AWS-Multi-Account-Struktur und Sicherheitsautomatisierung: Ein Praxisbeispiel aus dem öffentlichen Mobilitätssektor
Über den Kunden
Unser Kunde aus dem öffentlichen Sektor betreibt umfangreiche kritische Infrastrukturen und verwaltet derzeit eine Cloud-Umgebung mit nur einem AWS-Account als Proof of Concept (PoC). Ziel des Projektes besteht darin, eine cloud-native Anwendungsumgebung zu modernisieren, um den Anforderungen von Audits im Bereich kritischer Infrastrukturen (KRITIS) gerecht zu werden.
Diese Modernisierung umfasst die Migration der laufenden Komponenten in eine neu aufgesetzte Cloud-Umgebung. Die neue Umgebung wird die geltenden Richtlinien für Sicherheit, Compliance, Betrieb und Ausgabenmanagement berücksichtigen.
Die Anforderungen
Die wesentlichen Schwerpunkte dieser Zusammenarbeit liegen auf der Beratung im Hinblick auf bevorstehende Audits. Die Anforderungen sind dabei wie folgt:
- Automatisiertes Logging zur Gewährleistung von Sicherheit, Prozesstransparenz und Einhaltung von Richtlinien.
- Unkomplizierte Einrichtung und Verwaltung skalierbarer und sicherer Konten, die den Bedürfnissen des Kunden entsprechen.
- Vorbereitung für eine reibungslose Migration sämtlicher Anwendungen hin zu einem mit AWS Control Tower überwachten Account, ohne den laufenden Geschäftsbetrieb zu stören.
Die Herausforderung
Die Herausforderungen bei der Umsetzung des Projekts sind unter anderem:
- Die Planung und Einrichtung einer Organisationsstruktur (AWS Organizational Units), die kritische Aufgaben und Daten von Arbeitsumgebungen sauber trennt
- Das Entwickeln und Anwenden eines automatisierten Regelwerks, um Sicherheitsstandards aufrecht zu erhalten
- Die Entwicklung eines zentralisierten Netzwerkkonzepts, welches sich nahtlos in die Account und Endpoint Struktur integriert, und darüber hinaus über mehrere Accounts hinweg Sicherheitsanforderungen gerecht wird. Dabei wurde AWS Control Tower eingesetzt.
- Die Überführung der Cluster und Applikationen mit minimaler oder gar keiner Unterbrechung des Geschäftsbetriebs.
AWS-Multi-Account-Struktur
Die Vorteile:
AWS-Multi-Account-Struktur zur Trennung von Zugriffsrechten
Das Aufsetzen, Strukturieren, Prüfen und Implementieren einer AWS-Multi-Account-Struktur zur Trennung von Zugriffsrechten und zur Isolation von unterschiedlichen Workloads.
Durch den Einsatz von AWS Control Tower und AWS Organisations werden zentral verwaltete Security und Compliance Regelwerke implemeniert, um KRITIS Sicherheitsanforderungen für alle erzeugten Resourcen zu implementieren.
Die AWS Account Factory stellt sicher, dass zentral erzeugte AWS-Umgebungen innerhalb der Organisation den definierten Security und Compliance Regelwerken entsprechen. Weiterhin lassen sich hierüber interne Standards für die jeweiligen Accounts über IaC aktivieren.
Zusätzlich wird über diese Lösung eine zentrale finanzielle Verwaltung und Abrechnung ermöglicht.
Zentrale IaC Template Verwaltung über AWS Service Catalog
Über den AWS Service Catalog werden zentral verwaltete IaC Templates bereitgestellt.
Diese können während der Erstellung eines neuen AWS-Accounts über die AWS Account Factory eingebunden werden. Member Accounts können später über ein definiertes Produktportfolio benötigte AWS-Ressourcen automatisiert erstellen und auch wieder löschen.
Durch das zentralisierte Bereitstellen der IaC Templates, wird sichergestellt, dass nur Ressourcen erstellt werden, welche den internen Compliance Vorgaben entsprechen.
Festlegung und Automatisierung von Sicherheitsstandards
Zur Einhaltung von KRITIS notwendigen Sicherheitsregelwerken, werden über den AWS Control Tower und AWS Organisations die AWS GuardRail Regelwerke aktiviert und zentral über alle erstellten AWS-Accounts ausgerollt.
Über die AWS Service Control Policys werden zusätzlich, ebenfalls zentral verwaltet, für die erstellten Accounts definiert, welche AWS-Services in welchen Regionen nutzbar sind.
PROTOS Workshops und Trainings
PROTOS unterstützt durch Workshops und Trainings, um gemeinsam mit dem Kunden eine maßgeschneiderte, und den aktuellen Sicherheits-Anforderungen entsprechende, Lösung zu finden und zu implementieren. Dabei nutzen wir agile Methoden, um den kontinuierlichen Fortschritt sowohl in der Umsetzung als auch im gesamten Projekt zu überwachen und zu organisieren.