Hoe bied je je DevOps-teams een veilige, gestandaardiseerde AWS-omgeving?

AWS Control Tower is een managed service, waarmee je op een gestandaardiseerde manier veilig omgevingen voor je DevOps-teams uitrolt. Daarbij stellen guardrails of vangrails je in staat om de veiligheid op maat te regelen. Zo wil je misschien voor je ontwikkelomgeving iets minder strenge veiligheidsmaatregelen dan voor je acceptatie- of productieomgeving. Denk aan een developer die je in een ontwikkelomgeving rechten wil geven om handmatige aanpassingen te doen. 

Binnen AWS Control Tower zorgt een zogenaamde account factory voor het veilig uitrollen van accounts met behulp van twee soorten vangrails: preventive guardrails en detective guardrails. Preventive guardrails zijn een kwestie van beleid: je bepaalt regels voor wat er wel en niet mag, die in alle gevallen gelden. Met Service Control Policies (SCP’s) helpt AWS je deze beleidsmaatregelen te implementeren. Een voorbeeld van zo’n beleidsmaatregel is dat je maar in één specifieke regio mag werken in verband met compliancy of dat je nooit een database mag aanmaken zonder dat deze encrypted is.

Natuurlijk zijn er ook situaties die zich niet in een standaard beleidsmaatregel laten vangen. Dat ondervangt AWS met detective guardrails. Je kunt dit soort vangrails bijvoorbeeld met AWS Config rules maken, maar er zijn ook complete sets met detective guardrails, genaamd conformance packs. Een voorbeeld van een AWS-set is S3, waarmee je controleert of je je dataservice veilig geconfigureerd hebt. Ook kun je veiligheidsregels toepassen uit bestaande frameworks, zoals PCI-DSS (Payment Card Industry Data Security Standard) voor de bankwereld of het CIS (Center of Internet Security)-framework. Via de AWS Security Hub laad je dergelijke frameworks direct AWS Control Tower in. Zo ben je eenvoudig compliant met regelgeving, ook specifiek voor jouw sector. 

Detective guardrails kunnen op twee manieren werken. Bij de ene manier wordt er gesignaleerd dat er een onveilige situatie is, er staat bijvoorbeeld een deurtje in je firewall open. Daar wordt vervolgens een actie aan gekoppeld. Zo’n actie kan zijn dat er een mail naar de systeemeigenaar gaat met het verzoek om het geconstateerde probleem op te lossen. Bij de andere manier ga je automatiseren op events. In dat geval wordt er bij de detectie van een probleem automatisch actie genomen. De firewall uit het voorbeeld wordt dichtgezet, waarna de verantwoordelijk persoon ter informatie een mailtje ontvangt. Dat heet auto remediation.

Stel, je hebt tientallen DevOps-teams met honderden accounts. Dan is het beheersintensief om daar zelf automatisering  voor te bouwen en te onderhouden. AWS Control Tower helpt je niet alleen om gestandaardiseerd en geautomatiseerd veilige omgevingen binnen je cloudplatform uit te rollen, maar biedt je ook een ‘single pane of glass’. Je hebt zicht op alle guardrails en kunt die vanuit Control Tower voor al je teams en accounts beheren. 

Wil je overstappen naar AWS Control Tower? Dan kun je dat beter vandaag dan morgen doen. Want hoe meer omgevingen je hebt geïmplementeerd, hoe meer tijd de migratie kost. Maak eerst een gap-analyse, dus breng in kaart wat je nu doet en waar je naartoe wilt met Control Tower. Kijk daarbij goed naar je bestaande guardrails en processen voor het uitgeven van omgevingen. Hoe zijn je guardrails op dit moment geïmplementeerd en hoe lopen deze processen nu? En wat gebeurt er straks in AWS Control Tower? Zo leg je de basis voor een succesvolle migratie.