AWS Control Tower – ein Tool zur Zentralisierung der Verwaltung und Absicherung von Multiaccounts

AWS hat bereits ein ähnliches Tool. Es heißt Organizations und bietet eine einfache Verwaltung mehrerer Konten in einer Cloud-Umgebung. Control Tower bringt Verbesserungen, Aufbauten und vor allem Automatisierung. Dies macht die Verwaltung, Überwachung und Absicherung von Konten schneller und effizienter.

Wir verwenden es derzeit für unser Projekt – Blindspot. Blindspot.ai ist ein Unternehmen, das anderen Firmen dabei hilft, künstliche Intelligenz, also AI, beispielsweise in Form von intelligenten Chatbots, zu nutzen. Damit diese Unternehmen entwickeln, testen und produzieren können, haben wir eine AWS-Cloud mit Control Tower für sie vorbereitet. Sie haben jetzt mehrere Konten in der Cloud-Umgebung – Entwicklung, Test, Produktion ... sie können sie einfacher verwalten, neue Konten erstellen, den Einsatz neuer Versionen automatisieren (Self-service Deployment) und dank des in CT enthaltenen Sicherheitshubs Sicherheitsvorfälle analysieren und verhindern.

• Schnelle Einrichtung und Konfiguration der neuen AWS-Umgebung 
• Automatisierung der kontinuierlichen Verwaltung von Richtlinien (Guardrails) – z. B. flächendeckende Durchsetzung von Sicherheitsregeln
• Konfigurationsanalyse auf Richtlinienebene (Guardrails) – automatische Überprüfung auf korrekte Einstellung und Konfiguration
• Zentralisierung der Benutzerkontenverwaltung – Integration von Single Sign On – SSO

➢Landing Zone
Die Landing Zone ist eine gut gestaltete AWS-Umgebung mit mehreren Konten, die auf bewährten Praktiken zur Absicherung sowie auf der Einhaltung von Richtlinien und Verfahren bezüglich Identität, Verbundzugriff und Kontostruktur basiert. Beispiele für Pläne, die automatisch in der Landing Zone implementiert werden, sind:

• Erstellen einer Umgebung mit mehreren Konten
• Identitätsverwaltung unter Verwendung des Standardverzeichnisses AWS Single Sign On (SSO)
• Verbundzugriff auf Konten mittels AWS SSO
• Zentralisierte Protokollierung aus AWS CloudTrail und AWS Config, die in Amazon S3 gespeichert sind
• Zulassung von Sicherheitsaudits für Konten mittels AWS IAM und AWS SSO

➢Account Factory
Account Factory automatisiert die Erstellung neuer Konten im Unternehmen und standardisiert dank einer konfigurierbaren Vorlage deren Einrichtung.

➢ Guardrails
Guardrails sind vorgefertigte Verwaltungsregeln für Sicherheit, Betrieb und Regelkonformität, die Kunden auswählen und unternehmensweit oder nur auf bestimmte Kontengruppen anwenden können (z. B. Löschen von Logdateien verbieten, Cloud-Trail-Konfigurationsänderungen verbieten, Control Tower-Konfigurationsänderungen einschränken ...).

➢ Preventive Guardrails
AWS Control Tower bietet ein kuratorisches Set mit Guardrails, die auf bewährten AWS-Verfahren und gemeinsamen Kundenleitlinien für die Verwaltung basieren. Sie können als Bestandteil der Einstellung der Landing Zone genutzt werden.

➢ Dashboard
Das Control Tower Dashboard bietet kontinuierlichen Überblick über die AWS-Umgebung. Es zeigt die Anzahl der eingerichteten Organisationseinheiten und Konten sowie die Anzahl erlaubter Guardrails an und überprüft die Organisationseinheiten und Konten auf ihre Regelkonformität.

AWS Control Tower ermöglicht es uns, in der Cloud-Umgebung schnell, konsistent und sicher Konten zu erstellen und so die Innovationsbemühungen unserer Kunden zu unterstützen. Mit Control Tower sind wir in der Lage, innerhalb von Stunden und Tagen neue Konten einzurichten und den Teams dadurch besseren Zugang zu AWS-Services für die Entwicklung und direkte Verwaltung ihrer Anwendungen zu gewähren.