AWS Landing Zone: Lợi ích, kiến trúc và cách thiết lập

AWS Landing Zone là giải pháp được thiết kế dành cho những doanh nghiệp mong muốn thiết lập môi trường hoạt động với nhiều tài khoản nhưng lại không có đủ thời gian cũng như các kiến ​​thức chuyên môn về AWS nhằm định cấu hình cho một số tài khoản và dịch vụ. AWS Landing Zone sẽ hỗ trợ doanh nghiệp tự động hóa việc triển khai môi trường AWS với nhiều tài khoản đảm bảo an toàn bảo mật và có khả năng mở rộng linh hoạt.

Trong bài viết sau, doanh nghiệp hãy cùng Magenest phân tích chi tiết hơn về lợi ích, kiến trúc cũng như cách thiết lập AWS Landing Zone nhé!

AWS Landing Zone là gì?

AWS Landing Zone là dịch vụ hỗ trợ doanh nghiệp giải quyết những thách thức trong quá trình quản lý và triển khai các hạ tầng Amazon Web Services trong các doanh nghiệp có quy mô kinh doanh lớn. Trong quá trình quản lý và triển khai này, doanh nghiệp thường sẽ phải đối mặt với nhiều vấn đề khó khăn, phức tạp, chẳng hạn như thiết kế các hạ tầng, phân quyền truy cập, đảm bảo an toàn bảo mật, phân quyền và quản lý các tài khoản,… Việc giải quyết những vấn đề này có thể gây nên rất nhiều rắc rối và tiêu tốn đáng kể thời gian và chi phí. Lúc này, AWS Landing Zone sẽ hỗ trợ doanh nghiệp giảm thiểu tối đa các vấn đề khó khăn này và nhanh chóng tiến hành xây dựng một hạ tầng Amazon Web Services đạt tiêu chuẩn với đầy đủ những quy trình quản lý, an toàn bảo mật và cam kết tuân thủ các chuẩn mực của Amazon Web Services.

Tóm lại, AWS Landing Zone chính là một framework cơ bản được thiết kế nhằm hỗ trợ các doanh nghiệp định hình, xây dựng và vận hành một môi trường Amazon Web Services an toàn, đáp ứng đầy đủ những chính sách, tiêu chuẩn cũng như quy định nội bộ. Dịch vụ này sẽ giúp doanh nghiệp trong việc tổ chức và tự động hóa các quy trình về cài đặt, phân phối cũng như kiểm soát những tài nguyên Amazon Web Services. Nhờ đó, chúng ta có thể giảm thiểu các rủi ro phát sinh và đảm bảo tuân thủ các quy định có liên quan đến vấn đề an ninh và chất lượng dịch vụ. Không những vậy, Landing Zone AWS còn cung cấp một kiến trúc mang tính tập trung cho hoạt động quản lý các tài nguyên Amazon Web Services, bao gồm: tài khoản, kết nối mạng, các quyền truy cập cũng những tài nguyên khác. Từ đó, doanh nghiệp sẽ đơn giản hóa quy trình quản lý các tài nguyên Amazon Web Services.

Các đặc điểm nổi bật của AWS Landing Zone

Sau khi đã hiểu Landing Zone AWS là gì, trong phần tiếp theo, doanh nghiệp hãy cùng Magenest tìm hiểu chi tiết về các đặc điểm nổi bật của dịch vụ này để biết vì sao ngày nay, rất nhiều doanh nghiệp đã lựa chọn triển khai AWS Landing Zone thay vì những hệ thống truyền thống khác nhé!

• Đa tài khoản: Dịch vụ AWS Landing Zone cung cấp cho doanh nghiệp một mô hình đa tài khoản, cho phép họ có thể tách biệt các khối lượng công việc trong nội bộ và quản lý chúng đạt hiệu quả cao.
• Bảo mật an toàn: AWS Landing Zone được xây dựng và thiết kế nhằm đảm bảo an toàn cho các khối lượng công việc và những cơ sở dữ liệu của doanh nghiệp. Giải pháp này cũng bao gồm các tính năng hữu ích về bảo mật như kiểm soát các truy cập và theo dõi những hoạt động trong doanh nghiệp, giúp bảo vệ an toàn cho các dữ liệu của chúng ta trước những nguy cơ về bảo mật.
• Quản lý các tài nguyên: Dịch vụ AWS Landing Zone giúp doanh nghiệp quản lý các tài nguyên đám mây vô cùng hiệu quả, đảm bảo chúng ta có thể sử dụng những tài nguyên đạt hiệu suất tối ưu nhất.
• Khả năng mở rộng: AWS Landing Zone còn mang đến cho doanh nghiệp khả năng mở rộng, hỗ trợ tăng cường hoặc giảm thiểu về mặt quy mô hoạt động kinh doanh của chúng ta một cách dễ dàng.

Lợi ích mà doanh nghiệp nhận được khi triển khai AWS Landing Zone

Có thể nói, AWS Landing Zone cung cấp cho doanh nghiệp một giải pháp toàn diện, giúp chúng ta triển khai được một môi trường đám mây Amazon Web Services đảm bảo an toàn bảo mật, mang tính linh hoạt cao và có khả năng mở rộng hiệu quả. Chính vì vậy, doanh nghiệp triển khai AWS Landing Zone sẽ đạt được rất nhiều những lợi ích như:

• Đảm bảo an toàn bảo mật: Các quy trình bảo mật của AWS Landing Zone luôn đạt tiêu chuẩn và sở hữu các thiết kế đáp ứng được những chuẩn mực cao nhất về bảo mật của môi trường đám mây. Đây chính là lợi ích cực kỳ tuyệt vời đối với những doanh nghiệp sở hữu thông tin – dữ liệu quan trọng và yêu cầu khả năng bảo mật cao.
• Nâng cao khả năng mở rộng: Dịch vụ AWS Landing Zone cho phép doanh nghiệp có thể mở rộng môi trường đám mây của mình tùy vào nhu cầu cụ thể, đồng thời, giữ tính đồng nhất cho môi trường đó. Khả năng mở rộng môi trường đám mây này cũng giúp doanh nghiệp đáp ứng được các vấn đề tăng trưởng một cách nhanh chóng và đạt hiệu quả cao.
• Quản lý hiệu quả các tài nguyên: AWS Landing Zone cho phép doanh nghiệp có thể quản lý các tài nguyên của mình hiệu quả hơn. Hoạt động quản lý này bao gồm: quản lý các quyền truy cập và định danh, việc quản lý các khoản chi phí và giới hạn những tài nguyên sử dụng,…
• Tiết kiệm thời gian triển khai và tối ưu hóa các hoạt động: Doanh nghiệp sử dụng dịch vụ AWS Landing Zone có thể triển khai môi trường đám mây dễ dàng và nhanh chóng hơn. Việc ứng dụng những giải pháp đảm bảo tính chuẩn mực này sẽ giúp tiết kiệm thời gian triển khai và tối ưu hóa các hoạt động.
• Nâng cao hiệu quả hoạt động: AWS Landing Zone mang đến những giải pháp cùng các công cụ quản lý có tính tập trung, giúp doanh nghiệp có thể kiểm soát toàn bộ môi trường đám mây của mình một cách hiệu quả. Việc nâng cao hiệu quả hoạt động này sẽ giúp chúng ta tiết kiệm đáng kể thời gian và chi phí trong quá trình quản lý môi trường đám mây.

Kiến trúc của AWS Landing Zone

Tiếp theo, doanh nghiệp hãy cùng Magenest tìm hiểu về kiến trúc của Landing Zone AWS (hay AWS Landing Zone Architecture) là gì nhé. 

Các giải pháp AWS Landing Zone thường bao gồm 4 tài khoản: tài khoản AWS Organization với khả năng triển khai vùng đích, xử lý cấu hình và quyền truy cập; tài khoản các dịch vụ được chia sẻ là nơi lưu trữ những dịch vụ thư mục; tài khoản giúp đăng nhập và lưu trữ thường được lưu trữ trong Amazon S3; tài khoản bảo vệ được sử dụng dành cho các mục đích kiểm toán và tuân thủ.

Tài khoản tổ chức của AWS

AWS Landing Zone được thiết lập bên trong tài khoản AWS Organization hay còn gọi lạ tài khoản tổ chức của AWS. Doanh nghiệp có thể sử dụng tài khoản này xử lý cấu hình cùng quyền truy cập vào những tài khoản khác được quản lý trong AWS Landing Zone. Tài khoản AWS Organization cho phép doanh nghiệp thiết lập và quản lý các tài khoản thành viên về các vấn đề tài chính.

Tài khoản AWS Organization bao gồm vấn đề cài đặt các bộ chứa và quy trình Amazon Simple Storage Service (Amazon S3), cấu hình cho tài khoản StackSets, chính sách kiểm soát các dịch vụ (Service Control Policies hay SCP) của AWS Organization và cấu hình đăng nhập một lần (Single Sign-On hay SSO) của Amazon Web Services.

Tài khoản các dịch vụ được chia sẻ

Tài khoản Shared Services hay tài khoản các dịch vụ được chia sẻ trong AWS Landing Zone là vị trí khởi đầu giúp cho hoạt động phát triển những dịch vụ chia sẻ các cơ sở hạ tầng, chẳng hạn như dịch vụ thư mục. 

Theo mặc định, tài khoản Shared Services có nhiệm vụ lưu trữ AWS Managed Active Directory để giúp tích hợp AWS SSO bên trong Amazon Virtual Private Cloud (hay Amazon VPC) dùng chung. Tài khoản Shared Services này cũng có thể được tự động xem xét một cách ngang hàng thông qua các tài khoản AWS mới được tạo bằng Account Vending Machine (hay AVM).

Tài khoản giúp đăng nhập và lưu trữ

Trong AWS Landing Zone, tài khoản Log Archive còn gọi là tài khoản giúp đăng nhập và lưu trữ, có nhiệm vụ lưu trữ các nhật ký, bao gồm một bộ chứa Amazon S3 tại vị trí trung tâm để lưu giữ được bản sao của toàn bộ những tệp nhật ký AWS CloudTrail và AWS Config bên trong tài khoản lưu trữ các nhật ký.

Tài khoản bảo vệ

Tài khoản Security (tài khoản bảo vệ) trong AWS Landing Zone có vai trò bảo mật bổ sung những đặc quyền tài khoản chéo của người dùng được cấp quyền chỉ đọc (read-only) và của quản trị viên với toàn quyền truy cập vào tất cả những tài khoản được quản lý. Mục tiêu của các vị trí này chính là giúp nhóm tuân thủ và đảm bảo an toàn bảo mật của doanh nghiệp sử dụng chúng cho mục đích kiểm tra hoặc thực hiện những hoạt động an ninh khẩn cấp trong trường hợp phát sinh các sự cố.

Đường cơ sở bảo mật của AWS Landing Zone

Đường cơ sở bảo mật của AWS Landing Zone chứa đường cơ sở bảo mật cơ bản có thể được doanh nghiệp tận dụng để xây dựng và triển khai đường cơ sở bảo mật các tài khoản có khả năng tùy chỉnh dành cho doanh nghiệp. Đường cơ sở bảo mật ban đầu sẽ được mặc định với những cài đặt sau:

• AWS CloudTrail: Mỗi tài khoản sở hữu một đường dẫn CloudTrail được định cấu hình nhằm truyền tải nhật ký đến các bộ chứa của Amazon S3 được quản lý tập trung bên trong tài khoản lưu trữ nhật ký cũng như truyền đến AWS CloudWatch Logs bên trong tài khoản cục bộ dành cho các hoạt động cục bộ.
• Truy cập nhiều tài khoản khác nhau: Quyền truy cập nhiều tài khoản khác nhau cho phép tài khoản bảo mật an toàn việc định cấu hình quyền truy cập kiểm tra và tính năng quản trị bảo mật một cách khẩn cấp vào những tài khoản AWS Landing Zone.
• AWS Config: Khi AWS Config được khởi động, các tệp nhật ký cấu hình tài khoản cũng sẽ được tiến hành lưu bên trong các bộ chứa Amazon S3 và được kiểm soát theo dạng tập trung của tài khoản lưu trữ các nhật ký.
• Amazon Amazon Virtual Private Cloud  (VPC): Amazon VPC còn gọi là đám mây ảo riêng tư của Amazon, được sử dụng nhằm thiết lập kết nối mạng ban đầu của các tài khoản. Hoạt động này sẽ bao gồm những việc như: loại bỏ các VPC mặc định tại mọi khu vực, triển khai loại kết nối mạng do AVM chỉ định cũng như kết nối mạng với các VPC dịch vụ chia sẻ khi có thể.
• Các quy tắc AWS Config: Các quy tắc này bao gồm: mã hóa việc lưu trữ, các chính sách mật khẩu của AWS Identity and Access Management (hay AWS IAM), vấn đề xác thực đa yếu tố (hay MFA) của tài khoản gốc, hoạt động đọc và ghi theo dạng công khai của Amazon S3, các quy tắc nhóm bảo mật không an toàn.
• Các thông báo của AWS Landing Zone: Những cảnh báo và các sự kiện của Amazon CloudWatch đều được thiết lập có thể thông báo đến cho doanh nghiệp mỗi khi xảy ra các lỗi đăng nhập của tài khoản gốc, các lỗi đăng nhập vào bảng điều khiển hệ thống hoặc các lỗi xác thực kết nối API trong tài khoản.
• AWS Identity and Access Management: Đây còn được gọi là việc quản lý quyền truy cập và nhận dạng của AWS. Các chính sách mật khẩu của AWS IAM đều được định cấu hình thông qua AWS Identity and Access Management.
• Amazon GuardDuty: Amazon GuardDuty được thiết lập bên trong các tài khoản thành viên, giúp doanh nghiệp có thể theo dõi và xử lý các nhiệm vụ về bảo vệ.

Cách thiết lập AWS Landing Zone

Cuối cùng, doanh nghiệp hãy cùng Magenest tìm hiểu chi tiết về cách thiết lập giải pháp AWS Landing Zone nhé!

Để thiết lập AWS Landing Zone, doanh nghiệp cần lưu ý về các khía cạnh sau: tài khoản chính, các tài khoản được chia sẻ, tài khoản đăng nhập, tài khoản kiểm toán, tài khoản chức năng cùng một số yêu cầu cơ bản.

Tài khoản chính

Doanh nghiệp có thể xây dựng AWS Control Tower từ tài khoản chính (hay Master Account). Điều này sẽ cho phép chúng ta:

• Thiết lập đơn vị cốt lõi và đơn vị tùy chỉnh – đây chính là hai đơn vị tổ chức (Organizational Units hay OU).
• Thiết lập Guardrails-Control Tower theo mặc định với những quy tắc cơ bản được triển khai bên trong mỗi tài khoản AWS. Không những vậy, doanh nghiệp cũng có thể mở rộng chúng một cách linh hoạt.
• Doanh nghiệp còn có thể xây dựng các tài khoản AWS hoàn toàn mới từ danh mục dịch vụ của AWS và chỉ định những tài khoản này cho đơn vị tổ chức OU phù hợp nhất với mình.

Các tài khoản được chia sẻ

Các tài khoản được chia sẻ (hay Shared Account) bao gồm tài khoản kiểm tra và tài khoản để ghi nhật ký. Chúng đều được thiết lập trong quá trình doanh nghiệp cấu hình nên AWS Control Tower thay vì phải thông qua danh mục dịch vụ.

Các tài nguyên cũng được phân chia cho tất cả những tài khoản AWS Landing Zone được cung cấp cho doanh nghiệp. Chúng có thể là các sản phẩm – dịch vụ dành cho chúng ta, chẳng hạn như: các thư mục tập trung, Active Directory có nhiệm vụ tích hợp SSO, quét các cơ sở hạ tầng, các khối lượng EBS AWS, dịch vụ AMI hoặc DNS đơn giản. Bên cạnh đó, doanh nghiệp cần có tính năng vai trò của IAM của nhiều tài khoản để chỉ định các quyền truy cập trên những tài khoản AWS khác nhau.

Tài khoản đăng nhập

Tài khoản đăng nhập (hay Logging Account) được Control Tower tự động xây dựng nên với mục đích hợp nhất toàn bộ các nhật ký từ nhiều tài khoản vào bên trong đó. Tất cả các loại nhật ký từ những cơ sở hạ tầng, ứng dụng, bảo mật, VPC, các cơ sở dữ liệu và những nguồn khác đều có thể được đưa vào tài khoản đăng nhập. Khi doanh nghiệp tiến hành đăng nhập, chúng ta nên xem xét vấn đề này một cách kỹ lưỡng thông qua việc triển khai tính năng hàm Lambda và luồng Kinesis. Nhờ đó, các nhật ký có thể ngay lập tức được hệ thống thu thập.

Tài khoản kiểm toán

Để thiết lập vấn đề an toàn bảo mật, Control Tower cũng tiến hành tạo nên tài khoản kiểm toán (hay Audit Account). Những loại báo cáo, các thông báo theo thời gian thực cũng như vai trò trên nhiều tài khoản đều đã được định cấu hình dành cho tài khoản kiểm toán này. Doanh nghiệp cần phải xác minh các quyền mà người dùng, các nhóm và các ứng dụng hiện đang sở hữu.

Tài khoản chức năng

Các tình huống, vấn đề thiết kế và triển khai những ứng dụng của doanh nghiệp sẽ quyết định về số lượng các tài khoản mà họ nên xây dựng. Mỗi dự án phát triển các phần mềm có quy mô lớn đều đòi hỏi phải tận dụng đa dạng các môi trường khác nhau và từng môi trường đều cần có sự khác biệt.

Có ít nhất 4 tài khoản AWS mà doanh nghiệp nên sở hữu khi triển khai các giải pháp của mình, bao gồm: phát triển (development), đảm bảo về chất lượng (quality assurance), tiền sản xuất (pre-production) và sản xuất (production). Nhờ vào việc sử dụng danh mục các dịch vụ trong tài khoản chính, doanh nghiệp có thể dễ dàng mở rộng quy mô thông qua việc thêm vào nhiều tài khoản AWS hơn. Trong đó:

• Development: Doanh nghiệp có thể bắt đầu triển khai mọi thứ bên trong môi trường này, bao gồm các hoạt động thử nghiệm, tham khảo – học hỏi và tạo nên những thứ mới. Chúng ta sẽ dễ dàng kiểm tra bất cứ tính năng hoặc các lỗi mới phát sinh nào tại đây và triển khai những công việc cần thiết của mình. Chúng ta cũng có thể tiến hành xây dựng và triển khai các mã cho nhiều tài khoản khác nhau hơn sau khi những mã này đã đạt được tình trạng ổn định.
• Pre-production: Đây chính là vị trí đảm bảo vấn đề chất lượng (quality assurance). Để đảm bảo hệ thống chương trình có thể hoạt động linh hoạt xuyên suốt, doanh nghiệp cần thử nghiệm bằng cách truy cập vào môi trường được dàn dựng thử. Chúng ta sẽ thực hiện một số thử nghiệm bên trong phần cài đặt này nhằm xác định các sai sót và xem xét các ứng dụng đã sẵn sàng cho quá trình triển khai bên trong môi trường trực tiếp hay chưa.
• Production: Đây là vị trí hạn chế các hoạt động cài đặt nhất và cũng là nơi người dùng có thể tiến hành truy cập những ứng dụng sản xuất. Vị trí này không có nhiều quyền truy cập vào các tài khoản. Chính vì vậy, doanh nghiệp cần phải kiểm tra xem các kết nối có phù hợp hay không, nhật ký có được gửi đến đúng các tài khoản với vai trò ghi nhật ký hay không, doanh nghiệp có thể phải tuân thủ những chính sách và quy định an toàn bảo mật mạnh mẽ hơn hay không,…
• DevOps: Thông qua tài khoản DevOps, nhóm DevOps có khả năng phân phối các ứng dụng một cách hiệu quả trên nhiều tài khoản Amazon Web Services (với trường hợp đây là các tài khoản phát triển, tiền sản xuất và sản xuất). Dù quy trình DevOps của doanh nghiệp được cấu hình như thế nào hay những công cụ mà chúng ta sử dụng là gì, điều quan trọng là các công cụ này cần phải được tách biệt khỏi những môi trường khác nhằm đảm bảo lý do an toàn bảo mật. Hoạt động phân phối và tích hợp một cách liên tục chính là một trong các dịch vụ được lưu trữ tại vị trí này.

Một số yêu cầu cơ bản

Sau đây là một số yêu cầu cơ bản mà doanh nghiệp cần phải đáp ứng khi tiến hành thiết lập AWS Landing Zone để đạt được kết quả tối ưu:

• Để có thể truy cập root, doanh nghiệp cần bật xác thực đa yếu tố MFA.
• Không có các thông tin xác thực nào được yêu cầu.
• Không yêu cầu việc khóa truy cập các tài khoản root.
• Doanh nghiệp cần kích hoạt tính năng theo dõi đám mây nhằm ghi lại hành động đăng xuất kết nối API của tài khoản.
• Hãy tiếp cận tất cả các khu vực của hệ sinh thái, không chỉ là khu vực đang hoạt động và chúng ta cần xem xét kỹ lưỡng về các vai trò trong hoạt động kinh doanh.

Kết luận

AWS Landing Zone là giải pháp hỗ trợ các doanh nghiệp lớn tự động hóa và dễ dàng thêm các tài khoản, tổ chức và những lớp bảo vệ với số lượng tùy chọn và bất cứ khi nào chúng ta cần. Doanh nghiệp cần phải chọn cách thiết lập AWS Landing Zone dựa theo từng trường hợp và yêu cầu cụ thể của mình để đạt được nhiều lợi ích tối ưu trong hoạt động kinh doanh.

Doanh nghiệp muốn tìm hiểu thêm về quá trình chuyển đổi số trong kinh doanh, ưu điểm và cách thức triển khai các dịch vụ Amazon Web Service, giúp chúng ta đạt được hiệu suất làm việc và lưu trữ tối ưu, hãy đăng ký theo dõi ngay những bài viết mới nhất của Magenest nhé!