AWS Landingzone
für Anbieter für Personalverwaltungssoftware

DER AUFTRAG

Der Kunde wünschte sich die Moderation zwischen mehreren Fachbereichen, wie die zentrale Governance und IT Security. Diese müssen an dem gemeinsamen Ziel der Freigabe von neuen Cloud Projekten arbeiten. Hierzu wurde die direkt gruppe hinzugezogen, um mit den bisherigen Erfahrungen den Kunden zu unterstützen.
Die derzeitige Cloud Umgebung soll angepasst werden und den gemeinsam festgelegten Anforderungen, wie dem des AWS Well-Architected Frameworks, genügen.

Dabei soll das Cloud Team befähigt werden, nach dem Projekt die Weiterentwicklung und den Betrieb der AWS Landing Zone durchzuführen.

Umfassende, stark auf den Kunden angepasste Compliance Checks müssen entwickelt und implementiert werden. Diese Checks werden bei Verstößen visualisiert und entsprechende Reaktionen werden automatisiert durchgeführt.

Ein maßgeschneidertes Rollenkonzept und Accessmanagement soll dafür sorgen, dass sich jeder User in der AWS Umgebung sicher mit seinen Active Directory Zugangsdaten und Multi-Factor-Authentication anmelden kann.

ÜBER DAS UNTERNEHMEN 

Der Kunde ist ein europaweit agierender Softwareanbeiter für Personalverwaltungssoftware und andere digitale Produkte und Lösungen im Bildungs- und Verwaltungsbereich. In dem Unternehmen sind 2000 Mitarbeitende weltweit beschäftigt.

4

Monate
Projektdauer

6

Mitarbeiter
kundenseitig

5

Mitarbeiter
direkt gruppe

in 3

Reviews durch
AWS ProServ validiert

Teilung der Betriebsverantwortung auf mehrere Teams

4

Kundenarchitekten zu AWS Professionals

DIE HERAUSFORDERUNG

Unterschiedliche Fachbereiche beim Kunden – wie z. B. zentrale IT Governance, IT Security und Cloud-Experten – müssen sich abstimmen, um gemeinsam das Thema Cloud voranzutreiben.

Zudem müssen die Cloud-Experten beim Kunden geschult und fortgebildet werden. Sie sollen so das nötige Wissen aufzubauen, um eine Well-Architected-Cloud-Architektur basierend auf dem Landing Zone Konzept umzusetzen, welche von der AWS als ebendiese bewertet wird.

Während dieser Umsetzung sollen Änderungen und Aufbauten via „Infrastructure as Code“ geschehen, um die Umgebung reproduzierbar und skalierbar aufzubauen. Dazu musste unter anderem die richtige Skript-Sprache und das Repository evaluiert und ausgewählt werden.

Nötige Checks – die vom CISO gewünscht sind – müssen ausgewählt, konzeptioniert, abgestimmt und entsprechend skalierbar implementiert werden.

Die Anbindung an das On-Prem-Active-Directory und einen RADIUS Service beim Kunden müssen ausfallsicher aufgebaut werden, um einen einfachen und sicheren Log-in zu jeder Zeit möglich zu machen.

UNSER LÖSUNGSVORSCHLAG

Kooperatives sowie iteratives Gestalten und Implementieren der Landing- Zone-Konzepte, einschließlich zentralem Logging, Security Monitoring, Access Management und IT Governance. Einbinden von IT Governance und Security Stakeholdern, um die Landing Zone an die internen Anforderungen anzugleichen.

In zahlreichen Workshops mit den Technikern wird das Wissen im Projekt direkt vermittelt und aufgebaut und das Cloud Team befähigt die Landing Zone aufzubauen, weiter zu entwickeln und zu betreiben.

Die Auswahl der für den Kunden passenden Skriptsprache fand mit dem Kunden und verschiedenen Stakeholder statt. Die Wahl fiel dabei auf den AWS nativ integrierten Service AWS CloudFormation und AWS CodeCommit wurde als Repository ausgewählt. Die native Integration war ein Kernaspekt der Auswahl, um hiermit schnell in die Umsetzung mit den notwendigen AWS Services zu kommen.

Die zuvor definierten und konzeptionierten Compliance Checks, die mit den regulatorischen Rollen des Kunden abgestimmt wurden, werden in speziell angepassten Lambda Funktionen durchgeführt. Für die Visualisierung wurden mehrere Lösungskonzepte erarbeitet und man entschied sich auf einen ELK Stack (mit AWS Elastic Search) mit einem Kibana Dashboard. Diese Auswahl wurde mit dem Kunden erarbeitet und den relevanten Stakeholdern transparent dargestellt.

Für die Authentifizierung wurde AWS SSO mit dem AWS AD Connector an das bestehende Active Directory angebunden. Um Anforderungen bezüglich der Multi-Faktor-Authentifizierung zu erfüllen, wird on Premises ein ausfallsicherer Remote Authentication Dial-In User Service aufgebaut. Dies erfüllt zugleich die hohen Sicherheitsanforderungen.

ERZIELTE ERFOLGE DES PROJEKTS

Die AWS Landing Zone wurde in intensiver Kooperation, basierend auf abgesprochenen Konzepten, skalierbar implementiert. Mit einem zentralen Identity und Access Management, – Logging, – Compliance Monitoring mit einem Kibana Dashboard.

Ein zentrales Ziel und damit ein nachweislicher Erfolg des Projektes war, die klassisch getrennten Verantwortungsbereiche in einen inhaltlichen Austausch zu bringen. Die aktive Zusammenarbeit an einem gemeinsamen Ziel führte dank der gemeinsamen Erfolge zu einem nachhaltigen „Wir-Gefühl“.

Neben der Umsetzung und dem fachlichen Austausch wurden die Konzepte der Landing Zone in einer umfassenden Dokumentation erfasst. Die Dokumentation mit dem Anspruch, die komplexe AWS Umgebung komplett zu beschreiben, wurde während eines „Well-Architected“-Audits seitens AWS lobend erwähnt.

In kurzer Zeit hat das Projektteam seine Anforderungen formulieren können und ein personalisiertes Dashboard konzipiert und implementiert. Weitere Anforderungen und technische Lösungswege wurden darüber hinaus in Workshops besprochen, strukturiert und erarbeitet, um für die folgende Implementierung in die Feinplanung überzugehen. Außerdem wurde der Kunde befähigt, weitere Dashboards und deren Inhalte für unterschiedliche Anforderungsgruppen umzusetzen.

Für die Benutzer wurde eine einfache Möglichkeit etabliert, sich mit den gängigen Active-Directory-Zugangsdaten anzumelden. Durch einen angebundenen RADIUS Service wurden alle security-relevanten Anforderungen erfüllt. Durch ein Selfserviceportal für die Benutzer ist die Einrichtung der MFA-Geräte sehr unkompliziert und wurde schnell in das tägliche Arbeiten übernommen.

Lessons Learned

Konzepte können leicht von der Umsetzung divergieren. Dementsprechend muss die Dokumentation in regelmäßigen Intervallen mit der Implementierung abgeglichen werden. Besser ist es jedoch, eine zentrale Datenbasis vorzuhalten. So sind Konzept- und Umsetzungs-Teams in durchgehender Abstimmung und Teammitglieder. Auch die Mitarbeitenden, die zukünftig die Betriebsverantwortung tragen, sind so direkt mit in die Erstellung der Konzepte und Implementierung eingebunden.

Eine umfassende Dokumentation des aktuellen Zustands der AWS Umgebung ist die Grundvoraussetzung für eine Vertrauensbasis zwischen unterschiedlichen Bereichen, um eine gemeinsame Verantwortung für die AWS Landing Zone zu tragen. Dies ermöglicht zugleich,  im Austausch mit weiteren Fachexperten wichtige Entscheidungen treffen zu können.

Kommentare der Projektleiter

Consultant Lennart Tunze

Architekt – Lennart Tunze

„Für mich ist es eine Freude zu sehen, wie die technische Umsetzung der gemeinsam speziell angepassten AWS Landing Zone alle Bedarfe und Anforderungen des Kunden erfüllt. Ich mag die Herausforderung, dass die AWS Landing Zone nicht rein auf einer technischen Lösung basiert, sondern der Einbeziehung unterschiedlicher Stakeholder bedarf.“

Security Consultant – Nickolas Webb

„Anforderungen an Informationssicherheit sowie IT Governance und deren technische Umsetzung sind keine triviale Herausforderung. Erstaunlich finde ich, dass durch den Einsatz der AWS Landing Zone fachliche Stakeholder und Cloud-Experten in einen produktiven Austausch kommen können. Dieser Austausch bringt die Fachbereiche näher zusammen und verbessert dabei das Sicherheitsniveau, ohne an Geschwindigkeit zu verlieren.“

Security Consultant Nicholas Webb

Oder direkt von unseren Cloud-Experten: