AWS Landingzone
für Anbieter für Personalverwaltungssoftware

DER AUFTRAG

Der Kunde wünschte sich die Moderation zwischen mehreren Fachbereichen, wie der zentralen Governance und IT Security, die an dem gemeinsamen Ziel, der Freigabe neuer Cloud-Projekte, arbeiteten. Die direkt gruppe wurde hinzugezogen, um den Kunden mit ihren bisherigen Erfahrungen zu unterstützen.

Die bestehende Cloud-Umgebung sollte angepasst werden und gemeinsam festgelegten Anforderungen, wie dem des AWS Well-Architected Frameworks, genügen.

Gleichzeitig sollte das Cloud Team befähigt werden, nach dem Projekt die Weiterentwicklung und den Betrieb der AWS Landing Zone zu übernehmen.

Umfassende, stark auf den Kunden angepasste Compliance Checks mussten entwickelt und implementiert werden. Diese Checks wurden bei Verstößen visualisiert und entsprechende Reaktionen automatisiert durchgeführt.

Ein maßgeschneidertes Rollenkonzept und Accessmanagement sollte dafür sorgen, dass sich jeder User in der AWS-Umgebung sicher mit seinen Active-Directory-Zugangsdaten und Multi Factor Authentication anmelden kann.

Logo Amazon Web Services

ÜBER DAS UNTERNEHMEN 

Der Kunde ist ein europaweit agierender Softwareanbeiter für Personalverwaltungssoftware und andere digitale Produkte und Lösungen im Bildungs- und Verwaltungsbereich. Das Unternehmen beschäftigt 2000 Mitarbeitende weltweit.

4

Monate
Projektdauer

6

Mitarbeiter
kundenseitig

5

Mitarbeiter
direkt gruppe

in 3

Reviews durch
AWS ProServ validiert

Teilung der Betriebsverantwortung auf mehrere Teams

4

Kundenarchitekten zu AWS Professionals

DIE HERAUSFORDERUNG

Unterschiedliche Fachbereiche beim Kunden – wie z. B. die zentrale IT Governance, IT Security und Cloud-Experten – mussten sich abstimmen, um gemeinsam das Thema Cloud voranzutreiben.

Zudem mussten die Cloud-Experten beim Kunden geschult und fortgebildet werden. Sie sollten so das notwendige Wissen aufbauen, um auf dem Landing Zone Konzept eine Well-Architected-Cloud-Architektur gemäß den Standards von AWS aufzubauen.

Während dieser Umsetzung sollten Änderungen und Aufbauten via „Infrastructure as Code“ geschehen, um die Umgebung reproduzierbar und skalierbar aufzubauen. Dazu mussten unter anderem die richtige Skript-Sprache und das Repository evaluiert und ausgewählt werden.

Notwendige und vom CISO geforderte Checkes mussten ausgewählt, konzipiert, abgestimmt und skalierbar implementiert werden.

Die Anbindung an das On-premises-Active-Directory und einen RADIUS Service beim Kunden mussten ausfallsicher aufgebaut werden, um einen einfachen und sicheren Log-in zu jeder Zeit zu ermöglichen.

UNSER LÖSUNGSVORSCHLAG

  • Kooperatives sowie iteratives Gestalten und Implementieren der Landing-Zone-Konzepte, einschließlich zentralem Logging, Security Monitoring, Access Management und IT Governance
  • Einbinden von IT Governance und Security Stakeholdern, um die Landing Zone an die internen Anforderungen anzugleichen

In zahlreichen Workshops mit den Technikern wurde das Wissen im Projekt direkt vermittelt und das Cloud-Team befähigt, die Landing Zone aufzubauen, weiter zu entwickeln und zu betreiben.

Die Auswahl der für den Kunden passenden Skriptsprache fand mit dem Kunden und verschiedenen Stakeholder statt. Die Wahl fiel auf den AWS nativ integrierten Service AWS CloudFormation. AWS CodeCommit wurde als Repository ausgewählt. Die native Integration war ein Kernaspekt der Auswahl, um schnell in die Umsetzung mit den notwendigen AWS Services zu kommen.

Die zuvor definierten und konzipierten Compliance Checks, die mit den regulatorischen Rollen des Kunden abgestimmt wurden, wurden in speziell angepassten Lambda-Funktionen durchgeführt. Für die Visualisierung wurden mehrere Lösungskonzepte erarbeitet. Man entschied sich für einen ELK Stack (mit AWS Elastic Search) mit einem Kibana Dashboard. Diese Auswahl wurde mit dem Kunden erarbeitet und den relevanten Stakeholdern transparent dargestellt.

Für die Authentifizierung wurde AWS SSO mit dem AWS AD Connector an das bestehende Active Directory angebunden. Um Anforderungen bezüglich der Multi-Faktor-Authentifizierung zu erfüllen, wurde on Premises ein ausfallsicherer Remote Authentication Dial-in User Service aufgebaut. Damit wurden zugleich die hohen Sicherheitsanforderungen erfüllt.

ERZIELTE ERFOLGE DES PROJEKTS

Die AWS Landing Zone wurde in intensiver Kooperation skalierbar implementiert mit einem zentralen Identity und Access Management, Logging, Compliance Monitoring mit einem Kibana Dashboard.

Ein zentrales Ziel und damit ein nachweislicher Erfolg des Projektes bestand darin, die klassisch getrennten Verantwortungsbereiche in einen inhaltlichen Austausch zu bringen. Die aktive Zusammenarbeit an einem gemeinsamen Ziel führte auch dank der gemeinsamen Erfolge zu einem nachhaltigen „Wir-Gefühl“.

Neben der Umsetzung und dem fachlichen Austausch entstand eine umfassende Dokumentation der Landing Zone. Die Dokumentation erfolgte mit dem Anspruch, die komplexe AWS-Umgebung komplett zu beschreiben. Sie wurde während eines „Well-Architected“-Audits seitens AWS lobend erwähnt.

In kurzer Zeit hat das Projektteam seine Anforderungen formuliert und ein personalisiertes Dashboard konzipiert und implementiert. Weitere Anforderungen und technische Lösungswege wurden darüber hinaus in Workshops erarbeitet und für die folgende Implementierung in die Feinplanung übergeben. Außerdem wurde der Kunde befähigt, weitere Dashboards und Inhalte für unterschiedliche Anforderungsgruppen umzusetzen.

Für die Benutzer wurde eine einfache Möglichkeit etabliert, sich mit den gängigen Active-Directory-Zugangsdaten anzumelden. Durch einen angebundenen RADIUS Service wurden alle Security-relevanten Anforderungen erfüllt. Ein Selfserviceportal für die Benutzer erleichtert die Einrichtung der MFA-Geräte und wurde schnell in das tägliche Arbeiten übernommen.

LESSONS LEARNED

Die Umsetzung kann leicht vom Konzept abweichen. Dementsprechend muss die Dokumentation in regelmäßigen Intervallen mit der Implementierung abgeglichen werden. Noch besser ist es jedoch, eine zentrale Datenbasis vorzuhalten. So sind Konzept- und Umsetzungs-Teams in durchgehender Abstimmung. Auch die Mitarbeitenden, die zukünftig die Betriebsverantwortung tragen, sind so direkt mit in die Erstellung der Konzepte und Implementierung eingebunden.

Eine umfassende Dokumentation des aktuellen Zustands der AWS-Umgebung begründete die Basis für das Vertrauen zwischen den unterschiedlichen Bereichen, um gemeinsam die Verantwortung für die AWS Landing Zone zu tragen. Dies ermöglichte es zugleich,  im Austausch mit weiteren Fachexperten wichtige Entscheidungen zu treffen.

Kommentare der Projektleiter

Consultant Lennart Tunze

Architekt – Lennart Tunze

„Für mich ist es eine Freude zu sehen, wie die technische Umsetzung der gemeinsam speziell angepassten AWS Landing Zone alle Bedarfe und Anforderungen des Kunden erfüllt. Ich mag die Herausforderung, dass die AWS Landing Zone nicht rein auf einer technischen Lösung basiert, sondern der Einbeziehung unterschiedlicher Stakeholder bedarf.“

Security Consultant – Nickolas Webb

„Anforderungen an Informationssicherheit sowie IT Governance und deren technische Umsetzung sind keine triviale Herausforderung. Erstaunlich finde ich, dass durch den Einsatz der AWS Landing Zone fachliche Stakeholder und Cloud-Experten in einen produktiven Austausch kommen können. Dieser Austausch bringt die Fachbereiche näher zusammen und verbessert dabei das Sicherheitsniveau, ohne an Geschwindigkeit zu verlieren.“

Security Consultant Nicholas Webb

Oder direkt mit unseren Cloud-Experten sprechen

2 + 0 = ?