Blog

Die AWS Landing Zone – Sicher und effizient in die Cloud

Für eine schnelle, sichere und skalierbare Cloud-Umgebung bietet sich die AWS Landing Zone an. Lesen Sie hier, wie wir diese selber nutzen.
9. Februar 2022
Picture of Skaylink
Skaylink

Datensicherheit und Netzwerkdesign, Identitäts- und Zugriffsmanagement sind nur einige der Themen, die auf dem Weg in die Public Cloud zu berücksichtigen sind. Häufig müssen unterschiedliche Verantwortliche die Anforderungen zunächst neu erarbeiten. Diese Fülle an zeitintensiven und komplexen Aufgaben lässt viele Unternehmen zögern, den Einstieg in die Cloud zu wagen.

Für eine schnelle, sichere und skalierbare Cloud-Umgebung bietet sich die AWS Landing Zone an: Sie bietet eine verlässliche Grundlage, um die Anforderungen seitens Governance, Compliance und IT-Security einzuhalten.

Was ist die AWS Landing Zone?

Die AWS Landing Zone bildet die Basis für die Workloads, die in der Cloud abgebildet werden sollen. Sie ist das Fundament, das die Einhaltung der geltenden Standards für Governance, Compliance und Security in der AWS-Umgebung gewährleistet. So können Projekte Shared Services wie Billing, Logging, Compliance Checks oder Netzwerkanbindungen automatisiert nutzen.

Am Anfang steht die Strategie

Vor dem Einstieg in die Cloud sollten Unternehmen ihre Cloud-Strategie definieren. Diese Strategie muss allen Projektbeteiligten vertraut sein – im Idealfall haben sie sie gemeinsam entwickelt.

Deshalb steht Strategie ganz am Anfang des bewährten Cloud-Baselining-Ansatzes von Skaylink. In einer Reihe von Workshops werden neben Strategie alle weiteren Kernthemen wie Security, Compliance, Betrieb und Technologie erarbeitet. Ergebnisse dieser Workshops sind ein grundlegendes gegenseitiges Verständnis für die Bedarfe der verschiedenen Stakeholder, ein gemeinsam definiertes Zielbild und eine Roadmap mit einer belastbaren Zeit- und Budgetplanung.

Aus diesem Ansatz heraus bietet sich die AWS Landing Zone als Fundament für den automatisierten Aufbau einer Multi-Account-Struktur an. In dieser Struktur werden die wichtigsten AWS-Dienste, Konten und Sicherheitsgrundlagen nach Best Practices eingerichtet. So entsteht eine Umgebung, die den Anforderungen einer professionellen Nutzung gerecht wird.

Unsere Lösung: Die AWS Landing Zone bei Skaylink

Die Redensart „Der Schuster trägt die schlechtesten Schuhe“ trifft auf Skaylink nicht zu. Seit 2012 unterstützen wir Unternehmen aus hoch regulierten Branchen mit einem anforderungsbasierten Design der AWS-Architektur. Und auch für die IT-Architektur von Skaylink setzen wir auf die AWS Landing Zone.

Naturgemäß entwickelt sich eine Umgebung mit der Verfügbarkeit neuer Services und unter neuen oder veränderten Anforderungen kontinuierlich weiter. So kam es Anfang November 2020 zu einer signifikanten Umgestaltung unserer eigenen Implementierung. Wir haben eine sehr spannende Lösung für hoch regulierte Unternehmen umgesetzt. Aus unserer Pilotphase mit dieser neuen, komplett aktualisierten AWS Landing Zone können wir erhebliche Mehrwerte identifizieren – sowohl für uns als Skaylink als auch für unsere Kund*innen.

Mit der AWS Landing Zone Potenziale voll ausschöpfen

Die Automatisierung vereinfacht den Aufbau der Landing Zone und ermöglicht eine schnelle Betriebsbereitschaft. Bei der ersten Einrichtung wird wertvolle Zeit gespart, die anschließend genutzt werden kann, um individuelle Anforderungen innerhalb der Organisation zu erkennen und zu erfüllen.
Durch das Ausrollen der AWS Landing Zone bei Skaylink wurde eine Account Vending Machine (AVM) bereitgestellt. Diese ermöglicht, in kürzester Zeit vorkonfigurierte AWS Accounts zu verteilen, um den Mitarbeitenden das breite Spektrum und die Möglichkeiten von AWS zur Verfügung zu stellen.

Vier AWS Accounts

Die Landing Zone Architektur von Skaylink besteht aus vier AWS Accounts: AWS Organization, Shared-Services, Log-Archive und Security. Die charakteristische Struktur der Konten erlaubt das thematische Separieren von Verwaltungsaufgaben. So entsteht ein besserer Überblick und die Möglichkeit, sicherheitskritische Aufgaben zu isolieren.

Im Log-Archive Account werden AWS CloudTrail-, AWS Config-, VPC Flow Log- und S3 Access Log-Protokolle aus allen Accounts zentral gespeichert. Somit sind alle Aktivitäten innerhalb der Accounts nachvollziehbar. Aggregierte, für einzelne Rollen definierte Sicherheitsbenachrichtigungen können abonniert werden und auf kritische Aktionen hinweisen. Zusätzlich sind in einem Security Hub alle sicherheitsrelevanten Ereignisse einsehbar. Das Dashboard kann nach Belieben um weitere individuelle Einträge ergänzt werden. So haben wir zum Beispiel sicherheitskritische Anwendungen immer im Blick.

Durch den Security Account der AWS Landing Zone werden automatisiert Benutzerrollen erstellt. Diese sind so konfiguriert, dass sie zwischen Administrator- und Auditzugriff unterscheiden. Mit diesen vordefinierten Rollen können ohne weiteren Aufwand Security und Compliance Checks durchgeführt werden.

Implementierung per IaC

Auch die Implementierung der AWS Landing Zone bietet einen großen Vorteil, sie erfolgt per „Infrastructure as Code“ (IaC). Dies bewirkt, dass wir individuell und effizient auf Anforderungen reagieren können, indem wir Konfigurationsänderungen über eine Code Pipeline einspeisen. „Infrastructure as Code“ erlaubt uns außerdem die Reproduktion der Landing Zone mitsamt unseren individuellen Anpassungen zu jedem beliebigen Zeitpunkt.

Vorteil einer eigenen AWS Landing Zone

Der größte Mehrwert für uns – und damit auch für unsere Kunden – ist, dass wir durch die Nutzung der AWS Landing Zone innerhalb von Skaylink stetig wertvolle Erfahrungen sammeln. So können wir auch die neusten Methoden bei unseren Kunden umsetzen, weil wir sie bereits in unserer eigenen Umgebung erprobt und validiert haben. Dies ermöglicht unseren Kunden eine reibungslose Migration in die AWS

Haben Sie Fragen? Nehmen Sie gerne Kontakt zu unseren AWS-Expert*innen auf!