Blog
AWS Landing Zone & Control Tower – Die Entwicklungen der letzten 10 Jahre
Im März haben wir den neuen AWS-Partnerstatus „AWS Control Tower Service Delivery Partner“ von AWS erhalten. Grund genug für uns, die letzten 10 Jahre Revue passieren zu lassen und zu schauen, wie sich die Landing Zone und der Control Tower entwickelt haben.
Im vergangenen Jahrzehnt hat sich in diesem Bereich viel verändert. Der Begriff „Landing Zone“ ist neu entstanden. Bei AWS gab es nicht einmal ein Setup mit multiplen Accounts. In Deutschland war bei unseren Kunden das Thema Public Cloud gerade erst in der Anfangsphase. Sehr viele AWS-Services, von denen wir aktuell erhebliche Mehrwerte für eine solide und sichere AWS-Infrastruktur nutzen, waren noch gar nicht vorhanden oder erst in der Konzeption.
Aber schon damals gab es etwas, was es heute immer noch gibt – den Bedarf nach einer sicheren, stabilen und skalierbaren AWS-Infrastruktur, die die Anforderungen moderner Unternehmen bezüglich Compliance und Governance unterstützt.
Die Entwicklungen im Detail
2012
In der Anfangszeit gab es lediglich einen AWS-Account pro Kunde mit deutlich weniger zentralen Services. Für die hohen Anforderungen der Unternehmen mussten andere Wege gefunden werden, um Mandantenfähigkeit, Abrechnungsfähigkeit und verschiedenste Sicherheitsschwellen zu konzeptionieren und einzubauen.
Wir trennten die Workloads stark anhand von VPCs (Virtual Private Clouds) und IAM-Berechtigungen (Identity and Access Management). Der Aufbau erfolgte wo möglich durch Skripte, war jedoch sehr fragmentiert und basierte auf externen Orchestrierungstools.
2015
Eine große Innovation war damals die AWS-Multi-Account-Struktur. Es war nun möglich, multiple AWS-Accounts als großes Konstrukt – als „Organisation“ – zusammenzufassen und zentral zu binden. Der Oberbegriff dieser Organisation war „AWS Billing Account“, der dem Namen nach eher für die Abrechnungsthemen verwendet wurde. Die Funktion der „Organisation“ war zwar vorhanden, aber nicht sehr oft in Verwendung, da das Konzept der multiplen AWS-Accounts wenig genutzt wurde.
In diesem Zeitraum wurde der Begriff „AWS Landing Zone“ das erste Mal geprägt und von verschiedenen Unternehmen unterschiedlich verwendet. Jeder verstand etwas anderes darunter und die individuellen Ausprägungen haben viel Wildwuchs entstehen lassen. Auch hier gelang es, einen gewissen Grad an Automatisierung zu erreichen, jedoch mussten anfänglich viele Schritte manuell durchgeführt werden. Eine durchgehende Automatisierung in der Deployment-Phase war nicht möglich und häufig immer noch stark dezentral orchestriert.
2018
Die automatisierte Bereitstellung von AWS-Accounts hatte ein hohes Niveau erreicht und immer weniger Aufgaben erforderten manuelle Eingriffe. Die umfassenden Security-Implementierungen wurden in Code Repositories gesammelt und auf unterschiedliche Kundenanforderungen gemappt und implementiert.
Jedoch erfolgte die Bereitstellung der AWS Landing Zone, der Begriff war nun weit verbreitet, in Form von sehr individuellen Skripten, die den unterschiedlichen Anforderungen unserer Kunden entsprechend adaptiert und angepasst werden mussten.
Der Begriff AWS Landing Zone war jetzt ein von uns verwendetes Synonym für die Sicherstellung der Governance in der technischen AWS-Infrastruktur. Die regulatorischen Anforderungen aus den Abteilungen Datenschutz, IT-Security und Recht konnten umgesetzt werden.
2019
Durch die enge Partnerschaft mit AWS ProServe erhielten wir Zugriff auf die Skriptsammlung „AWS Landing Zone Solutions“, um eine nahezu voll automatisierte AWS Landing Zone bereitstellen zu können. Sie ist unserer eigens entwickelten Skriptsammlung ähnlich. In diesem Zuge beschlossen wir, uns an die Hersteller-Skripte für unsere Kunden zu orientieren und ausschließlich die AWS Landing Zone Solutions zu verwenden.
Um den individuellen Kundenanforderungen gerecht zu werden, wurden diese Skripte durch Code-Updates zunehmend erweitert und individualisiert. Die Zeit bis zur erfolgreichen Nutzung reduzierte sich auf wenige Stunden bis Tage, was einen großen Fortschritt und Mehrwert bedeutete.
2022 – bis jetzt
Der AWS Control Tower als AWS-Service für die nahezu komplett automatisierte Bereitstellung einer AWS Landing Zone ist nun der Service der Wahl.
Nachdem der Control Tower 2021 in der AWS-Region Frankfurt bereitgestellt wurde, war es möglich auch den hoch regulierten and anspruchsvollen Kunden den AWS Control Tower bereit zu stellen, da häufig die Vorgabe nach Services aus einer deutschen Region vorhandenen waren. Bis zu diesem Zeitpunkt konnten wir schon viele Erfahrungen mit der Bereitstellung in USA sammeln, wovon unsere Kunden dann profitieren konnten. Und in der Zeit bis dato wurde der AWS-Service hinsichtlich Umfang, Stabilität und weiteren Features deutlich erweitert.
Control Tower aus dem Daily Business nicht mehr wegzudenken
Aktuell stellen wir nahezu bei allen Kunden den AWS Control Tower als technische Umsetzung des Konzeptes der AWS Landing Zone bereit. Neben dem Enabling der internen Stakeholder und der Einbindung von Security- und Governance-Verantwortlichen erfolgt der Aufbau nach definierten Parametern und individuellen Kundenwünschen. Die Erweiterungen sind nun nahezu komplett geskriptet auf die unterschiedlichen Kundenbranchen angepasst (stark regulierte Kunden, Mittelstand, ISVs etc.). Der größte Aufwand besteht darin, die internen technischen Expert*innen des Kunden zu befähigen und Wissen aufzubauen.
Wir sind einen langen Weg gegangen, um hier mit einem Managed Service von AWS eine umfangreiche AWS Landing Zone in Form des AWS Control Tower bereitzustellen. Jedoch ermöglichte uns dieser Weg, genau die Expertise zu erlangen, um die AWS Service Delivery Control Tower zu erhalten. Für Skaylink war das nochmals ein wichtiger Schritt zum Ausbau unserer technologischen Kompetenzen. Unsere Kunden profitieren von optimierten Implementierungen des AWS Control Tower. Wir danken unseren technischen Expert*innen, die uns massiv unterstützt haben und mit denen wir den Weg gemeinsam gegangen sind.
AWS Control Tower Service Delivery Partner – Was bedeutet das für unsere Kunden?
Es zeigt bestehenden und potenziellen Kunden, dass Skaylink in diesem Bereich Expertise aufgebaut und nachgewiesen hat und sich zusätzlich an die AWS-Vorgaben und-Empfehlungen hält. Individuell geskriptete Lösungen werden perspektivisch keine Lösung mehr sein, da sie die Sicherstellung der Governance in Frage stellen können.
Gerne beraten wir Sie zu Ihrer individuellen Landing Zone inklusive Umsetzung mit dem AWS Control Tower.