Erfolgreich in der Cloud mit copebits VPDC für Unternehmen: Ihr sicheres und zuverlässiges Fundament.

VPDC GN Header

Ihr sicheres und zuverlässiges Fundament – VPDC – AWS Cloud-Maturität

copebit bietet ein Enterprise-grade Virtual Private Data Center (VPDC) an, um Unternehmen beim Aufbau einer sicheren und zuverlässigen Cloud-Lösung zu unterstützen. Das Expertenteam von copebit hat das VPDC so konzipiert, dass es die Best Practices des AWS Well-Architected Framework und der AWS Security Reference Architecture (SRA) einhält, um Datenschutz und eine solide Grundlage für jede Cloud-Lösung zu gewährleisten. Mit dem VPDC können Unternehmen die Vorteile von Hyperscale-Cloud-Umgebungen voll ausschöpfen, während sie die technischen Details copebit überlassen oder gemeinsam mit ihnen entwickeln. Indem sie sich an copebit wenden, können Unternehmen ihre Abläufe rationalisieren, die Produktivität steigern und die Kosten senken und gleichzeitig die Sicherheit und Zuverlässigkeit ihrer Cloud-Lösung gewährleisten.

Unsere Lösung eignet sich für Branchen wie Finanzen, Versicherungen, Immobilien, Energie und Umwelt, öffentliche Verwaltung sowie Informations- und Kommunikationstechnologie (ISV, Provider).

key facts

Key Facts & Figures

  • Konformität und Sicherheit basieren auf dem 6-Säulen-Prinzip einer gut durchdachten Architektur, der AWS SRA und dem Cloud Adoption Framework.
  • Management-Account und SSO-Integration sind verfügbar.
  • Ein LogArchive-Account ist für die zentrale Protokollierung vorgesehen.
  • Ein SecurityTooling-Account ist für die Verwaltung von Sicherheitstools verfügbar.
  • Ein Backup-Vault-Account ist für die zentralisierte Backup-Verwaltung verfügbar.
  • Ein Netzwerk-Account ist für Netzwerkanforderungen verfügbar.
  • Ein dedizierter Firewall-Cluster wird angeboten.
  • Workload-Accounts sind für Entwicklung, Test und Produktion verfügbar.
  • Das Shared Responsibility Model wird zusammen mit der Einhaltung von PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR, FIPS 140-2, NIST 800-171, CSA, ISO 9001, ISO 22301, ISO 27001, ISO 27017, ISO 27001, ISO 27018 und SOC 1-3 verfolgt.
  • Die copebit AG bietet Unterstützung als AWS Advanced Consulting Partner und SAFe Project Management Partner.
Kundenmehrwert

Kundenmehrwert

  • Kunden profitieren von einem automatisierten, sicheren und strukturierten, auf der AWS Cloud basierenden virtuellen privaten Rechenzentrum, das mehrere Konten umfasst und die sechs Säulen des AWS Well-Architected Framework sowie Best Practices für Sicherheit und Compliance einhält.
  • Dieser Ansatz bietet eine hohe Cloud-Reife, die es den Kunden mit minimalem Aufwand während der AWS-Cloud-Einführungsphase ermöglicht, sich auf ihre Anwendungsfälle und Produktionsarbeitslasten zu konzentrieren, was zu niedrigeren Kosten und einem effizienten Transfer von Cloud-Wissen führt.
  • Der Kunde profitiert von einer kostenoptimierten und skalierbaren AWS-Cloud-Lösung, die auf seine spezifischen Anforderungen zugeschnitten ist und eine solide Grundlage, für den laufenden Cloud-Betrieb sowie Flexibilität zur Unterstützung seiner sich ändernden Anforderungen bietet.
  • Als AWS Advanced Consulting Partner hat copebit Zugriff auf das AWS Partner Funding Programm, das wir zum Nutzen unserer Kunden während der Projektphase nahtlos in AWS integrieren.
  • copebit verfügt über langjährige Erfahrung in der erfolgreichen Implementierung von Organisationsprozessen und AWS-Technologien in Zusammenarbeit mit unseren Kunden und weiss, wie man die Leistungsfähigkeit von AWS zur Optimierung des Cloud-Betriebs nutzen kann.
  • Unser fundiertes Wissen über AWS-Technologien und Best Practices ermöglicht es uns, innovative und massgeschneiderte Lösungen zu liefern, die Prozesse und Abläufe rationalisieren und letztlich die gesamte Unternehmensleistung des Kunden verbessern.
  • Wir sind bestrebt, in allen Aspekten unserer Arbeit hohe Standards einzuhalten und sicherzustellen, dass unsere Kunden ein rundum zufriedenstellendes Ergebnis und ein Höchstmass an Service erhalten.

VPDC Landing Zone

VPDC HL

Die VPDC Landing Zone wird mit dem AWS-Control-Tower-Service sowie benutzerdefinierten Funktionen, Konten und Kontrollen erstellt. Diese Einrichtung wurde entwickelt, um eine sichere Automatisierung in einer Umgebung mit mehreren Konten zu ermöglichen und bietet eine robuste Authentifizierung, Identitätsverwaltung, zentralisierte Protokollierung und Prüfungsfunktionen. Die VPDC Landing Zone besteht aus mehreren Standardkonten (Management, LogArchive und SecurityTooling), Konten für gemeinsam genutzte Dienste (Netzwerk und Backup-Vault) und Workload-Konten, die Anwendungen in verschiedenen Phasen (z. B. Dev, Test und Prod) finden.

Dieser architektonische Aufbau gewährleistet die Einhaltung des AWS Well-Architected Framework, während die integrierten Services in Übereinstimmung mit der AWS Security Reference Architecture (AWS SRA) implementiert werden.

Network Account 1

Network-Account

Der Netzwerk-Account dient als zentraler Netzwerk-Hub und nutzt das AWS Transit Gateway, einen Cloud-Router, in einer speziellen Hub-and-Spoke-Architektur. Dieses Design ermöglicht sichere und redundante Verbindungen zwischen allen Spokes bzw. AWS-Mitglieds-Accounts. Das Netzwerk-Zoning ist so konfiguriert, dass der gesamte Datenverkehr zu und von einem AWS-Mitglieds-Account über eine zentrale AWS-Firewall geleitet wird, während es gleichzeitig als zentraler Breakout-Punkt für den Internetverkehr dient, der ebenfalls über die zentrale AWS-Firewall geleitet wird.

Dieser Ansatz bietet ein Höchstmass an Schutz und kontrolliertem Verkehr über Zonen und Konten hinweg. Darüber hinaus bietet diese zentralisierte Architektur eine Reihe von Vorteilen, darunter:

 

  • Zentralisierte Verwaltung: Der Netzwerk-Account ermöglicht eine zentrale Verwaltung der Firewall-Regeln und des Zugriffs auf die verschiedenen AWS-Mitgliedskonten und das Internet. Dieser Ansatz reduziert die Komplexität und bietet eine bessere Kontrolle über die Netzwerksicherheit.
  • Geringere Gefährdung: Da der gesamte Internetverkehr durch eine zentrale AWS-Firewall geleitet wird, minimiert das Design die Gefährdung durch potenzielle Bedrohungen aus dem Internet.
  • Zentralisierter Verkehrsfluss und Protokollierung: Die zentralisierte Architektur bietet eine bessere Sichtbarkeit und Kontrolle des Netzwerkverkehrsflusses und ermöglicht eine zentralisierte Protokollierung und Analyse der Netzwerkaktivitäten.
  • Hohe Verfügbarkeit und geringe Latenzzeit: Der Netzwerk-Account ist für hohe Verfügbarkeit und niedrige Latenzzeiten der AWS-Netzwerkkonnektivität ausgelegt und gewährleistet zuverlässige und schnelle Verbindungen zwischen Konten.
  • Einfache Skalierbarkeit und Erweiterbarkeit: Die Hub-and-Spoke-Architektur ermöglicht eine einfache Skalierung und Erweiterung des Netzwerks, wenn neue Konten hinzugefügt werden oder der Datenverkehr zunimmt.
  • Standardisierung der Konnektivität: Das zentralisierte Design ermöglicht eine Standardisierung der Konnektivität über alle Konten hinweg und verbessert so die allgemeine Netzwerkkonsistenz und -zuverlässigkeit.
  • Isolierung von Netzwerkdiensten: Durch die Trennung von Netzwerkdiensten, -konfigurationen und -operationen von der Anwendung verbessert dieses Design die Gesamtsicherheit und minimiert das Risiko potenzieller Unterbrechungen.
Backup Vault Accont

Backup-Vault-Account

Der Backup-Vault-Account ist ein dedizierter und zentralisierter Backup-Account in der AWS Public Cloud, das Unternehmen eine äusserst zuverlässige Backup-Lösung für den Fall eines Systemausfalls bietet. copebit hat erheblich in die Entwicklung dieser Lösung investiert, um ein Höchstmass an Datensicherheit zu gewährleisten. Die Backups der Dienste werden zunächst in den jeweiligen AWS-Mitgliedskonten erstellt und dann auf den Backup-Tresor-Account in einer anderen Region (regionsübergreifend) übertragen, um gegen einen Ausfall der Region abzusichern. Für Kunden mit strengen Anforderungen an die „Datenresidenz“ werden Backups innerhalb derselben Region stattdessen an den Backup-Vault-Account übertragen (accountübergreifend). Der Backup-Vault-Service kann an die RTO (Recovery Time Objective)- und RPO (Recovery Point Objective)-Anforderungen des Kunden angepasst werden. Die Zentralisierung des Backup-Vault-Accounts bietet verschiedene Vorteile:

 

  • zentralisierte Backup-Verwaltung für Offsite-Kopien
  • verbesserte Sicherheit und Verfügbarkeit von Backups im Falle einer Verletzung der Region oder des Accounts
  • standardisierte und zentralisierte Backup-Speicherung
  • vereinfachte Aufbewahrungszeiträume
  • kontrollierter Backup-Zugriff und zentralisierte und standardisierte Verschlüsselung von Backups.
Workload Account

Workload Account

Der Workload-Account ist eine Hosting-Umgebung für eine oder mehrere Anwendungen innerhalb der Infrastruktur eines Unternehmens. Für die Zonierung wird eine Tier-Architektur verwendet, bei der die logische Trennung der Anwendungs- und Datenbank-Tiers durch private Subnetze erreicht wird. Die Kommunikation zwischen den verschiedenen Schichten erfolgt innerhalb des Workload-Accounts und wird durch Sicherheitsgruppen und Zugriffskontrolllisten geregelt. Eingehender und ausgehender Datenverkehr vom Workload-Account wird an den Netzwerk-Account weitergeleitet. Die Workload-Konten des VPDC können entsprechend den Anforderungen des Kunden strukturiert und skaliert werden, wobei für die verschiedenen Workload-Konten (z. B. Dev, Test und Prod) individuelle Sicherheitskontrollen gelten. Der Workload-Account bietet die folgenden Vorteile:

 

  • Risikominderung durch die Aufteilung der Umgebungen in verschiedene Konten
  • Flexible Zugriffs- und Berechtigungsverwaltung für jede Umgebung (z. B. DevOps-Ingenieure haben nur Zugriff auf den Dev-Account)
  • Flexibles Management der Sicherheitskontrollen für jede Umgebung (z. B. Dev kann generisch sein, Prod kann eingeschränkt sein)
  • Regulierter und standardisierter ein- und ausgehender Datenverkehr sowie Datenverkehr zwischen den einzelnen Umgebungen
Erweiterungen / Extensions

Erweiterungen / Extensions

Das Design des Virtual Private Data Center (VPDC) zielt darauf ab, die unterschiedlichen Bedürfnisse von Unternehmen zu erfüllen. Daher ist das Landing-Zone-VPDC so konfiguriert, dass es erweiterbar und anpassbar ist, um spezifische Anforderungen zu erfüllen. Zu den möglichen Erweiterungen und Optionen gehören:

 

  • Integration mit bestehenden Verzeichnisdiensten, wie z. B. AzureAD, um eine nahtlose Benutzerauthentifizierung und -autorisierung zu ermöglichen
  • Verbindung zu lokalen oder anderen öffentlichen Cloud-Umgebungen für hybride Bereitstellungen und nahtlose Workload-Migration
  • Private und zentralisierte Verbindungen zu öffentlichen AWS-Diensten, um eine sichere Kommunikation und Datenübertragung zu ermöglichen.
  • Zentralisierte Schlüsselverwaltung, um die sichere Speicherung, Rotation und gemeinsame Nutzung von kryptografischen Schlüsseln innerhalb des Unternehmens zu gewährleisten.
  • Ein dedizierter AWS CloudHSM-Cluster für die hardwarebasierte Verwaltung von Sicherheitsschlüsseln und zur Einhaltung gesetzlicher Vorschriften.
  • Integration einer Firewall-Lösung eines Drittanbieters, um zusätzliche Netzwerksicherheitskontrollen und Filterfunktionen bereitzustellen.

Möchten Sie weitere Informationen über das copebit VPDC-Angebot erhalten? Klicken Sie hier, um unser VPDC-Datenblatt aufzurufen: AWS Enterprise-grade Virtual Private Data Center “VPDC“