System and Image Hardening and Management

Helvetia Versicherung Schweiz
Security Platform Engineering Versicherungen

Im Projekt "System and Image Hardening and Management" unterstützte b-nova die Helvetia Versicherung Schweiz bei der Härtung, Standardisierung und automatisierten Verwaltung von System- und Container-Images. Im Zentrum standen der Aufbau gehärteter Golden Images mittels AWS EC2 Image Builder, die Absicherung von Container-Basisimages nach CIS-Benchmarks sowie die Automatisierung von Build-, Patch- und Verteilprozessen mit Ansible und CI/CD-Pipelines. Ziel war es, eine durchgängig sichere, reproduzierbare und wartbare Grundlage für alle Laufzeitumgebungen der Plattformlandschaft zu schaffen.

Biggest challenge

Durchgängig gehärtete und standardisierte Laufzeitumgebungen in einer wachsenden Plattformlandschaft mit automatisierter Compliance-Sicherung etablieren

What we did

Aufbau automatisierter Image-Härtungspipelines mit AWS EC2 Image Builder und Ansible sowie Standardisierung und Lifecycle-Management aller System- und Container-Images

Main tools we used

AWS EC2 Image Builder, OpenShift, Docker, Podman, Ansible, Linux, GitHub Actions, ArgoCD

Aufgaben

Analyse der Sicherheitsanforderungen und Abstimmung mit Security-, Plattform- und Betriebsteams zur Definition der Härtungsstrategie
Definition technischer Sicherheitsbaselines und Härtungsrichtlinien auf Basis von CIS-Benchmarks und unternehmensinternen Vorgaben
Aufbau und Konfiguration von AWS EC2 Image Builder Pipelines zur automatisierten Erstellung gehärteter AMIs (Golden Images)
Erstellung und Pflege von Ansible-Playbooks für reproduzierbare Systemkonfiguration und Härtungsmassnahmen
Härtung und Standardisierung von Container-Basisimages (Docker/Podman) für den Einsatz auf OpenShift
Integration automatisierter Vulnerability-Scans in die Image-Build-Pipelines zur frühzeitigen Erkennung von Schwachstellen
Aufbau eines strukturierten Patch-Management-Prozesses für regelmässige und nachvollziehbare Updates aller Images
Verwaltung und Versionierung von Basisimages über eine zentrale Registry mit kontrolliertem Freigabeprozess
Implementierung von Compliance-Checks und Policy-Enforcement zur kontinuierlichen Überwachung der Härtungskonformität
Systematisches Testing gehärteter Images inklusive Funktions- und Sicherheitstests vor dem Produktiv-Rollout
Containerisierung und Deployment der Management-Services auf OpenShift mit Kustomize für umgebungsspezifische Konfiguration
Aufbau und Wartung der CI/CD-Pipelines mit GitHub Actions und GitOps-basiertem Deployment über ArgoCD
Einrichtung von Monitoring und Alerting zur Überwachung der Image-Lebenszyklen und Sicherheitslage
Iterative Verbesserung der Härtungsprozesse basierend auf Audit-Ergebnissen und Betriebserfahrungen
Umfassende Dokumentation der Härtungsstandards, Betriebsprozesse und Wissenstransfer an interne Teams

Technologien

AWS EC2 Image Builder OpenShift Docker / Podman Linux Ansible GitHub Actions ArgoCD Kustomize Security Hardening / CIS Monitoring