AWS Landing Zone

Was ist eine AWS Landing Zone?

Eine Landing Zone von AWS ist eine skalierbare, sichere Amazon-Web-Services-Umgebung, die es Benutzern und Organisationen von AWS ermöglicht, Arbeitslasten und Anwendungen in der AWS-Cloud zu starten und bereitzustellen. Das Ziel einer Landing Zone besteht darin, AWS-Benutzern einen Ausgangspunkt für die Bereitstellung von Anwendungen oder Arbeitslasten zu bieten. Sie bietet auch eine nützliche Grundlage für die Einrichtung von AWS-Konten, Identity and Access Management (IAM), Sicherheitsrichtlinien und anderen Aspekten einer Architektur mit mehreren Konten – alles gemäß den bewährten Verfahren von AWS.

Die grundlegenden Elemente einer Landing Zone konzentrieren sich auf die Überwachung mehrere Konten, die zentralisierte Protokollierung, die Governance, das Netzwerkdesign, IAM, die Automatisierung mithilfe von Infrastructure as Code (IaC), die Erstellung von Sicherheitsgrundlagen und die Erweiterung von AWS-Umgebungen durch ein AVM-Add-on (Account Vending Machine).

AWS Landing Zones und Umgebungen mit mehreren Konten

AWS empfiehlt die Erstellung mehrere AWS-Konten, da mehrere Konten die höchste Stufe der Ressourcen- und Sicherheitsisolation bieten. Eine solche Isolation ist besonders wichtig für Unternehmen, die eine administrative Isolation zwischen Arbeitslasten benötigen, die Sichtbarkeit und Auffindbarkeit von Arbeitslasten minimieren möchten, die den Umfang der Auswirkungen minimieren müssen oder die Wiederherstellungs- und/oder Prüfungsdaten isolieren möchten. Durch die Erstellung mehrere Konten können Unternehmen auch unterschiedliche Sicherheitsprofile für verschiedene Anwendungen einrichten, potenzielle Sicherheitsrisiken in einem Konto eindämmen, ohne andere zu beeinträchtigen, den Zugriff auf Daten kontrollieren, die Offenlegung privater Daten minimieren, Konflikte zwischen Teams oder Geschäftseinheiten mit unterschiedlichen Ressourcenanforderungen verhindern sowie die Rechnungsstellung vereinfachen und die Zuweisung begrenzen.

Die Einrichtung einer Umgebung mit mehreren Konten kann jedoch ein komplexes und zeitaufwändiges Unterfangen sein und erfordert möglicherweise ein Expertenwissen über AWS-Dienste – ein Problem, das mit einer Landing Zone gemildert werden kann. AWS Landing Zones sind ideal für Unternehmen, die eine Umgebung mit mehreren Konten einrichten möchten, aber möglicherweise nicht über die Zeit oder die Fähigkeiten verfügen, eine Konfiguration mehrere Konten und Dienste zu implementieren. Landing Zones helfen bei der Automatisierung der Einrichtung einer sicheren und skalierbaren AWS-Umgebung mit mehreren Konten. Durch die Unterstützung bei der Erstellung von Kernkonten und -ressourcen hilft eine Landing Zone Organisationen außerdem bei der Implementierung einer anfänglichen Sicherheitsbasis und letztlich bei der Ausführung sicherer Arbeitslasten.

AWS Landing Zones und Account Vending Machine

Landing Zones verwenden das AVM-Produkt von AWS für die Bereitstellung und automatische Konfiguration neuer Konten. AVMs, auch als Account Factory bekannt, sind wichtige Bausteine für die Einrichtung von AWS Landing Zones. Sie bestehen aus drei Schichten: einer öffentlichen Schnittstelle für Benutzer, einer Engine, die die Interaktion mit AWS steuert, und einer Integrationsschicht zwischen den ersten beiden Schichten. AVMs verwenden auch Single Sign-on (SSO), um den Kontozugriff zu verwalten.

Mit Account Factory können Benutzer eine Kontogrundlinie ein einer AWS Control Tower Landing Zone implementieren. Konten, die über Account Factory erstellt und bereitgestellt werden, können aktualisiert, deaktiviert und sogar geschlossen werden. Sie können auch recycelt oder umgewidmet werden, indem die Benutzerparameter aktualisiert werden.

Wie man eine AWS Landing Zone erstellt

Unternehmen können in AWS zwei Arten von Landing Zones erstellen: eine servicebasierte und eine benutzerdefinierte Landing Zone.

Eine servicebasierte Landing Zone kann mit AWS Control Tower erstellt werden, einem verwalteten Service, der die schnelle Einrichtung und sichere Steuerung einer AWS-Umgebung mit mehreren Konten in nur wenigen Minuten ermöglicht. AWS Control Tower enthält zahlreiche vorkonfigurierte Steuerelemente, um bewährte Verfahren, Standards und gesetzliche Anforderungen durchzusetzen und mehrere AWS-Services zu koordinieren. So wird beispielsweise die Umgebung mit mehreren Konten mithilfe von AWS Organisations implementiert, Sicherheitsprüfungen über mehrere Konten hinweg werden mit AWS IAM und AWS IAM Identity Center durchgeführt und die Protokollierung erfolgt zentral über AWS CloudTrail.

Darüber hinaus wendet AWS Control Tower von AWS bereitgestellte Sicherheitsvorkehrungen – hochrangige präventive und detektive Regeln – und Compliance-Richtlinien an, um eine schnelle Einrichtung der Landing Zone zu gewährleisten, ohne die Sicherheits- oder Compliance-Anforderungen der Organisation zu beeinträchtigen. Es bietet auch benutzerdefinierte Sicherheitsvorkehrungen und Entwürfe zur Anpassung der Landing Zone an die spezifischen Anforderungen der Organisation.

AWS empfiehlt neuen Benutzern, mit AWS Control Tower zu beginnen. Das liegt daran, dass der Aufbau einer benutzerdefinierten Landing Zone fortgeschrittenere AWS-Kenntnisse erfordert. Unabhängig von der Art der Landing Zone müssen alle Benutzer beim Aufbau der Landing Zone ihre eigene Netzwerk-, Zugriffsverwaltungs- und Sicherheitsstrategie festlegen.

Benutzerdefinierte AWS Landing Zones enthalten in der Regel benutzerdefinierte Komponenten, die von Grund auf neu erstellt werden und nicht von AWS, sondern von den Organisationen oder ihren Partnern verwaltet werden. Dieser Ansatz eignet sich nur für Unternehmen, die über das erforderliche Fachwissen verfügen, um die Basisumgebung zu implementieren und die Lösung nach der Bereitstellung zu betreiben und zu verwalten.

Landing Zone Accelerator auf AWS

Landing Zone Accelerator auf AWS ist ein umfassendes Produkt mit geringem Programmieraufwand zur automatischen Einrichtung, Verwaltung und Steuerung von Umgebungen mit mehreren Konten – in allen AWS-Regionen – mit stark regulierten oder sicheren Arbeitslasten und komplexen Compliance-Anforderungen. Es ermöglicht Benutzern auch die Bereitstellung, den Betrieb und die Steuerung einer zentral verwalteten Verschlüsselungsstrategie mithilfe des AWS Key Management Service (AWS KMS). Das Produkt umfasst zahlreiche grundlegende Funktionen, die mit den bewährten Verfahren von AWS und mehreren globalen Compliance-Rahmenwerken für die Bereitstellung geschäftskritischen Arbeitslasten in einer Umgebung mit mehreren Konten übereinstimmen.

AWS empfiehlt, das Tool mithilfe von AWS CloudFormation zu installieren und über die CloudFormation-Konsole auf zukünftige Versionen zu aktualisieren. Die obige CloudFormation-Vorlage stellt AWS CodePipeline bereit, dass Landing Zone Accelerator auf der AWS-Installations-Engine enthält.

Sicherheit der AWS Landing Zone

AWS Landing Zones bieten Self-Service-Sicherheitsrichtlinien durch die Einrichtung von Konten und Ressourcen. AWS Landing Zones bestehen zum Teil aus einem Sicherheitskonto, das standardmäßig sicherheitsorientierte Tools wie eine Kontobasislinie, kontoübergreifende Sicherheitsrollen, Amazon GuardDuty und Amazon Simple Notification Service (Sicherheitsbenachrichtigungen) enthält. Das Sicherheitskonto bietet das, was AWS als wesentliche Sicherheitsfunktionen für alle AWS-Konten in einer Organisation ansieht, zum Beispiel Sicherheitsmanagement, Protokollarchiv und Verzeichnisdienste.

Zu den Grundlagen des Sicherheitskontos gehören die folgenden:

• IAM-Richtlinien, in denen ein Benutzer einen Sicherheits-Admin und schreibgeschützte Richtlinien für Mitarbeiter einrichten kann
• IAM-Passwortrichtlinie, in der ein Benutzer die Passwortrichtlinie für die Komplexität festlegen kann
• AWS Config, das AWS-Ressourcenkonfigurationen an eine in AWS verfügbare Ressource von S3 Log Archive Bucket Storage weiterleiten kann
• AWS-CloudTrail-Aufrufe an einen Amazon S3 Log Archive Bucket
• AWS-Config-Regeln, die zur Definition von Regeln für die Bereitstellung, Konfiguration und Überwachung von AWS-Ressourcen, Multifaktor-Authentifizierung (MFA) und Verschlüsselung verwendet werden
• Benachrichtigungen, die einen Amazon-CloudWatch-Alarm oder -Ereignisse konfigurieren können, die Benachrichtigungen bei fehlgeschlagener Authentifizierung über die Anwendungsprogrammierschnittstelle (API), Root-Kontoanmeldungen oder Konsolenanmeldungen senden
• konfigurierbare Amazon-Virtual-Private-Cloud-Infrastruktur, mit der Landing Zones anfängliche Netzwerke für Konten konfigurieren können, das heißt sie können die Standard-VPC löschen, angeforderte AVM-Netzwerktypen bereitstellen und eine VPC für gemeinsam genutzte Dienste verwenden.

Das Sicherheitskonto umfasst auch Amazon GuardDuty, einen verwalteten Cloud-Sicherheitsüberwachungsservice, der zur Erkennung von Verhalten und Bedrohungen verwendet werden kann, die das Potenzial haben, AWS-Konten, -Ressourcen oder -Arbeitslasten zu gefährden. GuardDuty unterstützt eine kontinuierliche Überwachung und kann Angreiferaufklärung, gefährdete Ressourcen und Konten erkennen. Die Erkundung durch Angreifer bezieht sich auf Bedrohungen wie fehlgeschlagene Anmeldevorgänge, ungewöhnliche API-Aktivitäten und Port-Scans. Kompromittierte Ressourcen könnten sich auf Spitzen im Netzwerkverkehr beziehen, während sich kompromittierte Konten auf API-Aufrufe von seltsamen Orten oder Versuche, CloudTrail zu deaktivieren, beziehen können.

Mit diesen Sicherheitsvorkehrungen kann ein Unternehmen seine AWS-Umgebung mit größerem Vertrauen in die Sicherheit implementieren.

Die Sicherheit kann für ein Unternehmen bei der Implementierung einer AWS-Umgebung ein wichtiges Anliegen sein, aber es fehlt vielleicht an Personal, zentraler Governance oder Fähigkeiten, um die Sicherheit bei der Migration von Umgebungen zu gewährleisten. Auf seiner Website verweist AWS auf einen Anwendungsfall, in dem sich ein Unternehmen, Netenrich, Sorgen um die Datensicherheit bei Migrationen macht. Ein Kunde von Netenrich wollte eine bessere Kontrolle über seine AWS-Umgebung erlangen und gleichzeitig ein System durchsetzen, das mit gesetzlichen Rahmenbedingungen wie dem Health Insurance Portability and Accountability Act und den System and Organization Controls 1 konform ist, während gleichzeitig ein System von Prüfungen, Abgleichungen und Zugriffskontrollen aufrechterhalten wird. Netenrich hatte diese Bedenken und legte zudem großen Wert auf Transparenz und Sicherheit auf Kontoebene. Netenrich nutzte AWS Landing Zones, um das Ziel des Kunden zu erreichen, und implementierte mit dem Fokus auf Security Datensicherheit, Protokollierung, automatische Kontobereitstellung und IAM. Konfigurierte Richtlinien wurden mit den Active Directory Federation Services des Kunden und AWS SSO integriert.

Grundlegende Einrichtung der AWS Landing Zone

AWS empfiehlt, die Installation der Landing Zone von einem Experten durchführen zu lassen, da der Einrichtungsprozess kompliziert sein kann. Eine AWS-Landing-Zone-Installation wird über eine Einleitungsvorlage abgewickelt, mit der Benutzer spezifische und grundlegende Einstellungen in ihrer Landing-Zone-Einrichtung auswählen können.

Die Einleitungsvorlage schreibt in eine Konfigurationsvorlage in einem S3-Bucket, was die Erstellung von CodePipeline erleichtert. CodePipeline wird verwendet, um die an der Konfiguration vorgenommenen Änderungen auszuführen und die Änderungen auf die umgebende Infrastruktur anzuwenden.

Zu den grundlegenden Tenants im Einrichtungsprozess gehören der Master, die Sicherheit, die Protokollierung und die gemeinsamen Dienste. Der Master umfasst zentrale Funktionen und Tools wie CodePipeline, SSO und AVM, mit denen die Erstellung neuer AWS-Konten automatisiert wird. Die Sicherheit umfasst den AWS Config Aggregator und GuardDuty. Protokollierung ist der zentrale Ort für Protokolle, die beispielsweise von CloudTrail-Audits stammen können. Shared Services ist der Ort, an dem alle Konten auf Services in Landing Zones zugreifen können.

Als Netenrich mit der Bereitstellung von AWS Landing Zones begann, umfasste sein Sicherheitskonto den AWS Config Aggregator, GuardDuty und Alerts. Die Protokollierung von Netenrich konzentrierte sich auf das Hinzufügen von Amazon VPC Flow Logs. Gemeinsame Dienste konzentrieren sich auf die Implementierung einer gemeinsamen VPC für die Remote-Konnektivität zu verschiedenen Konten.

Benutzer, die sich für die Einrichtung von AWS Landing Zones entscheiden, sollten sich auch auf die Implementierung des Designs, das Festlegen von Service-Limits (falls erforderlich), das Erstellen und Sichern von Root-Benutzern, das Erstellen von Mitgliedskonten und die Bereitstellung des AWS Landing Zone Initialization AWS CloudFormation Stacks konzentrieren. Benutzer, die das Design in Betracht ziehen, sollten sich auf die Sicherung von Passwörtern, MFA-Tokens und Storage für den Stammbenutzer in jedem Konto konzentrieren. Das Design sollte sich auch auf die Organisation von Mitgliedskonten, die Implementierung von Servicekontrollrichtlinien und die Benennung von Stammbenutzer-E-Mail-Adressen für AWS-Konten konzentrieren. Mitgliedskonten können mit AVMs eingerichtet werden.

Standardmäßig wird eine bestimmte Anzahl von Konten für eine Organisation begrenzt. Um das Limit zu erhöhen, können Benutzer ein AWS-Support-Ticket ausfüllen.

Benutzer sollten sich auch auf die Einrichtung und Sicherung von Root-Benutzern konzentrieren. Erstellen Sie E-Mail-Adressen für Root-Benutzer mit einem Namensschema, das die Organisation von Root-Benutzerkonten erleichtert. AWS generiert ein zufälliges Passwort für einen Root-Benutzer, wenn ein Mitgliedskonto erstellt wird. Das Passwort kann geändert werden, indem Sie den Kontowiederherstellungsprozess für den Root-Benutzer durchlaufen.

Benutzer sollten auch den AWS Landing Zone Initialization AWS CloudFormation Stack bereitstellen. Wie lange das dauert, kann variieren. In der Regel dauert die AWS Landing Zone Initialization AWS CloudFormation Stack ein paar Minuten und die CodePipeline ein paar Stunden bis zum Abschluss.

Vorteile von AWS Landing Zones

AWS Landing Zones bieten zahlreiche Vorteile:

• Unterstützung der Benutzerimplementierung mehrerer Hauptkonten in einem Unternehmen und anschließende Verwaltung aller Konten über ein einziges Verwaltungskonto
• Automatisierung der Einrichtung einer AWS-Umgebung und der Bereitstellung von Konten
• Schaffung einer nützlichen Basislinie für die Sicherheit
• Bereitstellung von automatisierten Leitplanken, die die Kontoverwaltung und Governance vereinfachen, selbst in Umgebungen mit mehreren Konten
• Unterstützung der Benutzer bei der einfachen Anwendung und Durchsetzung von Sicherheits- und Compliance-Kontrollen für bestehende und neue Konten
• Vereinheitlichung der Rechnungsstellung über alle Organisationsgruppen hinweg, wenn sie mit AWS Control Tower implementiert wird
• Arbeiten in einer DevOps-Umgebung
• Integration mit GitLab
• Verbesserung der Sicherheit durch Überwachung, Warnungen, Protokollierung, IAM, Servicekontrollrichtlinien und MFA
• automatisches Aktivieren von Regeln und Dashboards als Governance-Optionen
• Sichtbarkeit der Ressourcennutzung
• Erstellung von neuen Konten von AVMs durch Benutzer
• Verwendung von SSO zur Verwaltung des Zugriffs auf Benutzerkonten

Bedenken bezüglich AWS Landing Zones

Obwohl AWS Landing Zones bei der Einrichtung einer AWS-Umgebung nützlich sein können, sollten sich die Benutzer dennoch einiger Bedenken bewusst sein, die möglicherweise beachtet werden müssen:

• Benutzerdefinierte Landing Zones erfordern in der Regel einen AWS-Experten für die Einrichtung. Die zu erwartende Komplexität erklärt, warum AWS die Bereitstellung von Landing Zones über seinen verwalteten AWS-Control-Tower-Service empfiehlt.
• Je mehr Services in der Landing Zone verwendet werden, desto komplexer kann das System sein, was die Nutzung, Verwaltung und Wartung für die Benutzer potenziell schwierig macht.

Angesichts der Komplexität der Einrichtung von Landing Zones kann auch das Troubleshooting kompliziert sein:

• Eine Landing Zone ist möglicherweise nicht mit bestehenden Master-Konten kompatibel, so dass ein neues Master-Konto verwendet werden muss.
• Der mit der Einrichtung einer Landing Zone verbundene Aufwand kann für kleinere Unternehmen unüberschaubar sein.