27. März 2019 Florian van Keulen

Moderne Cloud-Governance

Bei der digitalen Transformation spielt Cloud Computing eine zentrale Rolle. Das Thema Security wird aber oft nicht mit nötiger Sorgfalt betrachtet. Dabei hat die Governance im Management und Betrieb von Cloud-Technologien eine Schlüsselfunktion. [...]

Moderne Governance hilft Unternehmen dabei, auch in der Cloud-Welt die Kontrolle zu behalten. (c) Fotolia

In vielen Unternehmen sind heute Cloud-Projekte in der Umsetzung. Dabei stehen die Themen Integration, Funktionsumfang, Flexibilität und Agilität oftmals im Vordergrund. Der Cloud-Governance, also der effizienten, Compliant-konformen und regulatorisch adäquaten Nutzung von Cloud-Services, wird im ersten Schritt nur rudimentär Beachtung geschenkt. Zu sehr verlässt man sich auf bestehende Governance-Prozesse für traditionelle IT-Umgebungen. Entsprechend wird das GRC-Team (Governance, Risk & Compliance) häufig erst spät in Cloud-Projekte eingebunden. Das ist ein Fehler, denn gerade beim Cloud Computing ist Governance ein wichtiges Mittel um Risiken zu minimieren. Dies betrifft vor allem die Kosten, den Betrieb und die Security, aber auch die Organisation und den Cloud-Service als solches.

Kosten, Betrieb und Security

Unternehmen ist es ein zentrales Anliegen, Kontrolle über die Kosten zu erlangen, d. h. sicherzustellen, dass die Kosten durch die Nutzung neuer Services nicht unerwartet in die Höhe schnellen. Dem einen oder anderen dürfte der folgende Fall bekannt sein: Man weist einem Entwicklungs-Team eine kleine Sandbox-Umgebung zu, in der dann mit den Cloud-Services »gespielt« werden darf. In Bezug auf die Nutzung existiert aber kein Regelwerk. So kann es sein, dass das Team dann mit einem kostspieligen Service (z. B. einem Big Data Cluster) herumexperimentiert und diesen nicht deprovisioniert. Und am Ende des Monats wundert man sich dann über eine extrem hohe Rechnung. Cloud-Governance kann hier helfen, solche Kosten im Griff zu behalten.

Ein weiteres zentrales Anliegen von Unternehmen ist es, dass der Betrieb von produktiven Umgebungen, Lösungen oder Applikationen durch andere Deployments nicht beeinträchtigt wird. Änderungen, Störungen und Ereignisse müssen deshalb definiert gemanagt werden. So werden z. B. PaaS-Services anders gemanagt und gemonitort als IaaS-Services. Andere Deployment-Prinzi-pien in der Cloud brauchen andere Betriebs-aspekte, die mit der Cloud-Governance berücksichtigt werden können.
Nicht zuletzt möchten Unternehmen auch die Sicherheit der Cloud-Services gewährleisten können. Das Sicherheitsdenken in der Cloud erfordert aber ein Umdenken: weg von Sicherheitsperimetern, die auf Zoning, Netzwerksegmentierungen und Schutzwällen aus Firewalls basieren, hin zu Identity und Access-Centric-Prinzipien, Thread Analytics und intelligenter Auswertungen von Verhaltensmustern.

Organisation und Cloud-Service

Moderne Cloud-Governance hat aber nicht nur Implikationen in Bezug auf Kosten, Betrieb und Security, sondern auch in organisatorischer Hinsicht. So braucht es neue Definitionen zu Rollen, Verantwortlichkeiten und Prozessen im Cloud Computing. Eine kontinuierliche Provider und Service Assurance ist ebenfalls elementar, genauso wie ein durchdachtes Provider-Management. Da Teile der Verantwortlichkeiten beim Provider liegen, muss dieser in die Prozesse im Unternehmen eingebunden werden. Änderungen in Cloud-Services ereignen sich häufig und in kurzen Zyklen. Sie können auch Änderungen und Zusätze in vertraglicher Hinsicht mit sich bringen. Nicht zuletzt ist die Frage wichtig, welche Auswirkungen neue Cloud-Services auf die Compliance des Unternehmens haben.


Neben der Organisation hat moderne Cloud-Governance Implikationen für den Cloud-Service an sich. So müssen Basis-Services wie Identity Management, Konnektivität und Management/Operation ganzheitlich definiert, geplant, implementiert und kontrolliert werden. Insbesondere das Identity Management, die Rollen und die Berechtigungskonzepte (RBAC – Role based access Controle) sind hier nicht zu unterschätzen. Auch das Design und Management von Multiple Subscriptions und Multiple Tenants eines Providers bis hin zu Multi-Provider-Management muss berücksichtigt werden. Vom Provider zur Verfügung gestellte Funktionalitäten und Services zur Unterstützung der Governance sollten hierbei geprüft und ggf. mitintegriert werden.
Zu den beschriebenen Bereichen, in denen die Cloud Governance wichtig ist, kommen die typischen Herausforderungen im Bereich Cloud Computing hinzu, auf die im Rahmen dieses Artikels aus Platzgründen nicht eingegangen wird.

Definition und Implementierung einer modernen Cloud Governance

Wie muss eine moderne Cloud-Governance nun aussehen? Grundsätzlich empfiehlt sich ein Vorgehen in vier Phasen: Definition, Implementierung, kontinuierliche Überprüfung und Durchführen von Maßnahmen. In diesen vier Phasen müssen dann die Herausforderungen, die sich im Kontext von Cloud Computing ergeben, angegangen werden.
In der Definitionsphase sollten die Governance-Kontrollen definiert und dokumentiert werden. Hierbei ist zu unterscheiden zwischen detektierenden, präventiven und korrigierenden Kontrollen. Diese sollten dabei mit der Strategie, den Business-Anforderungen und der bestehenden Governance abgestimmt werden. Die Verantwortlichkeiten müssen zudem klar gesetzt werden, gerade im Bereich der verteilten Verantwortlichkeiten. Hierbei empfiehlt es sich, bestehende Frameworks oder Best Practices der Provider miteinzubeziehen.
In der Implementierungs-Phase werden die definierten Kontrollen nun im Cloud-Kontext implementiert. Hierbei lohnt es sich, die Onboarding-Hilfsmittel der Provider genau zu prüfen, da diese viele Governance-Funktionalitäten bereits mitliefern. Sie müssen nur aktiviert werden. Auch stehen oft Cost-Management-Services zur Verfügung, die bei der Kostenkontrolle helfen können, genauso wie Monitoring- und Reporting-Funktionalitäten.

Kontinuierliche Überprüfung und Durchführung von Massnahmen

In der nächsten Phase werden die implementierten Kontrollen kontinuierlich gemanagt und überwacht. Oftmals wird hierzu auch ein Live-Reporting genutzt. Dabei sollte die Überprüfung in das Service-Management und die Entwicklung mitintegriert werden. Bei jeder Änderung im oder am Service und bei jedem neuen Projekt, sollten die relevanten Governance-Kontrollen mitevaluiert, erweitert oder gegebenenfalls auch deprovisioniert werden. Hierbei empfiehlt sich der DevSecOps-Ansatz, der DevOps um die kontinuierliche Verbesserung und Anpassung der Security- und eben auch der Governance-Aspekte erweitert.
Die Erkenntnisse aus den Überprüfungen und dem Governance-Monitoring müssen letztlich in die Entwicklung, die IT (Betreiber), die Fachabteilung und das GRC-Team zurückfließen. Sie sollten evaluiert werden, um bestehende Prozesse sowie Kontrollen anzupassen oder zu erweitern. Wenn man erst nur bestimmte Kontrollen für das Monitoring nutzt, aber viele Verstöße feststellt, die sich durch Kommunikation mit der Zeit nicht bessern, sollte man erwägen, Richtlinien zu forcieren.
Wichtig ist dabei auf jeden Fall, eine sinnvolle Balance zu finden zwischen der Governance des Cloud-Services und dem Gewähren von Freiheiten für die Nutzer. Denn wenn Services mit Kontrollen und Enforcements zu sehr eingeschränkt werden, wird damit die Agilität des Cloud-Services und letzten Endes auch der Unternehmung gebremst.

Fazit

Für die Umsetzung einer Cloud-Governance empfiehlt sich grundsätzlich ein agiler Ansatz. In Projekten kann eine erste Basis der Governance definiert und implementiert werden. Mit jedem Sprint sollten dann Neuerungen im Cloud-Service auch von seiten Governance betrachtet werden – hierbei empfiehlt es sich, Funktionalitäten des Providers mit zu nutzen. Wichtig ist, Erkenntnisse immer wieder zurückfließen zu lassen, um die Governance kontinuierlich und integriert zu verbessern – und nicht losgelöst im Nachgang. Nur so wird man Herr über die Cloud.

Florian van Keulen|Consultant Cloud & Security bei Trivadis


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

22. November 2024

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

21. November 2024 pi/kdl

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*