Beliebte Suchanfragen
//

AWS European Sovereign Cloud: Die wichtigsten Informationen

29.10.2024 | 9 Minuten Lesezeit

Im Oktober 2023 hat Amazon Web Services seine Pläne vorgestellt, die AWS European Sovereign Cloud als “unabhängige” europäische Cloud-Lösung auf den Markt zu bringen. Erklärtes Ziel des Vorhabens ist es, Kunden im öffentlichen Sektor und streng regulierten Branchen in Europa eine Lösung zu bieten, die ihre Anforderungen zu Regulatorik und IT-Security erfüllen kann. Seitdem hat AWS eine Investition von 7,8 Milliarden Euro in das Projekt angekündigt, gefolgt von weiteren 10 Milliarden Euro für das Wachstum von AWS in Deutschland. 

AWS verspricht mit dem Angebot eine Cloud, die physisch und logisch von bestehenden AWS-Regionen getrennt ist, aber die gleiche Performance, Verfügbarkeit und Sicherheit mitbringen soll. Ob dem wirklich so ist, lässt sich aktuell noch nicht beurteilen – dennoch ist das Projekt ein durchaus spannendes Vorhaben, das für Unternehmen im Public- und KRITIS-Sektor mitunter den Einsatz einer Public-Cloud-Lösung eines Hyperscalers ermöglicht. 

Der folgende Artikel sammelt die wichtigsten Fakten und Eckdaten rund um die AWS European Sovereign Cloud. Er wird regelmäßig aktualisiert und bietet damit einen kompakten Überblick über aktuelle Entwicklungen.

Warum überhaupt eine souveräne Cloud?

“Aber AWS hat doch schon eine Region in Frankfurt. Was soll das Ganze?”, das ist vielleicht eine Frage, die einem im ersten Moment beim Lesen der Pressemitteilungen durch den Kopf geht. Die Gründe für den Schritt kann man mit den Schlagwörtern digitale Souveränität, Datenschutz und Resilienz zusammenfassen. 

Dokumente wie die Architekturrichtlinie des Bundes verweisen auf die Stärkung der digitalen Souveränität in Deutschland, also die “Fähigkeit von Institutionen, ihre Rolle in der digitalen Welt selbstständigselbstbestimmt und sicher ausüben zu können” (Zitat d. Föderalen IT-Kooperation). Es geht darum, Unternehmen in Deutschland in die Lage zu bringen, unabhängig von internationalen Herstellern agieren zu können und so den Spielraum und die Einflussnahme zu erhöhen. 

Anders formuliert: AWS wettet mit der Sovereign Cloud 7,8 Milliarden Euro in der Hoffnung, Compliance-Vorgaben hinsichtlich digitaler Souveränität in Europa erfüllen zu können und sich damit den Markt des Public Sectors und KRITIS-Unternehmen erschließen zu können.

Ab wann ist die AWS European Sovereign Cloud verfügbar?

Die AWS Sovereign Cloud soll laut AWS Ende 2025 mit einer ersten Region an den Start gehen. Bis dahin bietet AWS außerdem bereits jetzt sogenannte Dedicated Landing Zones an, mit der Kunden bereits jetzt auf ausgeweitete Compliance- und Governance-Vorgaben reagieren können. AWS erklärt, dass die Zonen ausschließlich für die Nutzung durch einen Kunden oder eine Gruppe von Kunden bestimmt sind und AWS sie an einem, vom Kunden vorgegebenen Standort oder Rechenzentrum bereitstellt.

Unserer Einschätzung nach können diese Landing Zones eine Möglichkeit sein, sich bereits jetzt an die AWS-Cloud heranzutasten. Allerdings sollten Unternehmen, die als eigentliches Ziel die Sovereign Cloud haben, entsprechend beim Testen ihrer Services auf eine leichte Portierbarkeit achten und nicht etwa Services nutzen, die für den Start der Sovereign Cloud nicht zur Verfügung stehen.

Welche Regionen stehen zum Start zur Verfügung?

Zum Start der AWS European Sovereign Cloud ist lediglich eine Region geplant: Brandenburg. Bislang sind auch noch keine weiteren Regionen angekündigt. Beim Aufbau der Region orientiert sich AWS am bisherigen Modell der AWS-Regionen, das eine Aufteilung einer Region in drei Availability Zones vorsieht. Jede Availability Zone basiert dabei auf einem oder mehreren Rechenzentren. Wir gehen davon aus, dass die angebotenen Cloud-Services ähnlich wie bisher redundant über mehrere Availability Zones hinweg zur Verfügung gestellt werden.

Aufbau der AWS European Sovereign Cloud

Aus unserer Sicht spannend ist das Thema der örtlichen Redundanz. Compliance-Vorgaben wie DORA erwarten bei Backups einen sekundären Verarbeitungsstandort, der sich in geografischer Entfernung vom ersten Standort befindet. Die Rechenzentren sind voneinander getrennt, befinden sich aber alle in der Region Brandenburg. Während man bislang für eine möglichst große Distanz auf Backups in einem anderen EU-Land ausweichen konnte, muss man sich bei der Sovereign Cloud erstmal mit einer Region in Deutschland zufriedengeben. Aus DORA-Sicht sollte das dennoch ausreichend sein, wir erwarten in der Praxis aber eine zusätzliche Diskussionsschleife mit Compliance-Verantwortlichen.

Auf welche Services kann ich zurückgreifen?

AWS hat für den Launch der AWS European Sovereign Cloud eine Verfügbarkeit von über 80 Cloud-Services angekündigt. Die Services gliedern sich dabei in Entwicklerwerkzeuge, Security-Dienste, aber auch natürlich Klassiker wie Storage- und Compute-Ressoucen und Hype-Themen wie Künstliche Intelligenz. Hervorzuheben sind unter anderem Amazon EC2, Amazon S3, IAM und Key Management Service sowie AWS Lambda, Cloudwatch und CloudFormation. Am Ende des Artikels findet ihr als Addendum eine Tabelle, die die zum Start verfügbaren Services inklusive einer kurzen Beschreibung auflistet.

Was ist aus Compliance-Sicht spannend?

Mit Hinblick auf Compliance-Vorgaben dürften vor allem drei Aspekte beim Einsatz der Sovereign Cloud von AWS relevant sein: die Verarbeitung von Metadaten, den Betrieb der Plattform von Mitarbeitern aus der EU sowie der konsequente Einsatz von AWS Nitro.

Bislang war es so, dass Kunden entscheiden konnten, auf welcher Region ihre AWS-Dienste laufen und somit auch ihre Daten gespeichert werden. Allerdings inkludierte dies nur Daten, die der Kunde selbst bereitstellt. Die von AWS generierten Metadaten, z. B. für Rollen und Berechtigungen, Konfigurationen oder Ressource-Labels, hat AWS immer in den USA verarbeitet, genauer der ersten AWS-Region us-east-1. Mit der AWS European Sovereign Cloud ändert sich dieser Zustand, die Verarbeitung der Metadaten findet in der Region Brandenburg statt. Damit dürfte eine Datenhaltung komplett in Deutschland gewährleistet sein.

Damit zusammenhängend plant AWS außerdem, lediglich Mitarbeiter mit EU-Staatsangehörigkeit für die Sovereign Cloud einzustellen. Dadurch will man wohl auf Nummer sicher gehen und gewährleisten, dass es keine Argumentation geben kann, dass beispielsweise amerikanische Staatsangehörige Daten verarbeiten bzw. die Möglichkeit einer Einflussnahme von Nicht-Europäern besteht.

Aus technischer Sicht ist der Einsatz von AWS Nitro hervorzuheben. Dabei handelt es sich um eine Weiterentwicklung der EC2-Instanzen, die für eine erhöhte Sicherheit sorgen soll. AWS setzt diese zwar bereits in der regulären Cloud ein, verweist aber dennoch gerne auf sie, da sie verhindern sollen, dass AWS-Mitarbeiter auf Daten von Kunden zugreifen können. 

Neben diesen drei Aspekten erscheint uns außerdem erwähnenswert, dass AWS offensichtlich daran arbeitet, sich eine Verwendbarkeit der Sovereign Cloud in Hinblick auf digitale Souveränität bestätigen zu lassen. In der offiziellen Pressemeldung schmückt ein Zitat von BSI-Chefin Claudia Plattner den Bericht mit der Aussage, dass das Angebot “es für viele Behörden und Unternehmen … deutlich leichter machen [wird], die AWS-Services zu nutzen”. Die Lobby-Arbeit seitens AWS scheint also im vollen Gange zu sein und solche Aussagen dürften dazu beitragen, die Akzeptanz der Cloud-Lösung auf Managementebene zu erhöhen.

Welche Alternativen gibt es zur AWS European Sovereign Cloud?

AWS ist selbstverständlich nicht der einzige Cloud-Anbieter, der versucht, sich durch einen stärkeren Fokus auf Lokalität und Compliance-Richtlinien im regulierten Umfeld zu positionieren. Alternativen, die es zu evaluieren gilt, lassen sich in drei Kategorien einteilen: europäische Cloud-Anbieter, deutsche Cloud-Anbieter und Sovereign-Lösungen der US-Hyperscaler. Angebote gibt es unter anderem von: 

  • IONOS

  • OVH

  • T-Systems Sovereign Cloud von Google Cloud

  • Microsoft Sovereign Cloud

  • DELOS Cloud

  • STACKIT 

Auch wenn das Angebot der einzelnen Anbieter recht unterschiedlich ist: Unternehmen sind unserer Auffassung nach gut beraten darin, nicht alleine auf die AWS-Angebote zu schauen. Insbesondere Vorgaben hinsichtlich der digitalen Souveränität erfordern von Unternehmen, eine Wechselfähigkeit zwischen Anbietern zu ermöglichen, Vorgaben wie DORA erfordern zum Beispiel das Vorhalten von Exit-Strategien bei der Zusammenarbeit mit Dienstleistern. 

Ohne Shared Responsibility geht es nicht

Auch wenn die AWS European Sovereign Cloud unserer Ansicht nach aus Compliance-Aspekten den Einsatz von Cloud-Technologien im regulierten Umfeld vereinfachen wird: Ohne Shared Responsibility geht es nicht. Nur durch den Einsatz der Cloud befreien sich Unternehmen nicht von regulatorischen Vorgaben und Berichtspflichten. Außerdem müssen sie eigenverantwortlich dafür Sorge tragen, moderne Standards der iT-Sicherheit umzusetzen und einzuhalten. AWS selbst hält diese mit Testaten wie dem Kriterienkatalog C5 bereits heute ein. Die Herausforderungen aus organisatorischen Wandel, Compliance-Vorgaben und technologischen Möglichkeiten, die durch den Einsatz der AWS European Sovereign Cloud entstehen, hat aber nach wie vor jedes Unternehmen selbst zu bewältigen. 

Addendum: Die Services zum Start der AWS European Sovereign Cloud

AWS Service

Kategorie

Kurzbeschreibung

Amazon Athena

Analytics

Serverloser Abfragedienst zur Analyse von Daten in S3 mit SQL

Amazon Data Firehose

Analytics

Vollständig verwalteter Dienst zur Bereitstellung von Echtzeit-Streaming-Daten

Amazon EMR

Analytics

Cloud-Big-Data-Plattform zur Verarbeitung großer Datenmengen

Amazon Kinesis Data Streams

Analytics

Skalierbarer Echtzeit-Daten-Streaming-Dienst

Amazon Managed Service for Apache Flink

Analytics

Vollständig verwalteter Apache-Flink-Dienst für Streaming-Verarbeitung

Amazon MSK

Analytics

Vollständig verwalteter Apache-Kafka-Dienst

Amazon OpenSearch Service

Analytics

Verwalteter Such- und Analysedienst

AWS Glue

Analytics

Vollständig verwalteter ETL-Dienst (Extrahieren, Transformieren, Laden)

AWS Lake Formation

Analytics

Dienst zum Aufbau, Sichern und Verwalten von Data Lakes

Amazon EventBridge

Anwendungsintegration

Serverloser Event-Bus zum Erstellen ereignisgesteuerter Anwendungen

Amazon SNS

Anwendungsintegration

Vollständig verwalteter Pub/Sub-Messaging-Dienst

Amazon SQS

Anwendungsintegration

Vollständig verwalteter Nachrichtenwarteschlangendienst

Amazon SWF

Anwendungsintegration

Vollständig verwalteter Zustandsverfolger und Aufgabenkoordinator

AWS Step Functions

Anwendungsintegration

Visueller Workflow-Dienst für verteilte Anwendungen

Amazon Bedrock

KI/ML

Vollständig verwalteter Dienst für Basis-KI-Modelle

Amazon Q

KI/ML

KI-gestützter Assistent für die Arbeit

Amazon SageMaker

KI/ML

Vollständig verwaltete Plattform für maschinelles Lernen

Amazon SES

Geschäftsanwendungen

Cloud-basierter E-Mail-Versanddienst

AWS Wickr

Geschäftsanwendungen

Ende-zu-Ende-verschlüsselter Kommunikationsdienst

AWS Budgets

Cloud-Finanzmanagement

Benutzerdefinierte Kosten- und Nutzungsbudgets erstellen

AWS Cost Explorer

Cloud-Finanzmanagement

AWS-Kosten und -Nutzung visualisieren und verwalten

Amazon EC2 Auto Scaling

Compute

EC2-Kapazität automatisch anpassen

Amazon EC2

Compute

Skalierbare Rechenkapazität in der Cloud

AWS Batch

Compute

Batch-Computing-Workloads in beliebigem Umfang ausführen

AWS Lambda

Compute

Function-as-a-Service-Dienst

EC2 Image Builder

Compute

Sichere Server-Images erstellen und pflegen

Amazon ECR

Container

Vollständig verwaltete Container-Registry

Amazon ECS

Container

Hochskalierbarer Container-Orchestrierungsdienst

Amazon EKS

Container

Verwalteter Kubernetes-Dienst

AWS Fargate

Container

Serverlose Compute-Engine für Container

Amazon Aurora

Datenbank

MySQL- und PostgreSQL-kompatible relationale Datenbank

Amazon DynamoDB

Datenbank

Verwaltete NoSQL-Datenbank

Amazon ElastiCache

Datenbank

In-Memory-Caching-Dienst

Amazon Neptune

Datenbank

Vollständig verwalteter Graphdatenbankdienst

Amazon Redshift

Datenbank

Vollständig verwaltetes Data Warehouse

Amazon RDS

Datenbank

Verwalteter relationaler Datenbankdienst für mehrere Engines

Amazon RDS for Oracle

Datenbank

Verwalteter Oracle-Datenbankdienst

Amazon RDS for SQL Server

Datenbank

Verwalteter SQL-Server-Datenbankdienst

AWS CodeDeploy

Entwicklertools

Automatisierung von Code-Bereitstellungen

AWS X-Ray

Entwicklertools

Verteilte Anwendungen analysieren und debuggen

Amazon CloudWatch

Management & Governance

Überwachungs- und Beobachtbarkeitsdienst

AWS CloudFormation

Management & Governance

Infrastructure-as-Code-Dienst

AWS CloudTrail

Management & Governance

Benutzeraktivitäten und API-Nutzung verfolgen

AWS Config

Management & Governance

Ressourcenkonfigurationen bewerten, prüfen und evaluieren

AWS Control Tower

Management & Governance

Sichere, mehrkontige AWS-Umgebung einrichten und verwalten

AWS Health Dashboard

Management & Governance

Personalisierte Ansicht des AWS-Servicezustands

AWS License Manager

Management & Governance

Softwarelizenzen verwalten

AWS Management Console

Management & Governance

Webschnittstelle zur Verwaltung von AWS-Diensten

AWS Organizations

Management & Governance

Zentrale Verwaltung und Steuerung mehrerer AWS-Konten

AWS Systems Manager

Management & Governance

Betriebliche Einblicke und Aktionen

AWS Trusted Advisor

Management & Governance

Infrastruktur basierend auf Best Practices optimieren

AWS DMS

Migration & Modernisierung

Datenbankmigrationsservice

AWS DataSync

Migration & Modernisierung

Online-Datenübertragungen vereinfachen

AWS Transfer Family

Migration & Modernisierung

Vollständig verwalteter SFTP-, FTPS- und FTP-Dienst

Amazon API Gateway

Netzwerk & Inhaltsbereitstellung

APIs erstellen, veröffentlichen und verwalten

Amazon Route 53

Netzwerk & Inhaltsbereitstellung

Skalierbarer Domain Name System (DNS) Dienst

Amazon VPC

Netzwerk & Inhaltsbereitstellung

Isolierte Cloud-Ressourcen

AWS Cloud Map

Netzwerk & Inhaltsbereitstellung

Dienstermittlung für Cloud-Ressourcen

AWS Direct Connect

Netzwerk & Inhaltsbereitstellung

Dedizierte Netzwerkverbindung zu AWS

AWS Site-to-Site VPN

Netzwerk & Inhaltsbereitstellung

On-Premises-Netzwerke sicher mit VPCs verbinden

AWS Transit Gateway

Netzwerk & Inhaltsbereitstellung

Zentrale Verwaltung der Netzwerkkonnektivität

Elastic Load Balancing

Netzwerk & Inhaltsbereitstellung

Eingehenden Datenverkehr auf Ziele verteilen

Amazon Cognito

Sicherheit, Identität & Compliance

Benutzeranmeldung und -registrierung zu Apps hinzufügen

Amazon GuardDuty

Sicherheit, Identität & Compliance

Intelligenter Bedrohungserkennungsdienst

AWS Certificate Manager

Sicherheit, Identität & Compliance

SSL/TLS-Zertifikate bereitstellen und verwalten

AWS Directory Service

Sicherheit, Identität & Compliance

Verwaltetes Active Directory

AWS Firewall Manager

Sicherheit, Identität & Compliance

Zentrale Verwaltung von Firewall-Regeln

AWS IAM Identity Center

Sicherheit, Identität & Compliance

Zentrales Verwalten des Zugriffs auf AWS-Konten und Anwendungen

AWS IAM

Sicherheit, Identität & Compliance

Zugriff auf AWS-Dienste und -Ressourcen verwalten

AWS KMS

Sicherheit, Identität & Compliance

Verschlüsselungsschlüssel erstellen und kontrollieren

AWS Private CA

Sicherheit, Identität & Compliance

Private Zertifizierungsstellenhierarchien erstellen

AWS RAM

Sicherheit, Identität & Compliance

AWS-Ressourcen kontenübergreifend teilen

AWS Secrets Manager

Sicherheit, Identität & Compliance

Geheimnisse rotieren, verwalten und abrufen

AWS Security Hub

Sicherheit, Identität & Compliance

Zentralisiertes Sicherheits- und Compliance-Management

AWS Shield Advanced

Sicherheit, Identität & Compliance

Verwalteter DDoS-Schutz

AWS WAF

Sicherheit, Identität & Compliance

Web Application Firewall

IAM Access Analyzer

Sicherheit, Identität & Compliance

Unbeabsichtigten Ressourcenzugriff identifizieren

Amazon EBS

Speicher

Blockspeicher für EC2-Instanzen

Amazon EFS

Speicher

Vollständig verwaltetes Dateisystem für EC2

Amazon FSx for Lustre

Speicher

Hochleistungs-Dateisystem

Amazon FSx for NetApp ONTAP

Speicher

Vollständig verwaltetes NetApp-ONTAP-Dateisystem

Amazon FSx for OpenZFS

Speicher

Vollständig verwaltetes OpenZFS-Dateisystem

Amazon FSx for Windows File Server

Speicher

Vollständig verwaltete Windows-Dateiserver

Amazon S3

Speicher

Objektspeicher zum Speichern und Abrufen beliebiger Datenmengen

AWS Backup

Speicher

Zentrale Verwaltung und Automatisierung von Backups

AWS Storage Gateway

Speicher

Hybrider Cloud-Speicherdienst

Beitrag teilen

Gefällt mir

1

//

Weitere Artikel in diesem Themenbereich

Entdecke spannende weiterführende Themen und lass dich von der codecentric Welt inspirieren.

//

Gemeinsam bessere Projekte umsetzen.

Wir helfen deinem Unternehmen.

Du stehst vor einer großen IT-Herausforderung? Wir sorgen für eine maßgeschneiderte Unterstützung. Informiere dich jetzt.

Hilf uns, noch besser zu werden.

Wir sind immer auf der Suche nach neuen Talenten. Auch für dich ist die passende Stelle dabei.