Fallstudie

Wie ITGix in nur 7 Tagen eine skalierbare, PCI-DSS-fähige AWS-Infrastruktur für Fintech-Unternehmen aufgebaut hat

Bild des ITGix-Teams
ITGix-Team
Passionierte DevOps- und Cloud-Ingenieure
18.07.2025
Lesezeit: 5 Minuten.
Zuletzt aktualisiert am: 10.10.2025

Inhaltsübersicht

Über den Kunden

The Client ist eine Fintech-Plattform der nächsten Generation, die Geldtransferunternehmen (Money Transfer Operators, MTOs) unterstützt. Die Plattform erleichtert sichere, grenzüberschreitende Transaktionen mit Schwerpunkt auf Geschwindigkeit, Transparenz und Einhaltung gesetzlicher Vorschriften. Ihr Geschäft hängt von einer stabilen, PCI-DSS-konformen Infrastruktur ab, die global skaliert werden kann.

Herausforderungen in der Fintech-Infrastruktur

Der Kunde wandte sich mit einem dringenden Bedarf an ITGix: Er wollte in weniger als einer Woche eine sichere, PCI-DSS-konforme AWS-Infrastruktur für Fintech-Aktivitäten bereitstellen. Die wichtigsten Herausforderungen waren:

  • Erreichen der PCI-DSS-Konformität
  • Schnelle Bereitstellung der Infrastruktur
  • Hohe Skalierbarkeit und Kosteneffizienz
  • Sichere Segmentierung der Umgebung (Dev, Staging, Prod)
  • Vollständige Automatisierung der Infrastruktur
  • VPN-basierter sicherer Zugang für Entwickler
  • Zentrale Protokollierung, Verwaltung von Geheimnissen und Beobachtbarkeit
  • Effiziente Partnerintegrationen mit statischen IPs

Die Lösung: AWS-Infrastruktur für Fintech

ITGix lieferte eine vollständig automatisierte AWS-Infrastruktur mit mehreren Konten für Fintech-Unternehmen, die auf die einzigartigen Compliance- und Leistungsziele des Kunden zugeschnitten ist. Unsere firmeneigene Landing Zone &Anwendungsentwicklungsplattform wurde mit bereitgestellt:

  • Infrastruktur als Code (Terraform)
  • GitOps-Auslieferung mit ArgoCD
  • EKS-basierte Kubernetes-Plattform
  • Beobachtbarkeitstools mit Prometheus, Grafana und Loki

Erreichtes Ziel: Vollständig eingerichtete Infrastruktur in 7 Tagen, bereit für PCI-DSS-Audits und Produktionsworkloads.

Aufschlüsselung der Infrastrukturarchitektur

Der Aufbau einer robusten AWS-Infrastruktur für Fintech-Aktivitäten erfordert eine sorgfältige Planung über mehrere Architekturebenen hinweg. ITGix nutzte seine bewährte Methodik, um eine AWS-Einrichtung mit mehreren Konten mit skalierbaren Kubernetes-Arbeitslasten, GitOps-Automatisierung und Sicherheitskontrollen auf Unternehmensniveau bereitzustellen, die alle mit PCI-DSS-Standards übereinstimmen.

Architektur-Diagramm

ITGix AWS Landing Zone

Die Grundlage der Lösung ist die ITGix AWS Landing Zone, die eine sichere, skalierbare Umgebung mit mehreren Konten für die Verwaltung von Cloud-Arbeitslasten bietet. Mit AWS Organizations erstellte das Team separate Konten für Entwicklungs-, Staging- und Produktionsumgebungen. Dieser Ansatz erzwang eine strikte Kontentrennung und half, den Radius potenzieller Sicherheitsprobleme zu verringern.

Um die zentrale Kontrolle zu behalten, ohne die Flexibilität zu beeinträchtigen, haben wir delegierte Administratorrollen eingeführt. Diese Rollen ermöglichten es bestimmten Teams, Ressourcen innerhalb bestimmter Konten zu verwalten und gleichzeitig die Kontrolle auf Unternehmensebene beizubehalten. Darüber hinaus wurden Service Control Policies (SCPs) eingesetzt, um genau zu kontrollieren, welche Dienste und Aktionen in den einzelnen Konten erlaubt sind, und so die PCI-DSS-Anforderungen des Kunden zu erfüllen.

Vernetzung & Zugangskontrolle

Die Vernetzung erfolgte über eine Hub-and-Spoke-Architektur mit AWS Transit Gateway, die eine nahtlose Kommunikation zwischen VPCs ermöglichte und gleichzeitig die Isolierung zwischen Umgebungen aufrechterhielt. Diese Architektur bildete das Rückgrat der AWS-Infrastruktur für den Fintech-Betrieb und bot sowohl Sicherheit als auch Skalierbarkeit.

Der Zugriff auf interne Systeme wurde über AWS Client VPN eingeschränkt, das mit IAM Identity Center für Single Sign-On (SSO) und zentralisierte Identitätsverwaltung integriert wurde. Zur Sicherung des ausgehenden Datenverkehrs und zur Durchsetzung von Egress-Richtlinien wurde AWS Network Firewall in einer zentralisierten Egress-VPC bereitgestellt. Für die DNS-Auflösung nutzte das Team Amazon Route 53 Private Hosted Zones, um eine sichere, ausschließlich interne Namensauflösung in allen Umgebungen zu gewährleisten.

Funktionen für Sicherheit und Compliance

Die Sicherheit war eine zentrale Säule der Architektur. Wir ermöglichten die Erkennung von Bedrohungen in Echtzeit mithilfe einer Kombination aus Amazon GuardDuty, AWS Inspector und Security Hub. Diese Tools suchten kontinuierlich nach Fehlkonfigurationen, Schwachstellen und anormalem Verhalten in Konten und Arbeitslasten.

Die Überprüfung wurde mit AWS CloudTrail angegangen, um eine vollständige Transparenz der API-Aktivitäten in der gesamten AWS-Organisation zu gewährleisten. Zum Schutz der Anwendungsebene konfigurierte unser Team AWS WAF sowohl mit verwalteten Regelsätzen als auch mit benutzerdefinierten Ausnahmen, einschließlich spezieller Regeln für Integrationen wie Stripe-Webhooks.

Geheimnisse wurden sicher mit AWS Secrets Manager gespeichert, wobei der Zugriff streng kontrolliert und automatisch rotiert wurde. Darüber hinaus führte das Team die Just-in-Time-IAM-Zugriffsbereitstellung ein, die temporäre Berechtigungen ermöglicht, um das Risiko von langlebigen Anmeldeinformationen zu reduzieren - eine wichtige Anforderung für PCI DSS.

Kubernetes & Compute Stack

Ein entscheidender Teil der Lösung war der Einsatz der ITGix Application Development Platform (ADP) - einer vollautomatischen, produktionsfähigen Container-Plattform, die auf Kubernetes aufbaut und für Unternehmens-Workloads zugeschnitten ist.

Die ITGix Container Platform ist ein durchdachtes, aber flexibles Framework, das die Bereitstellung von Cloud-nativen Anwendungen beschleunigt. Sie umfasst eine Reihe von Open-Source-Tools, Best Practices und sichere Standardeinstellungen - alles in Form von Code, so dass Kunden ihre Anwendungen schneller bereitstellen können, ohne die Sicherheit oder Compliance zu gefährden.


Die Plattform besteht aus:

  • Amazon EKS (Elastic Kubernetes Service): Bereitstellung des Backbones für orchestrierte Container-Arbeitslasten
  • Karpenter: Ein moderner Kubernetes-Autoscaler, der speziell für EKS entwickelt wurde. Er stellt dynamisch optimierte Rechenknoten basierend auf Echtzeitanforderungen bereit und unterstützt sowohl Spot- als auch On-Demand-Instanzen für kosteneffiziente Elastizität.
  • ExternalDNS: Automatisiert die Verwaltung von DNS-Einträgen auf der Grundlage von Kubernetes-Diensten und Ingress-Ressourcen und sorgt dafür, dass DNS-Zonen immer synchronisiert sind
  • Operator für externe Geheimnisse: Synchronisiert Geheimnisse sicher von AWS Secrets Manager in Kubernetes, wobei eine zentralisierte und überprüfbare Verwaltung von Geheimnissen beibehalten wird und gleichzeitig eine nahtlose Injektion von Geheimnissen in Arbeitslasten ermöglicht wird
  • ArgoCD: Die GitOps-Engine für die kontinuierliche Bereitstellung. Sie stellt sicher, dass der Anwendungsstatus mit der deklarierten Konfiguration in den Git-Repositories übereinstimmt und bietet Zero-Touch-Deployments und vollständige Rückverfolgbarkeit.
  • ArgoCD Image Updater: Erkennt automatisch neue Container-Image-Tags und löst einen Git-Commit aus, gefolgt von einer Synchronisation, die ein schnelles Rollout von Updates in Entwicklungsumgebungen ermöglicht.
  • AWS WAF auf ALB Ingress: Integration über Anmerkungen in Kubernetes-Ingress-Ressourcen, Anwendung eines fein abgestuften Layer-7-Schutzes durch AWS Managed Rule Sets und benutzerdefinierte WAF-Regeln, die auf die Geschäftsanforderungen zugeschnitten sind

Dieses Setup hat die Geschwindigkeit der Entwicklung drastisch erhöht, die Sicherheitslage verbessert und konforme, wiederholbare Implementierungen in verschiedenen Umgebungen ermöglicht.

Datenschicht

Die Datenschicht der AWS-Infrastruktur für Fintech wurde sowohl auf Leistung als auch auf Sicherheit ausgelegt. Die Daten wurden auf Amazon Aurora PostgreSQL gehostet, das hohe Verfügbarkeit, automatische Backups und Verschlüsselung im Ruhezustand bietet. Für die Zwischenspeicherung mit niedriger Latenz wurde Amazon ElastiCache (Redis) in isolierten Subnetzen bereitgestellt, um es vor der Öffentlichkeit zu schützen.

Zur Unterstützung der zentralen Beobachtbarkeit und Auditierbarkeit wurden Anwendungs- und Infrastrukturprotokolle über Amazon CloudWatch aufgenommen, über Kinesis Firehose weitergeleitet und in Amazon S3 gespeichert. Dies ermöglichte eine langfristige Aufbewahrung und leistungsstarke Suchfunktionen für Protokolle, Metriken und Traces - allesamt unerlässlich für Compliance-Audits.

CI/CD & GitOps-Automatisierung

Die Bereitstellungspipelines wurden nach GitOps-Prinzipien aufgebaut, wobei ArgoCD im Mittelpunkt der Automatisierungsstrategie stand. Alle Anwendungsmanifeste und Konfigurationsänderungen wurden in Git-Repositories gespeichert, um Versionskontrolle und Nachvollziehbarkeit für jede Bereitstellung zu gewährleisten. Mit ArgoCD, das kontinuierlich den gewünschten Zustand von Git mit dem Cluster synchronisiert, erreichte der Kunde zuverlässige, wiederholbare und schnelle Anwendungs-Rollouts.

Um die Geschwindigkeit der Entwickler weiter zu erhöhen, wurde der ArgoCD Image Updater integriert. Dieses Tool ermöglicht automatische Aktualisierungen von Container-Images auf der Grundlage von Tags oder Versionsregeln, wodurch Zero-Touch-Implementierungen für Entwicklungsumgebungen ermöglicht und die Markteinführungszeit für neue Funktionen verkürzt werden.

Geschäftsergebnisse & ROI

Die neue AWS-Infrastruktur für Fintech ermöglichte es dem Kunden,:

  • Einführung einer PCI-DSS-konformen Infrastruktur in 7 Tagen
  • Erreichen einer 100%igen Infrastructure-as-Code-Abdeckung
  • Bereitstellung ohne manuelle Eingriffe mit GitOps
  • Erhebliche Verkürzung der Einarbeitungszeit für Entwickler
  • Bessere Integration mit Fintech-Partnern über statische IP-Ausgänge
  • Unterstützung hoher Verfügbarkeit und horizontaler Skalierbarkeit

aws infrastruktur für fintech

Abschließende Überlegungen

In einem so schnelllebigen und regulierten Markt wie dem der Finanztechnologie sind Geschwindigkeit und Compliance entscheidend. Die Zusammenarbeit zwischen ITGix und seinem Kunden beweist, dass eine sichere, skalierbare und konforme AWS-Infrastruktur für Fintech in Rekordzeit mit den richtigen Tools und Automatisierungsprinzipien bereitgestellt werden kann.

Möchten Sie eine PCI-DSS-konforme AWS-Basis für Ihr Fintech-Unternehmen aufbauen? Nehmen Sie Kontakt mit ITGix auf und sehen Sie, wie wir Ihnen helfen können.

Weitere Fallstudien

Aufbau robuster, automatisierter DynamoDB-Architekturen für ein Finanzdienstleistungsunternehmen der Enterprise-Klasse

Fintech
Übersicht Ein führendes deutsches Automobilunternehmen benötigte eine sichere, skalierbare und PCI DSS-konforme Transaktionsverarbeitungsplattform zur Unterstützung seiner Finanzdienstleistungsgeschäfte auf AWS. Die Plattform musste sensible Zahlungsdaten verarbeiten ...
Lesen

SOC2-Compliance durch Cloud-native ERP-Modernisierung auf Azure AKS

Fintech
Überblick über die Branche Die Einhaltung der SOC2-Vorschriften ist eine wichtige Voraussetzung für Organisationen, die sensible Geschäftsvorgänge und Daten verwalten.
Lesen

Blog-Beiträge

Stärkung von FinTech-Anwendungen durch DevOps und Cloud-Sicherheit

DevOps, Cloud, Fintech...
Die Fintech-Revolution, angetrieben durch unerbittliche digitale Innovation, verändert die Finanzbranche. Diese Leistung muss jedoch mit robusten Sicherheitsmaßnahmen gekoppelt werden, da Fintech-Anwendungen mit sensiblen Daten und...
Lesen

4 DevOps-Outsourcing-Überlegungen für FinTech

Containerisierung, Fintech...
DevOps in der Finanzwelt Kurz gesagt ist DevOps eine Methodik und eine Reihe von Best Practices und Tools, die von Entwicklungs- und Betriebsteams verwendet werden, die sich mit...
Lesen
Kontakt aufnehmen
ITGix bietet Ihnen fachkundige Beratung und maßgeschneiderte DevOps-Services, um Ihr Unternehmenswachstum zu beschleunigen.
Newsletter für
Technik-Experten
Schließen Sie sich 12.000+ Geschäftsführern, Designer und Entwickler, die Blogs, e-Books und Fallstudien Fallstudien über neue Technologie erhalten.