Moderne Cloud-Governance

Bei der digitalen Transformation spielt Cloud Computing eine zentrale Rolle. Das Thema Security wird aber oft nicht mit nötiger Sorgfalt betrachtet. Dabei hat die Governance im Management und Betrieb von Cloud-Technologien eine Schlüsselfunktion. [...]

Moderne Governance hilft Unternehmen dabei, auch in der Cloud-Welt die Kontrolle zu behalten. (c) Fotolia

In vielen Unternehmen sind heute Cloud-Projekte in der Umsetzung. Dabei stehen die Themen Integration, Funktionsumfang, Flexibilität und Agilität oftmals im Vordergrund. Der Cloud-Governance, also der effizienten, Compliant-konformen und regulatorisch adäquaten Nutzung von Cloud-Services, wird im ersten Schritt nur rudimentär Beachtung geschenkt. Zu sehr verlässt man sich auf bestehende Governance-Prozesse für traditionelle IT-Umgebungen. Entsprechend wird das GRC-Team (Governance, Risk & Compliance) häufig erst spät in Cloud-Projekte eingebunden. Das ist ein Fehler, denn gerade beim Cloud Computing ist Governance ein wichtiges Mittel um Risiken zu minimieren. Dies betrifft vor allem die Kosten, den Betrieb und die Security, aber auch die Organisation und den Cloud-Service als solches.

Kosten, Betrieb und Security

Unternehmen ist es ein zentrales Anliegen, Kontrolle über die Kosten zu erlangen, d. h. sicherzustellen, dass die Kosten durch die Nutzung neuer Services nicht unerwartet in die Höhe schnellen. Dem einen oder anderen dürfte der folgende Fall bekannt sein: Man weist einem Entwicklungs-Team eine kleine Sandbox-Umgebung zu, in der dann mit den Cloud-Services »gespielt« werden darf. In Bezug auf die Nutzung existiert aber kein Regelwerk. So kann es sein, dass das Team dann mit einem kostspieligen Service (z. B. einem Big Data Cluster) herumexperimentiert und diesen nicht deprovisioniert. Und am Ende des Monats wundert man sich dann über eine extrem hohe Rechnung. Cloud-Governance kann hier helfen, solche Kosten im Griff zu behalten.

Ein weiteres zentrales Anliegen von Unternehmen ist es, dass der Betrieb von produktiven Umgebungen, Lösungen oder Applikationen durch andere Deployments nicht beeinträchtigt wird. Änderungen, Störungen und Ereignisse müssen deshalb definiert gemanagt werden. So werden z. B. PaaS-Services anders gemanagt und gemonitort als IaaS-Services. Andere Deployment-Prinzi-pien in der Cloud brauchen andere Betriebs-aspekte, die mit der Cloud-Governance berücksichtigt werden können.
Nicht zuletzt möchten Unternehmen auch die Sicherheit der Cloud-Services gewährleisten können. Das Sicherheitsdenken in der Cloud erfordert aber ein Umdenken: weg von Sicherheitsperimetern, die auf Zoning, Netzwerksegmentierungen und Schutzwällen aus Firewalls basieren, hin zu Identity und Access-Centric-Prinzipien, Thread Analytics und intelligenter Auswertungen von Verhaltensmustern.

Organisation und Cloud-Service

Moderne Cloud-Governance hat aber nicht nur Implikationen in Bezug auf Kosten, Betrieb und Security, sondern auch in organisatorischer Hinsicht. So braucht es neue Definitionen zu Rollen, Verantwortlichkeiten und Prozessen im Cloud Computing. Eine kontinuierliche Provider und Service Assurance ist ebenfalls elementar, genauso wie ein durchdachtes Provider-Management. Da Teile der Verantwortlichkeiten beim Provider liegen, muss dieser in die Prozesse im Unternehmen eingebunden werden. Änderungen in Cloud-Services ereignen sich häufig und in kurzen Zyklen. Sie können auch Änderungen und Zusätze in vertraglicher Hinsicht mit sich bringen. Nicht zuletzt ist die Frage wichtig, welche Auswirkungen neue Cloud-Services auf die Compliance des Unternehmens haben.


Neben der Organisation hat moderne Cloud-Governance Implikationen für den Cloud-Service an sich. So müssen Basis-Services wie Identity Management, Konnektivität und Management/Operation ganzheitlich definiert, geplant, implementiert und kontrolliert werden. Insbesondere das Identity Management, die Rollen und die Berechtigungskonzepte (RBAC – Role based access Controle) sind hier nicht zu unterschätzen. Auch das Design und Management von Multiple Subscriptions und Multiple Tenants eines Providers bis hin zu Multi-Provider-Management muss berücksichtigt werden. Vom Provider zur Verfügung gestellte Funktionalitäten und Services zur Unterstützung der Governance sollten hierbei geprüft und ggf. mitintegriert werden.
Zu den beschriebenen Bereichen, in denen die Cloud Governance wichtig ist, kommen die typischen Herausforderungen im Bereich Cloud Computing hinzu, auf die im Rahmen dieses Artikels aus Platzgründen nicht eingegangen wird.

Definition und Implementierung einer modernen Cloud Governance

Wie muss eine moderne Cloud-Governance nun aussehen? Grundsätzlich empfiehlt sich ein Vorgehen in vier Phasen: Definition, Implementierung, kontinuierliche Überprüfung und Durchführen von Maßnahmen. In diesen vier Phasen müssen dann die Herausforderungen, die sich im Kontext von Cloud Computing ergeben, angegangen werden.
In der Definitionsphase sollten die Governance-Kontrollen definiert und dokumentiert werden. Hierbei ist zu unterscheiden zwischen detektierenden, präventiven und korrigierenden Kontrollen. Diese sollten dabei mit der Strategie, den Business-Anforderungen und der bestehenden Governance abgestimmt werden. Die Verantwortlichkeiten müssen zudem klar gesetzt werden, gerade im Bereich der verteilten Verantwortlichkeiten. Hierbei empfiehlt es sich, bestehende Frameworks oder Best Practices der Provider miteinzubeziehen.
In der Implementierungs-Phase werden die definierten Kontrollen nun im Cloud-Kontext implementiert. Hierbei lohnt es sich, die Onboarding-Hilfsmittel der Provider genau zu prüfen, da diese viele Governance-Funktionalitäten bereits mitliefern. Sie müssen nur aktiviert werden. Auch stehen oft Cost-Management-Services zur Verfügung, die bei der Kostenkontrolle helfen können, genauso wie Monitoring- und Reporting-Funktionalitäten.

Kontinuierliche Überprüfung und Durchführung von Massnahmen

In der nächsten Phase werden die implementierten Kontrollen kontinuierlich gemanagt und überwacht. Oftmals wird hierzu auch ein Live-Reporting genutzt. Dabei sollte die Überprüfung in das Service-Management und die Entwicklung mitintegriert werden. Bei jeder Änderung im oder am Service und bei jedem neuen Projekt, sollten die relevanten Governance-Kontrollen mitevaluiert, erweitert oder gegebenenfalls auch deprovisioniert werden. Hierbei empfiehlt sich der DevSecOps-Ansatz, der DevOps um die kontinuierliche Verbesserung und Anpassung der Security- und eben auch der Governance-Aspekte erweitert.
Die Erkenntnisse aus den Überprüfungen und dem Governance-Monitoring müssen letztlich in die Entwicklung, die IT (Betreiber), die Fachabteilung und das GRC-Team zurückfließen. Sie sollten evaluiert werden, um bestehende Prozesse sowie Kontrollen anzupassen oder zu erweitern. Wenn man erst nur bestimmte Kontrollen für das Monitoring nutzt, aber viele Verstöße feststellt, die sich durch Kommunikation mit der Zeit nicht bessern, sollte man erwägen, Richtlinien zu forcieren.
Wichtig ist dabei auf jeden Fall, eine sinnvolle Balance zu finden zwischen der Governance des Cloud-Services und dem Gewähren von Freiheiten für die Nutzer. Denn wenn Services mit Kontrollen und Enforcements zu sehr eingeschränkt werden, wird damit die Agilität des Cloud-Services und letzten Endes auch der Unternehmung gebremst.

Fazit

Für die Umsetzung einer Cloud-Governance empfiehlt sich grundsätzlich ein agiler Ansatz. In Projekten kann eine erste Basis der Governance definiert und implementiert werden. Mit jedem Sprint sollten dann Neuerungen im Cloud-Service auch von seiten Governance betrachtet werden – hierbei empfiehlt es sich, Funktionalitäten des Providers mit zu nutzen. Wichtig ist, Erkenntnisse immer wieder zurückfließen zu lassen, um die Governance kontinuierlich und integriert zu verbessern – und nicht losgelöst im Nachgang. Nur so wird man Herr über die Cloud.

Florian van Keulen|Consultant Cloud & Security bei Trivadis


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*