Was ist eine Azure Landing Zone — und braucht Ihr KMU eine?
· von Dmitry Ivakin
Wenn Sie sich mit Azure für Ihr Unternehmen beschäftigt haben, sind Sie wahrscheinlich auf den Begriff „Azure Landing Zone" gestoßen — und haben sofort angenommen, das sei etwas für Großunternehmen. Diese Annahme ist verständlich. Die offizielle Microsoft-Dokumentation umfasst Hunderte von Seiten und beschreibt Konzepte wie Management-Group-Hierarchien und Enterprise-Scale-Architekturen. Es liest sich wie ein Projekt, das ein Team von Cloud-Architekten sechs Monate lang für ein Unternehmen mit Tausenden von Mitarbeitern baut.
Das stimmt nicht. Eine Landing Zone ist eine ordentlich konfigurierte Azure-Umgebung — eine, die mit den richtigen Sicherheitskontrollen, Cost-Management-Leitplanken und Governance-Strukturen aufgebaut wird, bevor der erste Workload deployed wird. Die Alternative ist das, was die meisten kleinen Unternehmen tatsächlich haben: ein Azure-Abonnement, das jemand mit einem privaten Microsoft-Konto angelegt hat, alles in einer einzigen Ressourcengruppe, keine Kostenalarme, keine Zugriffskontrollen, Sicherheitsstandards unverändert.
Im Folgenden erfahren Sie, was eine Azure Landing Zone wirklich ist, was es Sie kostet, darauf zu verzichten — und wie Sie beurteilen, ob Ihr Unternehmen jetzt eine braucht oder noch warten kann.
Was eine Azure Landing Zone wirklich ist
Wenn man das Marketing-Vokabular beiseitelässt, ist eine Azure Landing Zone eine Azure-Umgebung, die auf vier Dingen aufgebaut ist: Sicherheit, Governance, Netzwerk und Kostenkontrolle. Sie richten sie einmal richtig ein, damit alles, was darauf aufgebaut wird, automatisch die richtigen Standards erbt.
Für ein kleines oder mittelständisches Unternehmen bedeutet das typischerweise:
- Eine definierte Abonnementstruktur — Produktionsressourcen getrennt von Entwicklungs- und Testumgebungen, sodass kein Entwickler versehentlich eine Produktionsdatenbank löschen kann.
- Rollenbasierte Zugriffskontrolle (RBAC) — bestimmte Personen haben Zugriff auf bestimmte Ressourcen. Niemand hat Owner-Rechte auf dem Produktions-Abonnement, außer denjenigen, die es wirklich benötigen.
- Azure Policy — Regeln, die Ihre Standards automatisch durchsetzen. Verschlüsselung auf allen Storage Accounts vorschreiben. Ressourcen außerhalb von EU-Regionen blockieren. Tagging erzwingen, damit Sie wissen, wofür jede Ressource genutzt wird und wer sie verantwortet.
- Kostenmanagement und Budgetalarme — Benachrichtigungen, bevor Sie Ausgabengrenzen erreichen, nicht danach. Ressourcen-Tagging nach Abteilung oder Projekt, damit Sie Kosten bis zu den Verursachern zurückverfolgen können.
- Netzwerkarchitektur — eine Hub-and-Spoke-Topologie, die gemeinsam genutzte Dienste (VPN-Gateway, Firewall, DNS) von workloadspezifischen Virtual Networks trennt. Für Unternehmen mit On-Premises-Infrastruktur wird hier die Verbindung zwischen dem Büronetzwerk und Azure hergestellt.
- Sicherheits-Baseline — Microsoft Defender for Cloud aktiviert, Sicherheitsempfehlungen geprüft und ein Mindest-Sicherheitsniveau durchgesetzt, bevor irgendetwas deployed wird.
Nichts davon hindert Sie daran, etwas aufzubauen. Es legt die Regeln fest, nach denen alle Ihre Ressourcen standardmäßig funktionieren — damit Sie Sicherheit und Governance nicht nachträglich auf eine Infrastruktur aufpfropfen müssen, die ohne diese Grundsätze gebaut wurde. Das nachträgliche Aufpfropfen ist erheblich teurer.
Woher der Begriff kommt
Microsoft hat das Cloud Adoption Framework (CAF) veröffentlicht, um Organisationen einen strukturierten Weg zur Azure-Migration zu geben. Das Landing-Zone-Konzept steht in der „Ready"-Phase: Bevor Sie Workloads migrieren oder produktionskritische Anwendungen aufbauen, bereiten Sie die Umgebung vor. Das CAF enthält Referenzarchitekturen für verschiedene Unternehmensgrößen, von kleinen Unternehmen bis hin zu globalen Konzernen mit komplexen Compliance-Anforderungen.
Die Enterprise-Scale-Version umfasst ein dediziertes Connectivity-Abonnement, ein dediziertes Management-Abonnement, Management-Group-Hierarchien über mehrere Abteilungen hinweg und Hunderte von Policies im großen Maßstab. Daher kommt der Eindruck, das sei nur etwas für große Unternehmen.
Das CAF definiert jedoch auch einen „Start Small and Expand"-Ansatz, speziell für Organisationen, die das alles nicht brauchen. Eine KMU-Landing-Zone nach diesem Ansatz könnte aus drei Abonnements und einer Handvoll Policies bestehen — etwas, das zwei Ingenieure in einer Woche aufbauen können. Die zugrunde liegenden Prinzipien sind dieselben. Die Umsetzung ist proportional zu dem, was Sie tatsächlich betreiben.
Die meisten kleinen Unternehmen denken in Schwarz-Weiß: entweder vollständige Enterprise-Architektur oder gar nichts. Eine vereinfachte Landing Zone, die für 20 Benutzer geeignet ist, kostet einen Bruchteil der Enterprise-Version und löst dieselben grundlegenden Probleme. Die Wahl liegt nicht zwischen „Enterprise-Architektur" und „keine Architektur" — sondern zwischen einer bewusst aufgebauten Grundlage und der späteren Erkenntnis, dass man keine hatte.
Was passiert, wenn Sie darauf verzichten
Die Folgen eines fehlenden Landing-Zone-Fundaments treten selten sofort auf. Sie häufen sich über 12 bis 24 Monate an, während Ihre Azure-Umgebung organisch wächst — jede neue Ressource in Eile hinzugefügt, jede neue Person mit Owner-Rechten ausgestattet, weil die Einrichtung einer ordentlichen RBAC damals zu aufwändig erschien.
Unkontrollierte Kosten
Ohne Budgetalarme und Ressourcen-Tagging wachsen Azure-Rechnungen unbemerkt. Test-VMs werden hochgefahren und vergessen. Storage Accounts häufen Daten ohne Aufbewahrungsrichtlinien an. Premium-SSD-Festplatten bleiben an gelöschten VMs hängen. Ein Kostenaudit einer zwei Jahre alten, unkontrollierten Azure-Umgebung zeigt fast immer, dass 20–35 % der Ausgaben auf Ressourcen entfallen, die niemand aktiv nutzt. Sobald diese Transparenz besteht, verstärkt eine Bindung stabiler Workloads an Reserved Instances oder Savings Plans die Ersparnis zusätzlich. Monatliche Azure-Rechnungen fallen nach einem gründlichen Cleanup regelmäßig um €3.000–€8.000 — nicht weil das Unternehmen absichtlich verschwenderisch war, sondern weil kein System vorhanden war, um solche Abweichungen zu erkennen.
Übermäßige Zugriffsrechte
Wenn der Abonnement-Inhaber Owner-Rechte an jeden weitergibt, der fragt — weil die Einrichtung einer ordentlichen RBAC keine Priorität hat —, entsteht eine Umgebung, in der ein ausscheidender Mitarbeiter am letzten Arbeitstag Produktionsressourcen löschen kann, ein Entwickler versehentlich die falsche Konfiguration in die Produktion übertragen kann und kein Audit-Trail zeigt, wer wann was geändert hat. Das Prinzip der minimalen Rechte lässt sich in einem unübersichtlichen Abonnement nicht nachträglich durchsetzen, ohne wesentliche Teile davon neu aufzubauen.
Sich häufende Sicherheitslücken
Eine Azure-Umgebung ohne durchgesetzte Richtlinien driftet in Richtung Unsicherheit. Jemand deployt einen Storage Account ohne Verschlüsselung, weil der Standard ausgeschaltet war und er es eilig hatte. Jemand öffnet eine Network Security Group-Regel auf 0.0.0.0/0 zum Debuggen und vergisst, sie zu schließen. Ein SQL Server wird ohne Azure Defender deployed. Mit erzwungenen Azure Policies werden diese Konfigurationen entweder blockiert oder sofort gemeldet. Ohne Policies häufen sie sich unsichtbar an — bis etwas schiefläuft und die Unterhaltung sich nicht mehr um Governance dreht, sondern um Incident Response.
Nachträgliche Anpassungen sind teuer
Die Reorganisation einer zwei Jahre alten Umgebung ohne Governance ist das teuerste Azure-Projekt, mit dem wir regelmäßig konfrontiert werden. Die Verschiebung von Ressourcen zwischen Abonnements erfordert oft ein vollständiges Redeployment. Nachträgliche Änderungen an der Netzwerkarchitektur bei laufenden Workloads bedeuten Ausfallzeiten. Das nachträgliche Tagging von Hunderten von Ressourcen ist mühsame, fehleranfällige Handarbeit ohne sauberen Endzustand. Die Landing Zone von Anfang an aufzubauen — auch in einer vereinfachten Version — kostet einen Bruchteil dessen, was der spätere Cleanup kostet. Das ist keine Theorie. Es ist ein Muster, das wir immer wieder sehen.
Braucht Ihr KMU eine Landing Zone?
Nicht jedes Azure-Deployment benötigt die vollständige Enterprise-Landing-Zone-Architektur. Ein einzelner Entwickler, der eine Testumgebung betreibt, braucht kein Hub-and-Spoke-Netzwerk mit zentralisierter Firewall. Die Frage ist, ob die Investition dem Umfang und dem Risiko dessen, was Sie aufbauen, angemessen ist.
Eine vereinfachte Landing Zone macht Sinn, wenn einer der folgenden Punkte zutrifft:
| Situation | Warum eine Landing Zone hier wichtig ist |
|---|---|
| Sie migrieren Produktions-Workloads aus dem On-Premises-Betrieb | Netzwerkverbindung, Sicherheitsrichtlinien und Backup-Konfiguration sollten vor der Migration vorhanden sein, nicht nachträglich eingerichtet werden |
| Mehrere Personen verwalten Azure-Ressourcen | RBAC verhindert Fehler und begrenzt den Schaden, wenn ein Konto kompromittiert wird |
| Sie verarbeiten personenbezogene Daten im Sinne der DSGVO | Richtlinien stellen sicher, dass Daten in EU-Regionen verbleiben und Verschlüsselung immer aktiv ist |
| Ihre Azure-Rechnung liegt bereits über €500/Monat | Kostenmanagement und Tagging in dieser Größenordnung amortisiert sich schnell |
| Sie haben ein On-Premises-Netzwerk, das mit Azure verbunden werden soll | Hub-and-Spoke-Topologie mit zentralisierter VPN- oder ExpressRoute-Verbindung ist der Standardansatz — beim ersten Mal richtig machen lohnt sich |
Wenn Sie einen einzelnen nicht-kritischen Workload betreiben, der von einer Person verwaltet wird und keine Wachstumspläne hat, ist eine vollständige Landing Zone wahrscheinlich überdimensioniert. Für die meisten Unternehmen, die Azure ernsthaft nutzen — eine kundenorientierte Anwendung hosten, von On-Premises migrieren oder Infrastruktur für mehr als fünf Benutzer betreiben — amortisiert sich der strukturierte Ansatz innerhalb des ersten Jahres.
Ein praktischer Selbsttest: Wenn Sie nicht ohne Nachdenken beantworten können, wer Zugriff auf Ihr Azure-Produktions-Abonnement hat und warum — oder welche Ihrer Azure-Ressourcen gerade nicht genutzt werden — haben Sie mit ziemlicher Sicherheit weniger Governance-Struktur, als Sie brauchen.
Hub-and-Spoke: die Netzwerkarchitektur hinter einer Landing Zone
Jedes Azure-Landing-Zone-Diagramm zeigt eine Hub-and-Spoke-Topologie. Der Hub ist ein zentrales Virtual Network, das gemeinsam genutzte Dienste enthält: ein VPN-Gateway oder ExpressRoute-Circuit zur Verbindung mit Ihrem Büronetzwerk, eine Firewall für zentralisierte Datenverkehrsinspektion, gemeinsame DNS-Server und einen Jump Server für sicheren administrativen Zugriff.
Die Spokes sind separate Virtual Networks — eines pro Workload oder Umgebung —, die mit dem Hub verbunden sind. Ihre Produktionswebanwendung liegt in einem Spoke. Ihre Entwicklungsumgebung in einem anderen. Beide können den Hub erreichen (und darüber Ihr Büronetzwerk), aber nicht direkt miteinander kommunizieren — es sei denn, Sie erlauben es ausdrücklich.
Der Sicherheitsvorteil ist Isolation. Wenn etwas in Ihrer Entwicklungsumgebung schiefläuft, kann es die Produktion nicht erreichen, weil sie in getrennten Netzwerken liegen. Der gesamte internetgebundene Datenverkehr aus den Spokes wird über die zentrale Firewall im Hub geleitet — ein einziger Inspektionspunkt statt Sicherheitsregeln, die über jede einzelne Ressource verteilt sind.
Für ein Unternehmen mit 10–50 Benutzern bietet eine vereinfachte Version — ein Hub mit zwei oder drei Spokes — die Sicherheits- und Governance-Vorteile ohne die Komplexität eines Enterprise-Scale-Deployments. Die Hub-Infrastruktur (Firewall, VPN-Gateway, gemeinsame Dienste) kostet typischerweise €150–€400 pro Monat, abhängig vom gewählten Gateway-SKU und Firewall-Tier.
Fragen, die Sie stellen sollten, bevor Sie beginnen
Wenn Sie jemanden beauftragen wollen, eine Landing Zone aufzubauen — oder wenn Sie prüfen möchten, ob Ihre aktuelle Azure-Umgebung ordentlich verwaltet ist — sind das die Fragen, auf die es ankommt:
- Wird die Landing Zone mit Infrastructure as Code (Terraform oder Bicep) deployed, oder wird sie über das Azure-Portal konfiguriert? Portal-Deployments hinterlassen keinen Audit-Trail und lassen sich schwer reproduzieren oder übergeben.
- Wie wird RBAC strukturiert? Wer bekommt Owner-, wer Contributor-, wer Reader-Rechte — und auf welchen Abonnements? Wenn Ihr Dienstleister das nicht konkret beantworten kann, ist das aussagekräftig.
- Welche Azure Policies werden von Anfang an durchgesetzt — und welche Ausnahmen werden akzeptiert? Die Ausnahmen sind mindestens so wichtig wie die Policies selbst, weil dort die akzeptierten Risiken liegen.
- Wie sieht das Kostenmanagement aus? Budgetalarme, Ressourcen-Tagging nach Projekt oder Abteilung, ein regelmäßiger Review-Rhythmus?
- Was ist im Übergabepaket enthalten? Sie sollten eine Dokumentation erhalten, die Netzwerkarchitektur, RBAC-Zuweisungen und Policy-Inventar abdeckt — nicht nur eine laufende Umgebung ohne Erklärung, wie sie funktioniert oder erweitert werden kann.
Diese Fragen unterscheiden eine echte Landing Zone von jemandem, der Ressourcen in Azure deployt und das Ergebnis Landing Zone nennt. Der Unterschied ist relevant: Das eine können Sie betreiben und erweitern; das andere werden Sie irgendwann neu aufbauen müssen. In unserer Erfahrung ist die Übergabedokumentation das Erste, das bei einem überhasteten Projekt verloren geht — und das Erste, das sechs Monate später Probleme verursacht, wenn der ursprüngliche Ingenieur nicht mehr da ist.
Wie lange der Aufbau dauert
Eine auf ein kleines Unternehmen zugeschnittene Landing Zone — vereinfachtes Hub-and-Spoke-Netzwerk, RBAC, Azure Policy, Kostenmanagement, Sicherheits-Baseline — benötigt typischerweise drei bis fünf Tage Architektur- und Konfigurationsarbeit. Der Zeitrahmen hängt davon ab, ob eine Verbindung zu einem On-Premises-Netzwerk hergestellt werden muss, wie viele Abonnements beteiligt sind und ob Infrastructure as Code verwendet wird.
Infrastructure as Code lohnt sich auch für kleine Deployments. Die gesamte Landing-Zone-Konfiguration ist damit versioniert, reproduzierbar und auditierbar. Wenn eine Richtlinie versehentlich geändert wird, sehen Sie genau, was geändert wurde. Wenn Sie eine zweite Umgebung aufbauen müssen — Disaster-Recovery-Region, Staging —, führen Sie denselben Code mit anderen Parametern aus, anstatt alles von Hand neu zu konfigurieren.
Das Ergebnis eines Landing-Zone-Projekts sollte umfassen: eine deployete und getestete Azure-Umgebung, Terraform- oder Bicep-Templates für die Infrastruktur, eine Dokumentation der Netzwerkarchitektur und RBAC-Zuweisungen sowie eine Übergabesession, in der erklärt wird, wie das Aufgebaute betrieben und erweitert werden kann. Wenn das Ergebnis nur eine laufende Umgebung ohne Dokumentation ist, ist das eine Frage, die man besser vor Projektbeginn stellt.
Azure Cloud-Architektur für KMU
Wenn Sie eine Azure-Migration planen oder eine bestehende Umgebung haben, die ohne ordentliche Governance gewachsen ist, ist ein strukturiertes Review der richtige Ausgangspunkt. Wir analysieren Ihr aktuelles Setup, entwerfen die für Ihren Maßstab passende Landing-Zone-Architektur und bauen sie mit Infrastructure as Code auf, damit die Konfiguration dokumentiert und reproduzierbar ist.
Festpreis, definierter Umfang. Kein Langzeitvertrag erforderlich.