Principal Cloud- und DevSecOps-Architekt (AWS / Azure / Terraform / Kubernetes / CI/CD)

Reguliertes Konzernumfeld einer deutschen Bankengruppe (ca. 8.500 Mitarbeiter, Hybrid Cloud-Strategie).

Verantwortlich für den Betrieb, die Bereitstellung und die kontinuierliche Absicherung geschäftskritischer Plattformen – darunter eine GenAI-Chat-Anwendung, eine Big-Data/AI-Plattform sowie Data-Science-Arbeitsplätze auf Basis von Azure Virtual Desktops und VMs. Ownership der AzureDevOps Projekte nach ShaiHulud und React2Shell sowie BSI-Warnungen - Security Operations Improvements im gesamten SDLC.

Deployment-Verantwortung für GenAI-Chat-Anwendung, Big-Data/AI-Plattform (BDAI) sowie Data-Science-Arbeitsplätze (AVD/VM-basiert) in den jeweiligen LZs.

Deployment & Release Management: End-to-End-Verantwortung für Deployments von Portal- und Service-Applikationen in mehreren Azure Landing Zones, inklusive technischer Freigaben, Approvals nach Deployment-Guidelines der Entwicklungsteams sowie Sicherstellung ITIL-basierter Change- und Release-Prozesse im laufenden Betrieb via ServiceNow.

Azure Landing Zones & Netzwerkarchitektur: Aufbau, Provisionierung und Betrieb von Azure Landing Zones für 3-Tier-Web-Applikationen mit verbesserter Netzwerksegmentierung, VNet-Peering, Hub-Spoke-Architekturen, Private Endpoints und Firewall-Integration in separaten Subscriptions und Tenants.

Azure DevOps Governance & Betrieb: Ownership der Azure-DevOps-Organisation inklusive Projekte, Repositories und CI/CD-Pipelines, Umsetzung von Governance-Vorgaben wie Branch-Policies, Approval-Gates, Berechtigungskonzepten und Audit-fähigen Betriebsstrukturen.

Infrastructure as Code (Terraform): Design, Implementierung und Betrieb einer modularen Terraform-Architektur zur standardisierten Bereitstellung von Cloud-Infrastruktur, inklusive State-Management, Provider-Versionierung, Wiederverwendbarkeit und Policy-as-Code-Ansätzen.

CI/CD Pipeline Engineering: Konzeption, Betrieb und Optimierung komplexer YAML-basierter CI/CD-Pipelines mit Multi-Stage-Deployments, Template-Standardisierung, Self-Hosted Agents, integriertem Secret-Management und automatisierten Qualitäts- und Sicherheitsprüfungen.

Git-Migration & Plattformkonsolidierung: Planung und Umsetzung der Migration von Repositories und Pipelines von Azure DevOps zu GitLab CI/CD, inklusive automatisierter Skripte, Inklusive Git-History, Pipeline-Portierung und Konsolidierung der Entwicklungsplattformen.

Container- & Plattformbetrieb (AKS): Betrieb und sicherheitstechnische Bewertung containerbasierter Workloads auf Azure Kubernetes Service Zentralisierung der OnPremises Container Registry für ACR OpenShift (OCP) Security Reviews: Sicherheitsbewertung von Codebaselines, Build-Pipelines und Deployment-Prozessen für On-Premises-OpenShift-Cluster mit kritischen Anwendungen sowie Ableitung konkreter Hardening-Empfehlungen.

Shift-Left Security & DevSecOps Transformation: Einführung eines unternehmensweiten Shift-Left-Ansatzes zur frühzeitigen Integration von Sicherheit in Entwicklungs- und Deployment-Prozesse, Enablement der Entwickler zur eigenständigen Sicherheitsprüfung und nachhaltige Reduktion von Schwachstellen vor Produktivsetzung (IDE-Integrationen, Pre-Commit Hooks, lokale Scanner).

Software Supply-Chain Security: Analyse und Mitigation von Supply-Chain-Risiken in NPM- und Yarn-basierten Anwendungen durch Dependency-Audits, Absicherung von CI/CD-Pipelines, Token-Rotation und Einschränkung riskanter Build- und Lifecycle-Mechanismen.

Frontend- & Framework-Security (React / Next.js): Sicherheitsbewertung und Koordinierung der Behebung kritischer Schwachstellen in allen Plattform Anwendungen und Web-Frameworks, inklusive Abstimmung und ergänzenden technischen Mitigationsmaßnahmen mit allen Teams nach BSI Warnung.

Software Composition Analysis (SCA): Einführung und Betrieb automatisierter Schwachstellen-Scans für Container-Images Pipelines/Artefakte und Third-Party-Dependencies inklusive SBOM Exports innerhalb der CI/CD-Pipelines.

SAST / DAST Integration: Konzeption und Pilotierung statischer und dynamischer Anwendungssicherheitstests in enger Zusammenarbeit mit Security-Architektur und Entwicklungsteams zur kontinuierlichen Verbesserung der Code- und Runtime-Security und Etablierung Betriebliche Abnahme Tests (BATs).

Artefakt- & Registry-Konsolidierung: Analyse und Konsolidierung aller Paket- und Container-Repositories für Service-Applikationen und AKS-Workloads mit dem Ziel einer zentralisierten, abgesicherten Registry-Strategie inklusive zentralisierter Vulnerability-Scanning und Governance.

Dependency-Track & SBOM-Strategie: Beratung des Compliance-Boards zur Einführung einer zentralen SBOM- und Vulnerability-Management-Plattform zur konzernweiten Erhöhung der Transparenz über Abhängigkeiten und Beschleunigung der CVE-Reaktionsfähigkeit.

CI/CD Pipeline Hardening: Sicherheitsanalyse und Bereinigung der bestehenden Pipeline-Landschaft durch Entfernung ungenutzter Pipelines, Verbesserung der Secrets-Hygiene, Umsetzung des Least-Privilege-Prinzips und Isolation von Build-Agent-Umgebungen.

Azure Web Application Firewall (WAF) Optimierung: Analyse und Optimierung bestehender Azure-WAF-Regelwerke (OWASP Top 10 Core Rule Set, DSR/SDC, Custom Rules) zur Abwehr bekannter Schwachstellen und Exploit-Patterns, inkl. Reduktion von False Positives und Verbesserung der Angriffserkennung.

Dokumentation & Stakeholder-Kommunikation: Erstellung und Pflege technischer Dokumentationen, Runbooks und Architekturübersichten in Jira und Confluence sowie aktiver Wissenstransfer zwischen Operations, Development, Security und Compliance-Stakeholdern.

2.500 Workloads für weltweit über 17.000 Mitarbeitende.

Multi-Account AWS Landing Zone, Bereitstellung von Multi-Stage Kubernetes Cluster mit Amazon EKS und ECS sowie AWS Fargate, hybrides Networking mit globalem IP Address Management (IPAM) und WAN, Einsatz von Transit Gateways und Palo Alto Firewalls (Pan-OS) in sechs operativen Cloud-Regionen.

Service Ownership der AWS-Cloud Landing Zones, einschließlich Betrieb, Weiterentwicklung und Sicherstellung der Einhaltung unternehmensweiter Standards und Governance Richtlinien für alle Tochter-Gesellschaften.

Durchführung von Security- & Compliance-Analysen (DevSecOps) sowie Einordnung der Findings in gängige Frameworks wie NIST, ISO 27001 und PCI DSS.

Durchführung von AWS Well-Architected Reviews zur Bewertung und Optimierung bestehender Multi-Account LandingZone Architekturen.

Zentralisierung und Konsolidierung mehrerer AWS Landing Zones sowie Aufbau einer globalen Netzwerkarchitektur zum Azure Prisma Hub.

Betrieb und Optimierung von Incident-, Change- und Problem-Management-Prozesses über ServiceNow für AWS Global Networking / Azure Global WAN.

Analyse, Optimierung und Migration von DaaS-Workloads (Desktop-as-a-Service), inkl. Vergleich und Umstellung von Nutanix Frame, AWS Workspaces Classic zu AWS Workspaces Pools.

Storage-Performance-Tuning und Durchsatzoptimierung für Amazon FSx for Windows File Server.

Einführung und Betrieb eines zentralisierten Firewall- & Traffic-Inspection-Setups mit Palo Alto Networks (PAN-OS).

Design und Implementierung einer vollständig automatisierten AWS Landing Zone Lösung mit built-in Security- & Compliance-Mechanismen.

Aufbau und Pflege von Infrastructure-as-Code (IaC) Pipelines mittels Azure DevOps für wiederholbare, sichere Deployments inclusive Security Gates.

Rollout globaler AWS Workspaces Pools für über 500 CAD-/Engineering-Endanwender, inkl. Enablement und Architektur-Optimierung.

Implementierung von Staging-Umgebungen für Kubernetes-Workloads, inklusive Trennung von Dev/Test/Prod und Zugriffskontrolle.

Integration von Dependency-Track zur SBOM-Analyse sowie Implementierung zusätzlicher Sicherheitsservices wie AWS Inspector, GuardDuty und Security Hub.

Anbindung der AWS-Umgebung an externe SOC-Provider, inklusive SIEM-Integration.

Onboarding der neuen Landing Zone in das CSPM-Tool (SentinelOne Singularity Cloud Plattform), inklusive kontinuierlichem Security Posture Management.

Dokumentation, Qualitätssicherung und Knowhow-Transfer an interne Engineering- und Security-Teams.

Verschiedene Kunden aus verschiedenen Branchen 1500+ User im EUC Kontext 5 Haupt-Anwendungen inklusive Migration der Infrastrukturen.

AWS Cloud MSP, Multi-Account AWS Landing Zone, Multi-Mandant AppStream 2.0 Fleets und Amazon Workspaces Classic Bereitstellung mit Terraform und AFT.

Konfiguration mehrerer AWS Multi-Account Landing Zones, inklusive Workload Accounts und Organizational Units (OUs).

Implementierung und Management von SCPs und GuardRails in AWS Control Tower und AWS Organizations, einschließlich regionaler Nutzungsrestriktionen und Etablierung eines Account Security und Compliance Konzepts gemäß AWS Best Practices.

Planung, Konfiguration und automatisierte Bereitstellung mehrerer VPCs und Infrastrukturen für AWS VDI-Technologien, fokussiert auf Amazon AppStream 2.0 und Amazon Workspaces.

Entwicklung, Automatisierung und Bereitstellung von Images für Amazon AppStream 2.0 und AWS Workspaces Services via Terraform und Image-Pipelines.

Konzeptionierung der Migrationen sowie Planung und Umsetzung der Strategischen Migration von Kundenanwendungen und Anwendungsservern in die AWS Cloud durch Rehosting bzw. Lift and Shift.

Vollautomatisierte Bereitstellung der Kundeninfrastrukturen und Kundenanwendungen in Multi-Stages und Multi-Accounts via Terraform und CI/CD Pipelines.

End-to-End Konfiguration und Testdurchführung für Multiple User Streaming via AppStream 2.0, inklusive Autoscaling und Fleet Management.

Erstellung und Bereitstellung von standardisierten Amazon Workspaces, inklusive Active Directory Domain Join und Standard GPOs.

Anbindung der AWS Workspaces Services an Microsoft Active Directory Workloads und Integration mit Identity Provider Services für User-Synchronisation inklusive Single Sign-On (via SCIM).

Umsetzung der Azure Active Directory Synchronisation für Microsoft 365 und Entra-ID mit Entra-ID Connect.

Konfiguration CloudWatch Monitoring und Aktivierung Applikations-Monitoring für Anwendungen.

Einrichtung zentralisiertes Backup-Management mit AWS Backup Service für die jeweiligen Kundenorganisationen.

Beratung bei der Planung, Architektur und vollständige Implementierung einer skalierbaren Windows Virtual Desktop Umgebung für 500+ User.

Aufbau und Konfiguration von Host Pools (Pooled & Personal) mit automatisiertem User Assignment und Lastverteilung gemäß Azure Well-Architected Framework.

Entwicklung und Betrieb einer vollautomatisierten Image Pipeline (Golden Image Build & Deployment) mit Azure Image Builder – inklusive regelmäßiger Updates, Security Hardening und Integration von CAD-Anwendungen.

Umsetzung von App Attach (MSIX/App Attach) für dynamische Applikationsbereitstellung: Paketierung, Storage-Integration (Azure Files), Zuweisung und Lifecycle-Management für verschiedene Usergruppen aus Entra ID.

Integration von FSLogix für User Profile Management (Azure Files) zur Sicherstellung performanter, persistenter Benutzerprofile mit GPO Enforcement.

Implementierung von Monitoring & Logging (Azure Monitor, Log Analytics WS) für proaktives Troubleshooting und Kapazitätsplanung.

Automatisierte Skalierungs- und Wartungsprozesse für Session Hosts (Start VM on Connect, Scheduled Agent Updates, Autoscaling).

Umsetzung von Conditional Access Policies und Multi-Faktor-Authentifizierung für sicheren Remote-Zugriff auf die AVD Desktops.

Erstellung von Betriebsdokumentationen, Runbooks und Übergabe an den IT-Betrieb.

1.250+ Workloads und über 5.500 Nutzer weltweit.

Umfassende Beratung und Begleitung des Kunden während der Vorbereitungsphase der AWS Cloud-Migration.

Durchführung detaillierter Assessments für rund 250+ Linux Server sowie über 50 Linux Applikationen.

Einführung von RedHat Satellite für ein effizientes Patch Management der RedHat und CentOS Server.

Modernisierung der Linux Server mit Minor und Major Release Changes zur Vorbereitung auf Cloud-Anforderungen.

Durchführung von AWS Migration Readiness Assessments (MRA) für Ressourcen, Tools und Workforce Skills.

Installation von AWS Discovery und Inventory Tools zur Analyse von Applikationsabhängigkeiten.

Erstellung einer umfassenden Dokumentation der Linux Systemlandschaft als Grundlage für das Cloud-Rehosting.

Krankenkassenumfeld, Citrix-Infrastruktur Backend Services, IGEL Thin Clients für BARMER.

Initiierung und Planung des Migrationsvorhabens für Citrix-Infrastruktur Outsourcing.

Konzeptionierung und technische Umsetzung der Migrationspfade für die bestehende Citrix-Infrastruktur.

Entwicklung eines neuen Citrix Back-Ends für den zukünftigen Betrieb.

Identifikation und Implementierung von Migrationsstrategien für Benutzerprofile und Softwarepakete.

Entwurf und Design einer neuen Active Directory-Gruppenstruktur inklusive Namenskonventionen.

Absicherung des Migrationsprozesses durch Identifikation kritischer Konfigurationen wie Citrix UPM und GPOs.

Koordination und Steuerung externer Dienstleister während der Transition.

2nd und 3rd Level Support für Citrix Remote Workspaces.

Implementierung und Rollout von Windows 10 Clients mittels Baramundi.

Interim Verwaltung des Exchange Servers.

Softwarepaketierung und Endgerätemanagement.

Mobile Device Management via MobileIron/Mobile PASS.

Qualitätsmanagement und Dokumentationserstellung.

Über 500 Workloads, Virtualisierung von physikalischen und virtuellen Servern.

Durchführung von P2V (Physical to Virtual) Virtualisierung physikalischer Server mit VMware.

V2V (Virtual to Virtual) Konvertierung von KVM/QEMU Serversystemen ins VMware vCenter.

Koordination und Terminmanagement für Virtualisierungsprozesse.

Virtualisierung von RedHat, SLES und Microsoft Windows Servern.

Integration der virtualisierten Systeme ins zentrale Rechenzentrum.

Implementierung von Service- und Prozessmonitoring sowie Qualitätssicherung der Migrationsprozesse.

Konzeption und Implementierung einer IAM-Umgebung mit Microsoft Identity Manager (MIM).

Entwicklung von Attribute-Flows und Synchronisationsregeln für Active Directory User-Objekte.

Aufbau und Sicherung des Perimeter-Netzwerks (DMZ) einschließlich eines Reverse Proxys.

Integration und Test der IAM-Tools für Single-Sign-On (SSO)-Anwendungen.

Einrichtung des SSO-Identity Providers und Integration mit Active Directory Federation Services (ADFS).

Zwei Rechenzentren, 2000+ Serversysteme, diverse Netzwerkkomponenten.

Entwicklung einer Monitoring-Systemarchitektur basierend auf Nagios.

Implementierung des Nagios Master-Servers und Konfiguration der Plattform.

Erfolgreiche Migration von Nagios zu Check_MK OMD (Open Monitoring Distribution).

Integration von AIX, Linux und Windows Servern in das Monitoring-System.

Abbildung von Service-Abhängigkeiten und Priorisierung geschäftskritischer Anwendungen.

Überwachung von Systemen über SNMP und WMI inklusive Alarmkonfiguration.

Integration von Monitoring-Ergebnissen in das Ticket-System (Omnitracker).

Durchführung von 1st und 2nd Level Support für Endbenutzer.

Administration und Wartung von Microsoft Small Business Server für mehrere Kunden.

Problemdiagnose und -behebung in Echtzeit zur Sicherstellung eines reibungslosen Betriebs.

Koordination von Support-Aufgaben unter Berücksichtigung von SLAs und KPIs.