Regulierter Betrieb in der Cloud: Keine Kompromisse bei Sicherheit und Compliance
Die Deutsche Pfandbriefbank AG (pbb) ist eine der führenden deutschen Hypothekenbanken. Wie alle Finanzinstitute operiert sie unter strengen regulatorischen Anforderungen. BaFin, MaRisk, DSGVO. Gleichzeitig wuchs der Druck, von einer vollständig On-Premise-Infrastruktur auf eine moderne, skalierbare Cloud-Umgebung zu wechseln. Die Herausforderung: keine Kompromisse bei Sicherheit, kein Betriebsausfall während der Migration.
CCsolutions übernahm die technische Verantwortung für die komplette Migration zu Microsoft Azure Kubernetes Service (AKS), von der Planung bis zum produktiven Betrieb.
Herausforderung: Migration ohne Risiko für kritische Bankprozesse
Die pbb betrieb ihre gesamte Anwendungslandschaft On-Premise. Eine Abhängigkeit von legacy Infrastruktur, hohe Betriebskosten und fehlende Skalierbarkeit machten eine Migration unausweichlich. Die Anforderungen waren klar:
- Kein Datenverlust, kein Produktionsausfall während der Migration
- Vollständige Nachvollziehbarkeit aller Deployments für Compliance-Audits
- Disaster Recovery mit definierten RTO-Werten
- Sicherheitsarchitektur, die regulatorische Anforderungen erfüllt
Die Migration musste in unter 6 Monaten abgeschlossen sein.
Lösung: Azure Kubernetes mit GitOps und Zero-Trust-Netzwerk
CCsolutions konzipierte und implementierte eine vollständige AKS-Infrastruktur, die von Beginn an auf Compliance und Betriebssicherheit ausgelegt war.
Infrastructure as Code mit Terraform: Die gesamte Azure-Infrastruktur wurde deklarativ mit Terraform beschrieben. Jede Änderung an der Infrastruktur ist versioniert, reviewbar und reproduzierbar, ein direkter Audit-Trail für Compliance-Anforderungen.
GitOps-Deployments mit Argo CD: Alle Anwendungsdeployments werden über Argo CD gesteuert. Der gewünschte Systemzustand ist im Git-Repository definiert; Argo CD stellt sicher, dass der tatsächliche Cluster-Zustand kontinuierlich damit übereinstimmt. Kein manuelles kubectl apply mehr, jede Änderung hat einen Commit, einen Author und einen Zeitstempel.
Zero-Trust mit Istio und Open Policy Agent: Das Service Mesh verschlüsselt den gesamten internen Traffic (mTLS) und kontrolliert, welche Services miteinander kommunizieren dürfen. OPA (Open Policy Agent) setzt Sicherheitsrichtlinien auf Cluster-Ebene durch, kein Container startet ohne Policy-Prüfung.
CI/CD mit Azure DevOps: Vollständige Deployment-Pipeline von Code-Commit bis Produktion, mit automatisierten Tests, Security Scans und Rollback-Mechanismen.
Observability mit Grafana: Zentrales Monitoring aller Cluster-Metriken, Logs und Alerts über Grafana, mit definierten SLO-Dashboards für den Bankbetrieb.
Ergebnisse: Vollständige Migration in 6 Monaten
Die Migration wurde innerhalb des definierten Zeitrahmens ohne Produktionsausfälle abgeschlossen:
- 100% On-Premise → Azure: Alle Workloads laufen in AKS, kein Legacy-Server mehr
- Disaster Recovery < 75 Minuten: Vollautomatisierter Wiederherstellungsprozess, regelmäßig getestet
- GitOps-Deployments: Jeder Deploy hat einen vollständigen Audit-Trail. Name, Zeitstempel, diff
- Compliance-ready: Sicherheitsarchitektur erfüllt BaFin- und MaRisk-Anforderungen
- Betriebsstabilität: Keine ungeplanten Ausfälle seit Go-Live
Technologie-Stack
| Bereich | Technologie | |---|---| | Cloud | Microsoft Azure / AKS | | Infrastructure as Code | Terraform | | GitOps | Argo CD | | CI/CD | Azure DevOps | | Service Mesh | Istio | | Policy Engine | Open Policy Agent (OPA) | | Observability | Grafana |
Fazit
Die Migration der pbb zeigt, dass auch regulierungsintensive Branchen wie der Finanzsektor von moderner Cloud-Infrastruktur profitieren können, vorausgesetzt, Sicherheit und Compliance werden von Anfang an als Kernarchitektur behandelt, nicht als nachträglicher Aufwand.
Wenn Sie vor einer ähnlichen Migration stehen und wissen möchten, was für Ihre spezifische Infrastruktur realistisch ist, sprechen Sie mit uns. In einem kostenlosen 45-Minuten-Call analysieren wir Ihre Situation.