Im Oktober 2023 hat Amazon Web Services seine Pläne vorgestellt, die AWS European Sovereign Cloud als “unabhängige” europäische Cloud-Lösung auf den Markt zu bringen. Erklärtes Ziel des Vorhabens ist es, Kunden im öffentlichen Sektor und streng regulierten Branchen in Europa eine Lösung zu bieten, die ihre Anforderungen zu Regulatorik und IT-Security erfüllen kann. Seitdem hat AWS eine Investition von 7,8 Milliarden Euro in das Projekt angekündigt, gefolgt von weiteren 10 Milliarden Euro für das Wachstum von AWS in Deutschland.
AWS verspricht mit dem Angebot eine Cloud, die physisch und logisch von bestehenden AWS-Regionen getrennt ist, aber die gleiche Performance, Verfügbarkeit und Sicherheit mitbringen soll. Ob dem wirklich so ist, lässt sich aktuell noch nicht beurteilen – dennoch ist das Projekt ein durchaus spannendes Vorhaben, das für Unternehmen im Public- und KRITIS-Sektor mitunter den Einsatz einer Public-Cloud-Lösung eines Hyperscalers ermöglicht.
Der folgende Artikel sammelt die wichtigsten Fakten und Eckdaten rund um die AWS European Sovereign Cloud. Er wird regelmäßig aktualisiert und bietet damit einen kompakten Überblick über aktuelle Entwicklungen.
Warum überhaupt eine souveräne Cloud?
“Aber AWS hat doch schon eine Region in Frankfurt. Was soll das Ganze?”, das ist vielleicht eine Frage, die einem im ersten Moment beim Lesen der Pressemitteilungen durch den Kopf geht. Die Gründe für den Schritt kann man mit den Schlagwörtern digitale Souveränität, Datenschutz und Resilienz zusammenfassen.
Dokumente wie die Architekturrichtlinie des Bundes verweisen auf die Stärkung der digitalen Souveränität in Deutschland, also die “Fähigkeit von Institutionen, ihre Rolle in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können” (Zitat d. Föderalen IT-Kooperation). Es geht darum, Unternehmen in Deutschland in die Lage zu bringen, unabhängig von internationalen Herstellern agieren zu können und so den Spielraum und die Einflussnahme zu erhöhen.
Anders formuliert: AWS wettet mit der Sovereign Cloud 7,8 Milliarden Euro in der Hoffnung, Compliance-Vorgaben hinsichtlich digitaler Souveränität in Europa erfüllen zu können und sich damit den Markt des Public Sectors und KRITIS-Unternehmen erschließen zu können.
Ab wann ist die AWS European Sovereign Cloud verfügbar?
Die AWS Sovereign Cloud soll laut AWS Ende 2025 mit einer ersten Region an den Start gehen. Bis dahin bietet AWS außerdem bereits jetzt sogenannte Dedicated Landing Zones an, mit der Kunden bereits jetzt auf ausgeweitete Compliance- und Governance-Vorgaben reagieren können. AWS erklärt, dass die Zonen ausschließlich für die Nutzung durch einen Kunden oder eine Gruppe von Kunden bestimmt sind und AWS sie an einem, vom Kunden vorgegebenen Standort oder Rechenzentrum bereitstellt.
Unserer Einschätzung nach können diese Landing Zones eine Möglichkeit sein, sich bereits jetzt an die AWS-Cloud heranzutasten. Allerdings sollten Unternehmen, die als eigentliches Ziel die Sovereign Cloud haben, entsprechend beim Testen ihrer Services auf eine leichte Portierbarkeit achten und nicht etwa Services nutzen, die für den Start der Sovereign Cloud nicht zur Verfügung stehen.
Welche Regionen stehen zum Start zur Verfügung?
Zum Start der AWS European Sovereign Cloud ist lediglich eine Region geplant: Brandenburg. Bislang sind auch noch keine weiteren Regionen angekündigt. Beim Aufbau der Region orientiert sich AWS am bisherigen Modell der AWS-Regionen, das eine Aufteilung einer Region in drei Availability Zones vorsieht. Jede Availability Zone basiert dabei auf einem oder mehreren Rechenzentren. Wir gehen davon aus, dass die angebotenen Cloud-Services ähnlich wie bisher redundant über mehrere Availability Zones hinweg zur Verfügung gestellt werden.
Aus unserer Sicht spannend ist das Thema der örtlichen Redundanz. Compliance-Vorgaben wie DORA erwarten bei Backups einen sekundären Verarbeitungsstandort, der sich in geografischer Entfernung vom ersten Standort befindet. Die Rechenzentren sind voneinander getrennt, befinden sich aber alle in der Region Brandenburg. Während man bislang für eine möglichst große Distanz auf Backups in einem anderen EU-Land ausweichen konnte, muss man sich bei der Sovereign Cloud erstmal mit einer Region in Deutschland zufriedengeben. Aus DORA-Sicht sollte das dennoch ausreichend sein, wir erwarten in der Praxis aber eine zusätzliche Diskussionsschleife mit Compliance-Verantwortlichen.
Auf welche Services kann ich zurückgreifen?
AWS hat für den Launch der AWS European Sovereign Cloud eine Verfügbarkeit von über 80 Cloud-Services angekündigt. Die Services gliedern sich dabei in Entwicklerwerkzeuge, Security-Dienste, aber auch natürlich Klassiker wie Storage- und Compute-Ressoucen und Hype-Themen wie Künstliche Intelligenz. Hervorzuheben sind unter anderem Amazon EC2, Amazon S3, IAM und Key Management Service sowie AWS Lambda, Cloudwatch und CloudFormation. Am Ende des Artikels findet ihr als Addendum eine Tabelle, die die zum Start verfügbaren Services inklusive einer kurzen Beschreibung auflistet.
Was ist aus Compliance-Sicht spannend?
Mit Hinblick auf Compliance-Vorgaben dürften vor allem drei Aspekte beim Einsatz der Sovereign Cloud von AWS relevant sein: die Verarbeitung von Metadaten, den Betrieb der Plattform von Mitarbeitern aus der EU sowie der konsequente Einsatz von AWS Nitro.
Bislang war es so, dass Kunden entscheiden konnten, auf welcher Region ihre AWS-Dienste laufen und somit auch ihre Daten gespeichert werden. Allerdings inkludierte dies nur Daten, die der Kunde selbst bereitstellt. Die von AWS generierten Metadaten, z. B. für Rollen und Berechtigungen, Konfigurationen oder Ressource-Labels, hat AWS immer in den USA verarbeitet, genauer der ersten AWS-Region us-east-1. Mit der AWS European Sovereign Cloud ändert sich dieser Zustand, die Verarbeitung der Metadaten findet in der Region Brandenburg statt. Damit dürfte eine Datenhaltung komplett in Deutschland gewährleistet sein.
Damit zusammenhängend plant AWS außerdem, lediglich Mitarbeiter mit EU-Staatsangehörigkeit für die Sovereign Cloud einzustellen. Dadurch will man wohl auf Nummer sicher gehen und gewährleisten, dass es keine Argumentation geben kann, dass beispielsweise amerikanische Staatsangehörige Daten verarbeiten bzw. die Möglichkeit einer Einflussnahme von Nicht-Europäern besteht.
Aus technischer Sicht ist der Einsatz von AWS Nitro hervorzuheben. Dabei handelt es sich um eine Weiterentwicklung der EC2-Instanzen, die für eine erhöhte Sicherheit sorgen soll. AWS setzt diese zwar bereits in der regulären Cloud ein, verweist aber dennoch gerne auf sie, da sie verhindern sollen, dass AWS-Mitarbeiter auf Daten von Kunden zugreifen können.
Neben diesen drei Aspekten erscheint uns außerdem erwähnenswert, dass AWS offensichtlich daran arbeitet, sich eine Verwendbarkeit der Sovereign Cloud in Hinblick auf digitale Souveränität bestätigen zu lassen. In der offiziellen Pressemeldung schmückt ein Zitat von BSI-Chefin Claudia Plattner den Bericht mit der Aussage, dass das Angebot “es für viele Behörden und Unternehmen … deutlich leichter machen [wird], die AWS-Services zu nutzen”. Die Lobby-Arbeit seitens AWS scheint also im vollen Gange zu sein und solche Aussagen dürften dazu beitragen, die Akzeptanz der Cloud-Lösung auf Managementebene zu erhöhen.
Welche Alternativen gibt es zur AWS European Sovereign Cloud?
AWS ist selbstverständlich nicht der einzige Cloud-Anbieter, der versucht, sich durch einen stärkeren Fokus auf Lokalität und Compliance-Richtlinien im regulierten Umfeld zu positionieren. Alternativen, die es zu evaluieren gilt, lassen sich in drei Kategorien einteilen: europäische Cloud-Anbieter, deutsche Cloud-Anbieter und Sovereign-Lösungen der US-Hyperscaler. Angebote gibt es unter anderem von:
IONOS
OVH
T-Systems Sovereign Cloud von Google Cloud
Microsoft Sovereign Cloud
DELOS Cloud
STACKIT
Auch wenn das Angebot der einzelnen Anbieter recht unterschiedlich ist: Unternehmen sind unserer Auffassung nach gut beraten darin, nicht alleine auf die AWS-Angebote zu schauen. Insbesondere Vorgaben hinsichtlich der digitalen Souveränität erfordern von Unternehmen, eine Wechselfähigkeit zwischen Anbietern zu ermöglichen, Vorgaben wie DORA erfordern zum Beispiel das Vorhalten von Exit-Strategien bei der Zusammenarbeit mit Dienstleistern.
Ohne Shared Responsibility geht es nicht
Auch wenn die AWS European Sovereign Cloud unserer Ansicht nach aus Compliance-Aspekten den Einsatz von Cloud-Technologien im regulierten Umfeld vereinfachen wird: Ohne Shared Responsibility geht es nicht. Nur durch den Einsatz der Cloud befreien sich Unternehmen nicht von regulatorischen Vorgaben und Berichtspflichten. Außerdem müssen sie eigenverantwortlich dafür Sorge tragen, moderne Standards der iT-Sicherheit umzusetzen und einzuhalten. AWS selbst hält diese mit Testaten wie dem Kriterienkatalog C5 bereits heute ein. Die Herausforderungen aus organisatorischen Wandel, Compliance-Vorgaben und technologischen Möglichkeiten, die durch den Einsatz der AWS European Sovereign Cloud entstehen, hat aber nach wie vor jedes Unternehmen selbst zu bewältigen.
Addendum: Die Services zum Start der AWS European Sovereign Cloud
AWS Service | Kategorie | Kurzbeschreibung |
|---|---|---|
Amazon Athena | Analytics | Serverloser Abfragedienst zur Analyse von Daten in S3 mit SQL |
Amazon Data Firehose | Analytics | Vollständig verwalteter Dienst zur Bereitstellung von Echtzeit-Streaming-Daten |
Amazon EMR | Analytics | Cloud-Big-Data-Plattform zur Verarbeitung großer Datenmengen |
Amazon Kinesis Data Streams | Analytics | Skalierbarer Echtzeit-Daten-Streaming-Dienst |
Amazon Managed Service for Apache Flink | Analytics | Vollständig verwalteter Apache-Flink-Dienst für Streaming-Verarbeitung |
Amazon MSK | Analytics | Vollständig verwalteter Apache-Kafka-Dienst |
Amazon OpenSearch Service | Analytics | Verwalteter Such- und Analysedienst |
AWS Glue | Analytics | Vollständig verwalteter ETL-Dienst (Extrahieren, Transformieren, Laden) |
AWS Lake Formation | Analytics | Dienst zum Aufbau, Sichern und Verwalten von Data Lakes |
Amazon EventBridge | Anwendungsintegration | Serverloser Event-Bus zum Erstellen ereignisgesteuerter Anwendungen |
Amazon SNS | Anwendungsintegration | Vollständig verwalteter Pub/Sub-Messaging-Dienst |
Amazon SQS | Anwendungsintegration | Vollständig verwalteter Nachrichtenwarteschlangendienst |
Amazon SWF | Anwendungsintegration | Vollständig verwalteter Zustandsverfolger und Aufgabenkoordinator |
AWS Step Functions | Anwendungsintegration | Visueller Workflow-Dienst für verteilte Anwendungen |
Amazon Bedrock | KI/ML | Vollständig verwalteter Dienst für Basis-KI-Modelle |
Amazon Q | KI/ML | KI-gestützter Assistent für die Arbeit |
Amazon SageMaker | KI/ML | Vollständig verwaltete Plattform für maschinelles Lernen |
Amazon SES | Geschäftsanwendungen | Cloud-basierter E-Mail-Versanddienst |
AWS Wickr | Geschäftsanwendungen | Ende-zu-Ende-verschlüsselter Kommunikationsdienst |
AWS Budgets | Cloud-Finanzmanagement | Benutzerdefinierte Kosten- und Nutzungsbudgets erstellen |
AWS Cost Explorer | Cloud-Finanzmanagement | AWS-Kosten und -Nutzung visualisieren und verwalten |
Amazon EC2 Auto Scaling | Compute | EC2-Kapazität automatisch anpassen |
Amazon EC2 | Compute | Skalierbare Rechenkapazität in der Cloud |
AWS Batch | Compute | Batch-Computing-Workloads in beliebigem Umfang ausführen |
AWS Lambda | Compute | Function-as-a-Service-Dienst |
EC2 Image Builder | Compute | Sichere Server-Images erstellen und pflegen |
Amazon ECR | Container | Vollständig verwaltete Container-Registry |
Amazon ECS | Container | Hochskalierbarer Container-Orchestrierungsdienst |
Amazon EKS | Container | Verwalteter Kubernetes-Dienst |
AWS Fargate | Container | Serverlose Compute-Engine für Container |
Amazon Aurora | Datenbank | MySQL- und PostgreSQL-kompatible relationale Datenbank |
Amazon DynamoDB | Datenbank | Verwaltete NoSQL-Datenbank |
Amazon ElastiCache | Datenbank | In-Memory-Caching-Dienst |
Amazon Neptune | Datenbank | Vollständig verwalteter Graphdatenbankdienst |
Amazon Redshift | Datenbank | Vollständig verwaltetes Data Warehouse |
Amazon RDS | Datenbank | Verwalteter relationaler Datenbankdienst für mehrere Engines |
Amazon RDS for Oracle | Datenbank | Verwalteter Oracle-Datenbankdienst |
Amazon RDS for SQL Server | Datenbank | Verwalteter SQL-Server-Datenbankdienst |
AWS CodeDeploy | Entwicklertools | Automatisierung von Code-Bereitstellungen |
AWS X-Ray | Entwicklertools | Verteilte Anwendungen analysieren und debuggen |
Amazon CloudWatch | Management & Governance | Überwachungs- und Beobachtbarkeitsdienst |
AWS CloudFormation | Management & Governance | Infrastructure-as-Code-Dienst |
AWS CloudTrail | Management & Governance | Benutzeraktivitäten und API-Nutzung verfolgen |
AWS Config | Management & Governance | Ressourcenkonfigurationen bewerten, prüfen und evaluieren |
AWS Control Tower | Management & Governance | Sichere, mehrkontige AWS-Umgebung einrichten und verwalten |
AWS Health Dashboard | Management & Governance | Personalisierte Ansicht des AWS-Servicezustands |
AWS License Manager | Management & Governance | Softwarelizenzen verwalten |
AWS Management Console | Management & Governance | Webschnittstelle zur Verwaltung von AWS-Diensten |
AWS Organizations | Management & Governance | Zentrale Verwaltung und Steuerung mehrerer AWS-Konten |
AWS Systems Manager | Management & Governance | Betriebliche Einblicke und Aktionen |
AWS Trusted Advisor | Management & Governance | Infrastruktur basierend auf Best Practices optimieren |
AWS DMS | Migration & Modernisierung | Datenbankmigrationsservice |
AWS DataSync | Migration & Modernisierung | Online-Datenübertragungen vereinfachen |
AWS Transfer Family | Migration & Modernisierung | Vollständig verwalteter SFTP-, FTPS- und FTP-Dienst |
Amazon API Gateway | Netzwerk & Inhaltsbereitstellung | APIs erstellen, veröffentlichen und verwalten |
Amazon Route 53 | Netzwerk & Inhaltsbereitstellung | Skalierbarer Domain Name System (DNS) Dienst |
Amazon VPC | Netzwerk & Inhaltsbereitstellung | Isolierte Cloud-Ressourcen |
AWS Cloud Map | Netzwerk & Inhaltsbereitstellung | Dienstermittlung für Cloud-Ressourcen |
AWS Direct Connect | Netzwerk & Inhaltsbereitstellung | Dedizierte Netzwerkverbindung zu AWS |
AWS Site-to-Site VPN | Netzwerk & Inhaltsbereitstellung | On-Premises-Netzwerke sicher mit VPCs verbinden |
AWS Transit Gateway | Netzwerk & Inhaltsbereitstellung | Zentrale Verwaltung der Netzwerkkonnektivität |
Elastic Load Balancing | Netzwerk & Inhaltsbereitstellung | Eingehenden Datenverkehr auf Ziele verteilen |
Amazon Cognito | Sicherheit, Identität & Compliance | Benutzeranmeldung und -registrierung zu Apps hinzufügen |
Amazon GuardDuty | Sicherheit, Identität & Compliance | Intelligenter Bedrohungserkennungsdienst |
AWS Certificate Manager | Sicherheit, Identität & Compliance | SSL/TLS-Zertifikate bereitstellen und verwalten |
AWS Directory Service | Sicherheit, Identität & Compliance | Verwaltetes Active Directory |
AWS Firewall Manager | Sicherheit, Identität & Compliance | Zentrale Verwaltung von Firewall-Regeln |
AWS IAM Identity Center | Sicherheit, Identität & Compliance | Zentrales Verwalten des Zugriffs auf AWS-Konten und Anwendungen |
AWS IAM | Sicherheit, Identität & Compliance | Zugriff auf AWS-Dienste und -Ressourcen verwalten |
AWS KMS | Sicherheit, Identität & Compliance | Verschlüsselungsschlüssel erstellen und kontrollieren |
AWS Private CA | Sicherheit, Identität & Compliance | Private Zertifizierungsstellenhierarchien erstellen |
AWS RAM | Sicherheit, Identität & Compliance | AWS-Ressourcen kontenübergreifend teilen |
AWS Secrets Manager | Sicherheit, Identität & Compliance | Geheimnisse rotieren, verwalten und abrufen |
AWS Security Hub | Sicherheit, Identität & Compliance | Zentralisiertes Sicherheits- und Compliance-Management |
AWS Shield Advanced | Sicherheit, Identität & Compliance | Verwalteter DDoS-Schutz |
AWS WAF | Sicherheit, Identität & Compliance | Web Application Firewall |
IAM Access Analyzer | Sicherheit, Identität & Compliance | Unbeabsichtigten Ressourcenzugriff identifizieren |
Amazon EBS | Speicher | Blockspeicher für EC2-Instanzen |
Amazon EFS | Speicher | Vollständig verwaltetes Dateisystem für EC2 |
Amazon FSx for Lustre | Speicher | Hochleistungs-Dateisystem |
Amazon FSx for NetApp ONTAP | Speicher | Vollständig verwaltetes NetApp-ONTAP-Dateisystem |
Amazon FSx for OpenZFS | Speicher | Vollständig verwaltetes OpenZFS-Dateisystem |
Amazon FSx for Windows File Server | Speicher | Vollständig verwaltete Windows-Dateiserver |
Amazon S3 | Speicher | Objektspeicher zum Speichern und Abrufen beliebiger Datenmengen |
AWS Backup | Speicher | Zentrale Verwaltung und Automatisierung von Backups |
AWS Storage Gateway | Speicher | Hybrider Cloud-Speicherdienst |
War dieser Beitrag hilfreich?
Weitere Beiträge
von Björn Bohn
10.10.2024 Dein Job bei codecentric?
Jobs
Agile Developer und Consultant (w/d/m)
Alle Standorte
Weitere Artikel in diesem Themenbereich
Entdecke spannende weiterführende Themen und lass dich von der codecentric Welt inspirieren.
Gemeinsam bessere Projekte umsetzen.
Wir helfen deinem Unternehmen.
Du stehst vor einer großen IT-Herausforderung? Wir sorgen für eine maßgeschneiderte Unterstützung. Informiere dich jetzt.
Hilf uns, noch besser zu werden.
Wir sind immer auf der Suche nach neuen Talenten. Auch für dich ist die passende Stelle dabei.
Blog-Autor*in
Björn Bohn
Cloud Transformation Consultant
Du hast noch Fragen zu diesem Thema? Dann sprich mich einfach an.
Du hast noch Fragen zu diesem Thema? Dann sprich mich einfach an.