AWS Landing Zone

Die AWS Landing Zone – Sicher und effizient in die Cloud

Datensicherheit und Netzwerkdesign, Identitäts- und Zugriffsmanagement sind nur einige der Themen, die auf dem Weg in die Public Cloud zu berücksichtigen sind. Häufig müssen unterschiedliche Verantwortliche die Anforderungen zunächst neu erarbeiten. Diese Fülle an zeitintensiven und komplexen Aufgaben lässt viele Unternehmen zögern, den Einstieg in die Cloud zu wagen.
Für eine schnelle, sichere und skalierbare Cloud-Umgebung bietet sich die AWS Landing Zone an: Sie bietet eine verlässliche Grundlage, um die Anforderungen seitens Governance, Compliance und IT-Security einzuhalten.

Was ist die AWS Landing Zone?

Die AWS Landing Zone bildet die Basis für die Workloads, die in der Cloud abgebildet werden sollen. Sie ist das Fundament, das die Einhaltung der geltenden Standards für Governance, Compliance und Security in der AWS-Umgebung gewährleistet. So können Projekte Shared Services wie Billing, Logging, Compliance Checks oder Netzwerkanbindungen automatisiert nutzen.

Am Anfang steht die Strategie

Vor dem Einstieg in die Cloud sollten Unternehmen Ihre Cloud-Strategie definieren. Diese Strategie muss allen Projektbeteiligten vertraut sein – im Idealfall haben sie sie gemeinsam entwickelt.
Deshalb steht Strategie ganz am Anfang des bewährten Cloud-Baselining-Ansatzes der direkt gruppe. In einer Reihe von Workshops werden neben Strategie alle weiteren Kernthemen wie Security, Compliance, Betrieb und Technologie erarbeitet. Ergebnisse dieser Workshops sind ein grundlegendes gegenseitiges Verständnis für die Bedarfe der verschiedenen Stakeholder, ein gemeinsam definiertes Zielbild und eine Roadmap mit einer belastbaren Zeit- und Budgetplanung.

Aus diesem Ansatz heraus bietet sich die AWS Landing Zone als Fundament für den automatisierten Aufbau einer Multi-Account-Struktur an. In dieser Struktur werden die wichtigsten AWS Dienste, Konten und Sicherheitsgrundlagen nach Best Practices eingerichtet. So entsteht eine Umgebung, die den Anforderungen einer professionellen Nutzung gerecht wird.

Die AWS Landing Zone bei der direkt gruppe

Die Redensart „Der Schuster trägt die schlechtesten Schuhe“ trifft auf die direkt gruppe nicht zu. Seit 2012 unterstützen wir Unternehmen aus hochregulierten Branchen mit einem anforderungsbasierten Design der AWS-Architektur. Und auch für die IT-Architektur der direkt gruppe setzen wir auf die AWS Landing Zone.

Naturgemäß entwickelt sich eine Umgebung mit der Verfügbarkeit neuer Services und unter neuen oder veränderten Anforderungen kontinuierlich weiter. So kam es Anfang November 2020 zu einer signifikanten Umgestaltung unserer eigenen Implementierung. Wir haben eine sehr spannende Lösung für hoch regulierte Unternehmen umgesetzt. Aus unserer Pilotphase mit dieser neuen, komplett aktualisierten AWS Landing Zone können wir erhebliche Mehrwerte identifizieren – sowohl für uns als direkt gruppe als auch für unsere Kunden.


Sehen Sie sich zu diesem Thema den Vortrag unserer AWS-Experten Lennart Tunze und Leonard Riemann vom German AWS Community Day 2020 an: „Von Dev zu Prod auf Knopfdruck: Voll automatisiertes Staging einer Cloud Landing Zone mit AWS Code Pipeline.“


Mit der AWS Landing Zone Potenziale voll ausschöpfen

Die Automatisierung vereinfacht den Aufbau der Landing Zone und ermöglicht eine schnelle Betriebsbereitschaft. Bei der ersten Einrichtung wird wertvolle Zeit gespart, die anschließend genutzt werden kann, um individuelle Anforderungen innerhalb der Organisation zu erkennen und zu erfüllen.
Durch das Ausrollen der AWS Landing Zone bei der direkt gruppe wurde eine Account Vending Machine (AVM) bereitgestellt. Diese ermöglicht, in kürzester Zeit vorkonfigurierte AWS Accounts zu verteilen, um den Mitarbeitenden das breite Spektrum und die Möglichkeiten von AWS zur Verfügung zu stellen.

Vier AWS Accounts

Die Landing Zone der direkt gruppe besteht aus vier AWS Accounts: AWS Organization, Shared-Services, Log-Archive und Security. Die charakteristische Struktur der Konten erlaubt das thematische Separieren von Verwaltungsaufgaben. So entsteht ein besserer Überblick und die Möglichkeit, sicherheitskritische Aufgaben zu isolieren.
Im Log-Archive Account werden AWS CloudTrail, AWS Config, VPC Flow Log und S3 Access Log Protokolle aus allen Accounts zentral gespeichert. Somit sind alle Aktivitäten innerhalb der Accounts nachvollziehbar. Aggregierte, für einzelne Rollen definierte Sicherheitsbenachrichtigungen können abonniert werden und auf kritische Aktionen hinweisen. Zusätzlich sind in einem Security Hub alle sicherheitsrelevanten Ereignisse einsehbar. Das Dashboard kann nach Belieben um weitere individuelle Einträge ergänzt werden. So haben wir zum Beispiel sicherheitskritische Anwendungen immer im Blick.
Durch den Security Account der AWS Landing Zone werden automatisiert Benutzerrollen erstellt. Diese sind so konfiguriert, dass sie zwischen Administrator- und Auditzugriff unterscheiden. Mit diesen vordefinierten Rollen können ohne weiteren Aufwand Security und Compliance Checks durchgeführt werden.

Implementierung per IaC

Auch die Implementierung der AWS Landing Zone bietet einen großen Vorteil, sie erfolgt per „Infrastructure as code“ (IaC). Dies bewirkt, dass wir individuell und effizient auf Anforderungen reagieren können, indem wir Konfigurationsänderungen über eine Code Pipeline einspeisen. „Infrastructure as Code“ erlaubt uns außerdem die Reproduktion der Landing Zone mitsamt unseren individuellen Anpassungen zu jedem beliebigen Zeitpunkt.

Vorteil einer eigenen AWS Landing Zone

Der größte Mehrwert für uns – und damit auch für unsere Kunden – ist, dass wir durch die Nutzung der AWS Landing Zone innerhalb der direkt gruppe stetig wertvolle Erfahrungen sammeln. So können wir auch die neusten Methoden bei unseren Kunden umsetzen, weil wir sie bereits in unserer eigenen Umgebung erprobt und validiert haben.


Nehmen Sie Kontakt auf, für ein unverbindliches Gespräch mit unseren AWS-Experten!


Diesen Artikel teilen: