass die Maßnahme nicht mit den Richtlinien der Organisation vereinbar ist, was zu Zeitverschwendung führt. Im Hinblick auf die Kostenoptimierung waren die Kosten in UAT- und Entwicklungsumgebungen zeitweise höher als erwartet, und die Mitarbeiter überprüften oft, ob bestimmte Arten teurer Speicherressourcentypen nicht einmal pro Woche manuell erstellt wurden, um die Kosten unter Kontrolle zu halten – ein langwieriger Prozess Dies könnte manchmal als „kontinuierlicher Kampf“ beschrieben werden, der durch das Fehlen eines zentralen Überblicks über entdeckte Probleme, Status und Fortschritte bei der Behebung noch deutlicher wurde.

Im Laufe mehrerer Jahre, während die Organisation wuchs und sich vergrößerte, arbeiteten mehrere Lösungsanbieter und Berater an Lösungen in den vier verschiedenen Umgebungen und fügten Ressourcen und Konfigurationen manchmal über automatisierte CI/CD-Pipelines, oft aber auch manuell hinzu. Obwohl Initiativen und Richtlinien eingeführt wurden, die vorschreiben, dass die gesamte Cloud-Infrastruktur über IaC-Vorlagen erstellt, private Links usw. verwendet werden sollte, waren die Prozesse und Routinen zur Durchsetzung, Überwachung und Behebung bestehender Ressourcen in großem Maßstab nicht vorhanden, was zu Potenzial führte Sicherheitslücken. Somit wurden zwei unterschiedliche Anwendungsfälle für das Projekt identifiziert: Sicherung und Härtung der Cloud-Infrastruktur und Kostenoptimierung.

Es war klar, dass der Mangel an Automatisierung und die Tatsache, dass immer mehr Cloud-Ressourcen hinzugefügt wurden, bereits zu einer erheblichen Zeitverschwendung im Unternehmen führten und mit der Zeit mit steigendem Zeitaufwand zu einem noch größeren Problem und Blockierer werden könnten das „grüne Licht“ und den Status Quo zu überwachen und im Laufe der Zeit neue und andere wertschöpfende digitale Initiativen zu blockieren, wenn nichts unternommen wird, um einen höheren Automatisierungsgrad in der Organisation zu erreichen. Je mehr manuelle Schritte erforderlich sind, desto höher ist außerdem die Wahrscheinlichkeit, dass etwas zwischen den Ritzen durchgeht, was wiederum zu neuen und weiteren Sicherheitslücken führen könnte. Es war klar, dass etwas getan werden musste, was dem Management und den leitenden IT-Managern des Kunden klar war.

Doch wie lässt sich die Cloud hinsichtlich Sicherheit und Kosten optimieren? Wie und auf welche Weise können Cloud-native und Open-Source-Technologien eingesetzt werden, um diese Art der Prozessautomatisierung erfolgreich umzusetzen? Wie kann ein Unternehmen die Sicherung der Cloud-Infrastruktur und benutzerdefinierter Lösungen, die über mehrere Jahre hinweg bereitgestellt werden, mit wenig oder gar keiner menschlichen Interaktion automatisieren und standardisieren? Der Kunde beschloss, einen unserer Axelsson Cloud Consulting-Experten in sein Projekt einzubeziehen.

Die Axelsson-Lösung

Der Schlüssel zu jedem erfolgreichen IT-Projekt besteht darin, die tatsächlichen Bedürfnisse der Organisation richtig abzubilden, zu verfeinern und zu verstehen, was wichtig ist, was tatsächlich Wert bringt und potenzielle Fallstricke zu verstehen. Andererseits kann eine sorgfältige und gründliche Anforderungserstellung und -verfeinerung viel dazu beitragen, den Grundstein für ein erfolgreiches Projekt zu legen. In diesem Fall haben wir auch verstanden, dass es wichtig ist, den Prozess selbst zu verstehen, um die richtigen und fundierten Technologieentscheidungen zur Automatisierung der Prozesse zu treffen und so das erwartete Ergebnis für den Kunden zu erzielen. Schon in einem frühen Stadium haben wir eine Reihe wichtiger Erfolgsfaktoren identifiziert, die unserer Ansicht nach entscheidend für den Erfolg des Projekts sein würden, nämlich Sicherheit, Kosten, Struktur und Automatisierung. Angesichts der sensiblen Informationen, die von einigen Ressourcen verarbeitet werden, war klar, dass wir ein hohes Maß an Sicherheit benötigen, öffentliche Endpunkte vermeiden und in der Praxis einen standardmäßigen Deny-Ansatz für die Sicherheit gewährleisten würden. Da das Unternehmen Tausende von VMs, Datenbanken und anderen Cloud-Ressourcen im Einsatz hatte, wurde uns auch schnell klar, dass die Lösung hoch skalierbar sein und gleichzeitig die Kosten unter Kontrolle halten musste. Der Umfang und die Menge der in der IT-Umgebung vorhandenen Ressourcen machten uns auch schnell klar, dass der ultimative Wert für den Kunden darin bestehen würde, wenn alle Schritte im Prozess standardmäßig automatisiert und ohne menschliches Eingreifen abgeschlossen werden könnten.

Nachdem wir eng mit dem Kunden zusammengearbeitet hatten, um bestehende und neue technische Anforderungen abzubilden und diese in technische Anforderungen umzuwandeln und zu verfeinern, haben wir die folgende destillierte Flussarchitektur entwickelt:

Es war auch klar, dass die verschiedenen Stakeholder, Vorgesetzte, die Informationssicherheitsabteilung im Falle einer Sicherheitslücke und der Fallverantwortliche, denen die Organisation die Befugnis gegeben hatte, bei Bedarf Änderungen durchzusetzen, in der Lage sein müssten, die Situation zu überprüfen und zu genehmigen. Ablehnungsmaßnahme so einfach wie möglich für die Nutzer zu gestalten und dass mehrere von ihnen eine Genehmigung durchführen müssten, damit eine Korrekturmaßnahme umgesetzt werden kann.

Um die Skalierbarkeit zu gewährleisten und gleichzeitig die Kosten beizubehalten, haben wir uns weitestgehend für eine serverlose Architektur entschieden und dabei Azure Logic Apps mit geringem Code verwendet. Um den größtmöglichen Grad an Automatisierung zu gewährleisten, wird der anfängliche Logik-App-Flow, der die Behebung auslöst, durch einen Azure SQL-Tabellentrigger für ein ereignisgesteuertes Ereignis oder einen Timer-Trigger ausgelöst, der es einem Manager beispielsweise ermöglicht, bei Bedarf einen Flow auszulösen, um Probleme zu identifizieren und zu beheben . Die Logik-App ruft dann Daten aus mehreren Quellen ab, transformiert und verarbeitet sie, einschließlich Log Analytics über Kusto (KQL)-Abfragen, interne HTTPS-REST-API-Aufrufe, Azure SQL-Datenbanken, Microsoft Entra ID (ehemals Azure Active Directory) usw., um detaillierte Informationen zu identifizieren und abzurufen Informationen zu Ressourcen mit Kosten- oder Sicherheitsproblemen, Bestimmen der Art des Problems, Kontextualisierung des Problems mit zusätzlichen Organisationsdaten und Abrufen des Ressourceneigentümerkindes für die richtige Arbeitselement-Benutzerzuweisung sowie Beibehalten der Probleme, ihres Typs und Status in einem Beherrschen Sie die Azure SQL Server-Datenbank und erstellen Sie schließlich Azure DevOps-Arbeitselemente, die der Person oder dem Team zugewiesen werden, die für das Sicherheits- oder Kostenproblem verantwortlich ist.

Genehmigungs- und Sanierungsprozesse automatisieren

Der Beauftragte kann sich dann dafür entscheiden, eine vordefinierte Korrekturmaßnahme zu ergreifen, die die Korrekturmaßnahme über parametrisierte IaC-Vorlagen automatisch auf die betroffenen Ressourcen anwendet, oder alternativ eine manuelle Maßnahme oder eine Ausnahme beantragen. Im Falle einer festgestellten Behebung einer Sicherheitslücke könnten mehrere Kombinationen von Genehmigern erforderlich sein, z. B. Manager, Fallverantwortlicher und Informationssicherheitsabteilung. Zur Orchestrierung des Genehmigungsablaufs nutzten wir erneut eine Logic App, die standardisierte Genehmigungs-E-Mails an die relevanten Genehmiger für die Korrekturmaßnahme auslöste. Bei der Genehmigung erfasst die Logik-App alle schriftlichen Kommentare des Genehmigers, z. B. welche Maßnahmen der Beauftragte wie je nach Problem ergreifen muss und ob manuelle Maßnahmen erforderlich sind, oder sucht je nach Art des identifizierten Problems nach einem vordefinierten Kommentar und schreibt Es wird als Kommentar an das DevOps-Arbeitselement zurückgegeben und dabei auch das Standardbenachrichtigungsverhalten in Azure DevOps verwendet, um das verantwortliche Team oder die verantwortliche Einzelperson zu benachrichtigen, da jede Arbeitselementaktualisierung standardmäßig eine E-Mail-Benachrichtigung an den Arbeitselementverantwortlichen in Azure DevOps auslöst. Im Falle einer vordefinierten/empfohlenen Abhilfemaßnahme ruft die Logik-App schließlich einen Azure DevOps-Pipeline-Lauf auf, bei dem eine parametrisierte Terraform-IaC-Vorlage die Korrekturmaßnahme anwendet, woraufhin die Logik-App das verknüpfte Arbeitselement mit dem Status „Geschlossen“ aktualisiert.

Beobachtbarkeit und Statusverfolgung

Für jede durchgeführte Aktion führt die Azure SQL-Masterdatenbank eine aktuelle Aufzeichnung der identifizierten Probleme, aktualisiert ihre ausstehenden Probleme und ihren Fortschritt. Für bestimmte Arten von Korrekturmaßnahmen, insbesondere Kostenoptimierungen in Entwicklungs-, Test- oder UAT-Umgebungen, könnten Maßnahmen ohne vorherige Genehmigung ergriffen werden, bei denen die Korrekturmaßnahme vom Beauftragten sofort ergriffen werden kann. Wenn eine Ausnahme erforderlich ist und genehmigt wird, bleibt die Ausnahme sechs Monate lang in der Masterdatenbank bestehen, wobei eine Suche in den ersten Logik-App-Ausführungen verhindert, dass Arbeitselemente für den ausgenommenen Problemtyp erneut erstellt werden die erstellten Arbeitselemente, die eine Aktion erfordern, relevant.

Benutzerfreundlichkeit

Für die Auswahl der oben genannten Korrekturmaßnahme oder manuellen Aktion oder Ausnahme haben wir eine einfache MVC-App erstellt, in der der Beauftragte die Aktionsvorlage auswählen, eine manuelle Korrekturmaßnahme oder Ausnahme mit einer Begründungsbeschreibung von mindestens 25 Wörtern anfordern kann, wodurch die Genehmigung der Logik-App ausgelöst wird Fluss, wenn er abgeschlossen und innerhalb des Arbeitselements verfügbar ist, durch Deep Linking und Übernahme der vorhandenen Azure DevOps-Autorisierung, wobei in der Praxis der Benutzer für die Anwendung vorab authentifiziert wird, um eine möglichst nahtlose Benutzererfahrung zu gewährleisten, wenn ein manueller Schritt vom Benutzer erforderlich ist.

Sicherheit

Wir verfolgten bei der Sicherheit einen kompromisslosen Ansatz und stellten sicher, dass alle erstellten Ressourcen in virtuelle Netzwerke und Subnetze integriert waren und private Links nutzten, die ebenfalls von der Organisation festgelegt wurden. Während der Implementierungsphase wurde jedoch klar, dass wir aufgrund der damals verwendeten Logic Apps-Stufe, der Verbrauchsschicht, möglicherweise auf einen Sicherheitsengpass stießen, da die Logic App Consumption-Stufe die Integration virtueller Netzwerke und Subnetze nicht unterstützt Dies bedeutet, dass jeder Benutzer im Mandanten standardmäßig Zugriff auf die Ressource haben kann, auch wenn er mit einer verwalteten Identität konfiguriert ist. Bei der Integration eines virtuellen Netzwerks können hingegen nur Prinzipale innerhalb desselben Netzwerks auf die Ressource zugreifen, was aus Sicherheitsgründen wünschenswerter ist . Angesichts der bereits großen Anzahl von Logic Apps-Ausführungen und der Tatsache, dass jede Ausführung ein paar Cent kostet, sahen wir auch Kostenauswirkungen, wenn wir in der bestehenden Stufe blieben. Diese Probleme waren in der Organisation nicht unbekannt, die Änderung hatte jedoch noch nicht stattgefunden. Um die Notwendigkeit einer Änderung hervorzuheben, haben wir eine Präsentation erstellt, in der wir die Kostenauswirkungen unter Berücksichtigung der aktuellen und zukünftigen geschätzten Anzahl an Ausführungen quantifizieren und außerdem die Sicherheitsvorteile der virtuellen Netzwerkintegration abdecken, die nur in der Standardstufe verfügbar ist. Die Änderung wurde eingeführt, wobei die Gesamtkosten für die Läufe sanken, während die Zugriffssicherheit durch Netzwerksegmentierung erhöht wurde.

Während des gesamten Projekts haben wir in enger Zusammenarbeit mit dem Kunden auch bei der Einführung neuer Arbeitsweisen geholfen, einschließlich standardisierter Namenskonventionen und deren Durchsetzung. Außerdem haben wir sichergestellt, dass die gesamte bereitgestellte Infrastruktur über IaC erstellt wird und Azure Private Links für den Zugriff auf Azure verwendet werden Ressourcen, die weiter dazu beitragen, einen Deny-by-Default-Ansatz in der Praxis einzuführen.

Abschließend haben wir die oben genannte Stammdatenbank um zusätzliche Daten erweitert, die dann zur Erstellung eines PowerBI-Berichts verwendet wurden, der auf das Management und andere Stakeholder zugeschnitten ist und einen vollständigen und visuellen Überblick über alle identifizierten, ausstehenden und geschlossenen Sicherheits- und Kostenprobleme in der Organisation ermöglicht .

Projektergebnisse

Die mühsame und manuelle Identifizierung von Kosten- und Sicherheitsproblemen wurde durch einen daten- und ereignisgesteuerten Ansatz ersetzt. Langsame Genehmigungs- und Validierungsverfahren wurden durch schnelle und optimierte Genehmigungsprozesse ersetzt, die je nach Art des Problems zur richtigen Zeit an den richtigen Genehmiger gesendet werden. Ein eingeschränkter oder fehlender allgemeiner Überblick über identifizierte Probleme und deren Status wurde durch einen vollständig visualisierten Bericht über ausstehende, laufende und geschlossene Probleme ersetzt. Die manuelle Konfiguration von Cloud-Ressourcen und -Lösungen zur Lösung identifizierter Kosten- oder Sicherheitsprobleme wurde durch automatisierte Sanierungsmaßnahmen der Cloud-Infrastruktur durch Infrastructure-as-Code ersetzt.

Die Auswirkungen der Geschäftsprozessautomatisierung und der Workflow-Transformation waren tiefgreifend und führten zu erheblichen Produktivitäts- und Effizienzsteigerungen sowie Sicherheitsverbesserungen und Kosteneinsparungen in Höhe von Tausenden von Euro dank besser dimensionierter und genutzter Cloud-Ressourcen, wobei im Laufe der Zeit weitere Kosteneinsparungen erzielt werden.

Die automatisierten Arbeitsabläufe haben es dem Kunden und seinen Mitarbeitern ermöglicht, weniger Zeit mit der Wartung und Aufrechterhaltung des Betriebszustands zu verbringen und sich stattdessen auf wertschöpfendere Aktivitäten wie digitale Geschäftsmodelle zu konzentrieren, wodurch die digitale Transformation in allen Teilen der Organisation vorangetrieben wird und Geschäftsbereiche wie Linienbetrieb, neue digitale Innovationen und Automatisierung für höhere Kosteneffizienz, weitere Workflow-Verbesserungen, prädiktive Analysen, datengesteuerte Entscheidungsfindung und mehr, wodurch der Kunde und seine Prozesse dennoch agiler, schlanker und rationalisiert werden können Seine Größe schafft neue und weitere Wettbewerbsvorteile.

Der beste Teil? Dies ist nur Phase 1. Schauen Sie bald hier noch einmal vorbei oder abonnieren Sie unten unseren Newsletter, um herauszufinden, wie wir unsere automatisierte Lösung angepasst haben, um die Erstellung und Aktualisierung der Infrastruktur auch in den anspruchsvollsten Szenarien in Teil 2 dieser Fallstudie zu integrieren.

Bereit für die nächsten Schritte?

Sie benötigen einen Cloud-Experten für Ihr Projekt? Überlegen Sie, wie Sie durch digitale Technologien in Ihrem Unternehmen betriebliche Effizienz steigern können? Möchten Sie mehr darüber erfahren, wie wir den Anwendungsfall in dieser Fallstudie für unseren Kunden gelöst haben? Vereinbaren Sie einen kostenlosen 30-minütigen Beratungstermin, um mehr über dieses Projekt zu erfahren und Ihre Möglichkeiten mit uns zu besprechen Hier

Bei der Automatisierung von Geschäftsprozessen geht es darum, Verschwendung und Engpässe zu beseitigen, Kosten zu minimieren, das Risiko menschlicher Fehler zu verringern und durch systematisierte und optimierte Prozesse eine hohe Effizienz und Leistung zu erzielen, mehr mit weniger, alles entscheidend für den Erfolg auf dem Energiemarkt und auch in anderen Sektoren B. hinsichtlich der Erreichung von Klima- und Nachhaltigkeitszielen wie Netto-Null. Möchten Sie mehr erfahren? Abonniere unseren Newsletter um unsere Experteneinblicke sowie kommende Fallstudien direkt in Ihren Posteingang zu bekommen.