Automatisierte und sichere Cloud Umgebungen mit AWS

Autoren: Christian Getzmann & Daniel Kreienbühl

In der heutigen dynamischen Geschäftswelt ist die digitale Transformation für Organisationen von entscheidender Bedeutung, um wettbewerbsfähig zu bleiben. Dies gilt auch für Behörden, die vor der anspruchsvollen Aufgabe stehen, effiziente und sichere Cloud-Infrastrukturen zu etablieren, die sämtliche Anforderungen an Governance und Compliance erfüllen müssen. Im folgenden Beitrag schildern wir, wie wie für einen unserer Kunden eine automatisierte und sichere Cloud-Umgebung mit AWS implementierten.

Die Herausforderung

Unsere jüngste Zusammenarbeit führte uns zu einem öffentlichen Verwaltungsbereich, der vor der Herausforderung stand, seine IT-Infrastruktur zu modernisieren und den Weg in die Cloud einzuschlagen. Die bisherigen Abläufe umfassten nämlich häufig manuelle Schritte, die die Projektdurchführung verlangsamten und Innovationen behinderten. Bei dem Projekt wurden folgende Ziele gesteckt:

  • Steigerung von Agilität und Geschwindigkeit: Beschleunigung der Bereitstellung von Anwendungen und Diensten, um schnell auf Marktanforderungen reagieren zu können
  • Gewährleistung von Sicherheit und Compliance: Implementierung von robusten Sicherheits- und Compliance-Massnahmen in der Public Cloud, um Daten und Anwendungen zu schützen.

  • Innovationsförderung: Die Entwicklerteams sollen in die Lage versetzt werden, kontinuierlich innovative Lösungen zu erforschen, zu entwickeln und bereitzustellen, um so Wettbewerbsvorteile und Mehrwert für das Unternehmen zu schaffen.

Bild der Architekturlösung
Durch die nahtlose Integration eines Self-Service-Portals und die Verwendung von Infrastructure as Code mit Terraform können Projekte AWS Accounts eigenständig und effizient bereitstellen. Die Cloud Foundation gewährleistet kontinuierliche Compliance-Prüfungen für die Umgebung.

Sicherheit im Fokus – Das Zünglein an der Waage

In der öffentlichen Verwaltungseinheit, in der Sicherheit eine Schlüsselrolle spielt, war es wichtig, eine ausgewogene Balance zwischen Compliance- und Governance-Anforderungen zu finden, um nachhaltige IT-Sicherheit zu gewährleisten. Die Applikationslandschaft ist sehr divers, und einzelne Projekte haben daher verschiedene Anforderungen an die Sicherheit. Aufgrund dieser Vielfalt ergaben sich zwei Hauptziele für die Account Security Baseline der bereitgestellten AWS-Umgebung.

  • Isolation: Unsere Sicherheitsarchitektur zielt darauf ab, im Falle eines Incidents den möglichen Schaden begrenzt zu halten. Ein Vorfall eines einzelnen Workloads soll sich so wenig wie möglich auf andere Workloads auswirken. Dies bedeutet, dass unsere Sicherheitsarchitektur darauf abzielt, sicherzustellen, dass Probleme oder Angriffe in einem Bereich begrenzt sind und nicht unkontrolliert auf andere Teile der Umgebung übergreifen können.
  • Sichtbarkeit: Projekte werden nur wenig eingeschränkt bei der Nutzung der Cloud-Dienste. Umso wichtiger ist es, den Projekt-Teams Tools und Hilfestellungen zur sicheren Nutzung der Cloud zur Verfügung zu stellen. Dies ermöglicht es den Teams, die Vorteile der Cloud-Dienste voll auszuschöpfen, ohne die Sicherheitsanforderungen zu vernachlässigen. Ein umfassendes Überwachungssystem wurde implementiert, um eine transparente Sichtbarkeit in die Cloud-Infrastruktur zu gewährleisten, damit die Projekt-Teams ihre Anwendungen und Daten sicher betreiben können.

So haben wir die AWS Landing Zone optimiert

Die Landing Zone konzentriert sich auf mehrere Schlüsselaspekte, um die Sicherheit und den reibungslosen Betrieb sicherzustellen. Zunächst spielt das Cloud Security Posture Management eine zentrale Rolle. Durch den Einsatz von AWS Security Hub haben DevOps-Teams jederzeit einen umfassenden Überblick über die Sicherheit ihrer AWS-Ressourcen. Dieses Tool automatisiert die Prüfung von Sicherheitskontrollen und benachrichtigt die Verantwortlichen automatisch, falls Verstösse gegen diese Kontrollen auftreten. Ein einheitliches Sicherheits-Dashboard bietet sowohl den Projekten als auch dem zentralen Sicherheits- und Plattform-Team eine umfassende Sicht auf die AWS Security Posture der gesamten Organisation. Dabei werden verschiedene Sicherheitsstandards berücksichtigt, darunter die AWS Foundational Security Best Practices und das CIS AWS Foundations Benchmark.

Ein weiterer wichtiger Aspekt ist die Threat Detection. Hier kommt AWS GuardDuty Service zum Einsatz, ein Tool, dass Anomalien erkennt und auf potenzielle Angriffe oder Ressourcenmanipulationen hinweist.

In Bezug auf die Identitäts- und Zugriffsverwaltung (IAM) werden Zugriffe auf AWS-Konten durch den Identity Provider der Organisation authentifiziert. Die Integration mit dem zentralen Identitätsmanagement gewährleistet eine effektive und sichere Verwaltung von Berechtigungen.

Zusammenfassend ermöglichen diese strategischen Schwerpunkte der Landing Zone eine umfassende Sicherheitsüberwachung, Bedrohungserkennung und eine effiziente Verwaltung von Identitäten und Zugriffen in der AWS-Umgebung der Organisation, um eine optimale Sicherheit und Kontrolle zu gewährleisten.

Unser Fazit

Die Implementierung der AWS-Cloud-Foundation durch unser Team bei ipt war ein voller Erfolg. Dank der Einführung von Self-Service-Funktionen und der Automatisierung mithilfe von Terraform konnten wir Projekte beschleunigen und Innovationen fördern. Die Integration der umfassenden Sicherheitsdienste von AWS gewährleistet einen kontinuierlichen und langfristig sicheren Betrieb unserer Cloud-Infrastruktur.

Partner

AWS Advanced Partner Logo 01-2024.jpg AWS Technologie-Partner

Folgendes wurde aus technologischer Sicht erreicht:

  • > 100 AWS Accounts automatisch provisioniert
  • 7 Minuten für das vollständige Setup eines neuen AWS Accounts
  • > 200 kontinuierlich geprüfte Security Controls zur Sicherstellung der Governance und Compliance 

Folgende Produkte von Amazon Web Services (AWS) kamen zum Einsatz:

  • AWS GuardDuty
  • AWS Security Hub
  • AWS IAM Identity Center