Moderne Cloud-Governance – Chancen und Herausforderungen

In der digitalen Transformation spielt Cloud Computing eine zentrale Rolle. Themen wie Security werden dabei aber oft nicht mit nötiger Sorgfalt betrachtet. [...]

Florian van Keulen, Trivadis: "Die Governance im Management und Betrieb von Cloud-Technologien eine Schlüsselfunktion. Ein moderner Cloud-Governance-Ansatz muss her." (c) Trivadis

In vielen Unternehmen sind heute Cloud-Projekte in der Umsetzung. Dabei stehen die Themen Integration, Funktionsumfang, Flexibilität und Agilität oftmals im Vordergrund. Der Cloud Governance, d. h. der effizienten, Compliant-konformen und regulatorisch adäquaten Nutzung von Cloud Services, wird im ersten Schritt nur rudimentär Beachtung geschenkt. Zu sehr verlässt man sich auf bestehende Governance-Prozesse für traditionelle IT-Umgebungen. Entsprechend wird das GRC-Team (Governance, Risk & Compliance) häufig erst spät in Cloud-Projekte eingebunden. Ein Fehler, denn gerade im Cloud Computing ist Governance ein wichtiges Thema, um Risiken zu minimieren. Dies betrifft vor allem die Kosten, den Betrieb und die Security, aber auch die Organisation und den CloudService als solches.

Kosten, Betrieb und Security

Unternehmen ist es ein zentrales Anliegen, Kontrolle über die Kosten zu erlangen, d. h. sicherzustellen, dass die Kosten durch die Nutzung neuer Services nicht unerwartet in die Höhe schnellen. Dem einen oder anderen dürfte der folgende Fall bekannt sein: Man weist einem Entwicklungs-Team eine kleine Sandbox-Umgebung zu, in der dann mit den CloudServices „gespielt“ werden darf. In Bezug auf die Nutzung existiert aber kein Regelwerk. So kann es sein, dass das Team dann mit einem kostspieligen Service (z. B. einem Big Data Cluster) herumexperimentiert und diesen nicht deprovisioniert …. Und am Ende des Monats wundert man sich dann über eine extrem hohe Rechnung. Cloud Governance kann hier helfen, solche Kosten im Griff zu behalten.

Ein weiteres zentrales Anliegen von Unternehmen ist es, dass der Betrieb von produktiven Umgebungen, Lösungen oder Applikationen durch andere Deployments nicht beeinträchtigt wird. Änderungen, Störungen und Ereignisse müssen deshalb definiert gemanagt werden. So werden z. B. PaaS-Services anders gemanagt und gemonitort als IaaS-Services. Andere Deployment-Prinzipien in der Cloud brauchen andere Betriebsaspekte, die mit der Cloud-Governance berücksichtigt werden können.

Nicht zuletzt möchten Unternehmen auch die Sicherheit der Cloud Services gewährleisten können. Das Sicherheitsdenken in der Cloud erfordert aber ein Umdenken: weg von Sicherheitsperimetern, die auf Zoning, Netzwerksegmentierungen und Schutzwällen aus Firewalls basieren, hin zu Identity und Access-Centric-Prinzipien, Thread Analytics und intelligente Auswertungen von Verhaltensmustern.

Organisation und Cloud-Service

Moderne Cloud Governance hat aber nicht nur Implikationen in Bezug auf Kosten, Betrieb und Security, sondern auch in organisatorischer Hinsicht. So braucht es neue Definitionen zu Rollen, Verantwortlichkeiten und Prozessen im Cloud Computing. Eine kontinuierliche Provider und Service Assurance ist ebenfalls elementar, genauso wie ein durchdachtes Provider Management. Da Teile der Verantwortlichkeiten beim Provider liegen, muss dieser in die Prozesse im Unternehmen eingebunden werden. Änderungen in Cloud Services ereignen sich häufig und in kurzen Zyklen. Sie können auch Änderungen und Zusätze in vertraglicher Hinsicht mit sich bringen. Nicht zuletzt ist die Frage wichtig, welche Auswirkungen neue CloudServices auf die Compliance des Unternehmens haben.

Neben der Organisation hat moderne Cloud Governance Implikationen für den CloudService an sich. So müssen Basis-Services wie Identity Management, Konnektivität und Management/Operation ganzheitlich definiert, geplant, implementiert und kontrolliert werden. Insbesondere das Identity Management, die Rollen und die Berechtigungskonzepte (RBAC – Role based access Controle) sind hier nicht zu unterschätzen. Auch das Design und Management von Multiple Subscriptions und Multiple Tenants eines Providers bis hin zu Multi Provider Management muss berücksichtigt werden. Vom Provider zur Verfügung gestellte Funktionalitäten und Services zur Unterstützung der Governance sollten hierbei geprüft und ggf. mitintegriert werden.

Zu den beschriebenen Bereichen, in denen die Cloud Governance wichtig ist, kommen die typischen Herausforderungen im Bereich Cloud Computing hinzu, auf die im Rahmen dieses Artikels aus Platzgründen nicht eingegangen wird.

Definition und Implementierung

Wie muss eine moderne Cloud Governance nun aussehen? Grundsätzlich empfiehlt sich ein Vorgehen in vier Phasen: Definition, Implementierung, kontinuierliche Überprüfung und Durchführen von Maßnahmen. In diesen vier Phasen müssen dann die Herausforderungen, die sich im Kontext von Cloud-Computing ergeben, angegangen werden.

In der Definitions-Phase sollten die Governance-Kontrollen definiert und dokumentiert werden. Hierbei ist zu unterscheiden zwischen detektierenden, präventiven und korrigierenden Kontrollen. Diese sollten dabei mit der Strategie, den Business-Anforderungen und der bestehenden Governance abgestimmt werden. Die Verantwortlichkeiten müssen zudem klar gesetzt werden, gerade im Bereich der verteilten Verantwortlichkeiten. Hierbei empfiehlt es sich, bestehende Frameworks oder Best Practices der Provider miteinzubeziehen.

In der Implementierungs-Phase werden die definierten Kontrollen nun im Cloud-Kontext implementiert. Hierbei lohnt es sich, die Onboarding-Hilfsmittel der Provider genau zu prüfen, da diese viele Governance-Funktionalitäten bereits mitliefern. Sie müssen nur aktiviert werden. Auch stehen oft Cost-Management-Services zur Verfügung, die bei der Kostenkontrolle helfen können, genauso wie Monitoring– und Reporting-Funktionalitäten.

Kontinuierliche Überprüfung und Durchführung von Massnahmen

In der nächsten Phase werden die implementierten Kontrollen kontinuierlich gemanagt und überwacht. Oftmals wird hierzu auch ein Live-Reporting genutzt. Dabei sollte die Überprüfung in das Service Management und die Entwicklung mitintegriert werden. Bei jeder Änderung im oder am Service und bei jedem neuen Projekt, sollten die relevanten Governance-Kontrollen mitevaluiert, erweitert oder ggf. auch deprovisioniert werden. Hierbei empfiehlt sich der DevSecOps-Ansatz, der DevOps um die kontinuierliche Verbesserung und Anpassung der Security- und eben auch der Governance-Aspekte erweitert.

Die Erkenntnisse aus den Überprüfungen und dem Governance-Monitoring müssen letztlich in die Entwicklung, die IT (Betreiber), die Fachabteilung und das GRC-Team zurückfließen. Sie sollten evaluiert werden, um bestehende Prozesse sowie Kontrollen anzupassen oder zu erweitern. Wenn man erst nur bestimmte Kontrollen für das Monitoring nutzt, aber viele Verstöße feststellt, die sich durch Kommunikation mit der Zeit nicht bessern, sollte man erwägen, Richtlinien zu forcieren.

Wichtig ist auf jeden Fall, eine Balance zu finden zwischen der Governance des CloudServices und dem Gewähren von Freiheiten für die Nutzer. Denn wenn Services mit Kontrollen und Enforcements zu sehr eingeschränkt werden, wird damit die Agilität des CloudServices und letzten Endes auch der Unternehmung gebremst.

Fazit

Für die Umsetzung einer Cloud Governance empfiehlt sich grundsätzlich ein agiler Ansatz. In Projekten kann eine erste Basis der Governance definiert und implementiert werden. Mit jedem Sprint sollten dann Neuerungen im Cloud Service auch vonseiten Governance betrachtet werden – hierbei empfiehlt es sich, Funktionalitäten des Providers mit zu nutzen. Wichtig ist, Erkenntnisse immer wieder zurückfließen zu lassen, um die Governance kontinuierlich und integriert zu verbessern – und nicht losgelöst im Nachgang. Nur so wird man Herr über die Cloud.


Mehr Artikel

Es liegt in der Verantwortung der Unternehmensleitung, ihre IT-Teams mit entsprechenden Lösungen, Fähigkeiten und Verantwortlichkeiten auszustatten. (c) contrastwerkstatt - Fotolia
Kommentar

Wie Unternehmen auch nach der Krise die optimale Customer Experience erzielen

Der Druck auf IT-Abteilungen steigt: Sie sind weiterhin dafür verantwortlich, die reibungslose Funktionsfähigkeit von IT-Infrastrukturen und Anwendungen sowie IT-Sicherheit zu gewährleisten. Dies ist nötig, um nicht nur der verstreuten Belegschaft eine zufriedenstellende Digital Experience zu bescheren, sondern auch, um den sich verändernden Kundenerwartungen gerecht zu werden. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*