header_home_wuerfel_1920px.jpg

Moderne Cloud-Governance – Chancen und Herausforderungen

Florian van KeulenIn vielen Unternehmen sind heute Cloud-Projekte bereits in der Umsetzung. Dabei stehen die Themen Integration, Funktionsumfang, Flexibilität und Agilität oftmals im Vordergrund. Der Cloud Governance, also der effizienten, Compliant-konformen und regulatorisch adäquaten Nutzung von Cloud Services, wird im ersten Schritt nur rudimentär Beachtung geschenkt. Zu sehr verlässt man sich auf bestehende Governance-Prozesse für traditionelle IT-Umgebungen. Entsprechend wird das GRC-Team (Governance, Risk & Compliance) häufig erst spät in Cloud-Projekte eingebunden. Ein Fehler, denn gerade im Cloud Computing ist Governance ein wichtiges Thema, um Risiken zu minimieren. Dies betrifft vor allem die Kosten, den Betrieb und die Security, aber auch die Organisation und den Cloud-Service als solches.

Kosten, Betrieb und Security

Für Unternehmen ist es elementar wichtig, die Kontrolle über die Kosten zu behalten, also sicherzustellen, dass die Kosten durch die Nutzung neuer Services nicht unerwartet in die Höhe schnellen. Dem einen oder anderen dürfte der folgende Fall bekannt sein: Man weist einem Entwicklungs-Team eine kleine Sandbox-Umgebung zu, in der dann mit den Cloud-Services "gespielt" werden darf. In Bezug auf die Nutzung existiert aber kein Regelwerk. So kann es dazu kommen, dass das Team dann mit einem kostspieligen Service (z. B. einem Big Data Cluster) herumexperimentiert und diesen nicht deprovisioniert .... Und am Ende des Monats wundert man sich dann über eine extrem hohe Rechnung. Cloud Governance kann hier helfen, solche Kosten im Griff zu behalten.

monitor-862116_1920Photo by geralt on Pixabay

Ein weiteres zentrales Anliegen von Unternehmen ist es, dass der Betrieb von produktiven Umgebungen, Lösungen oder Applikationen durch andere Deployments nicht beeinträchtigt wird. Änderungen, Störungen und Ereignisse müssen deshalb definiert verwaltet werden. Das Management und Monitoring von PaaS-Services sieht anderes aus als von IaaS-Services. Andere Deployment-Prinzipien in der Cloud brauchen andere Betriebsaspekte, die mit der Cloud-Governance berücksichtigt werden können.

Nicht zuletzt muss natürlich auch die Sicherheit der Cloud Services gewährleistet sein. Das Sicherheitsdenken in der Cloud erfordert aber ein Umdenken: weg von Sicherheitsperimetern, die auf Zoning, Netzwerksegmentierungen und Schutzwällen aus Firewalls basieren, hin zu Identity- und Access-Centric-Prinzipien, Thread Analytics und intelligenten Auswertungen von Verhaltensmustern.

Leitfaden für die Planung und Durchführung von Cloud-Computing-Projekten Hier downloaden!

Organisation und Cloud-Service

Moderne Cloud Governance hat aber nicht nur Einfluss auf Kosten, Betrieb und Security, sondern auch in organisatorischer Hinsicht. So braucht es neue Definitionen zu Rollen, Verantwortlichkeiten und Prozessen im Cloud Computing. Eine kontinuierliche Provider und Service Assurance ist ebenfalls elementar, genauso wie ein durchdachtes Provider Management. Da Teile der Verantwortlichkeiten beim Provider liegen, muss dieser in die Prozesse im Unternehmen eingebunden werden. Änderungen in Cloud Services ereignen sich häufig und in kurzen Zyklen. Sie können auch Änderungen und Zusätze in vertraglicher Hinsicht mit sich bringen. Nicht zuletzt ist die Frage wichtig, welche Auswirkungen neue Cloud-Services auf die Compliance des Unternehmens haben.

Daneben hat moderne Cloud Governance Auswirkungen auf den Cloud-Service an sich. So müssen Basis-Services wie Identity Management, Konnektivität und Management/Operation ganzheitlich definiert, geplant, implementiert und kontrolliert werden. Insbesondere das Identity Management, die Rollen und die Berechtigungskonzepte (RBAC - Role based access Controle) sind hier nicht zu unterschätzen. Auch das Design und Management von Multiple Subscriptions und Multiple Tenants eines Providers bis hin zum Multi Provider Management muss berücksichtigt werden. Vom Provider zur Verfügung gestellte Funktionalitäten und Services zur Unterstützung der Governance sollten hierbei geprüft und ggf. mitintegriert werden.

Definition und Implementierung

Wie muss eine moderne Cloud Governance nun aussehen? Grundsätzlich empfiehlt sich ein Vorgehen in vier Phasen: Definition, Implementierung, kontinuierliche Überprüfung und Durchführen von Massnahmen. In diesen vier Phasen müssen die Herausforderungen, die sich im Kontext von Cloud-Computing ergeben, angegangen werden.

In der Definitions-Phase sollten die Governance-Kontrollen definiert und dokumentiert werden. Hierbei ist zwischen detektierenden, präventiven und korrigierenden Kontrollen zu unterscheiden . Diese sollten dabei mit der Strategie, den Business-Anforderungen und der bestehenden Governance abgestimmt werden. Die Verantwortlichkeiten müssen zudem klar gesetzt werden, gerade im Bereich der verteilten Verantwortlichkeiten. Hierbei empfiehlt es sich, bestehende Frameworks oder Best Practices der Provider miteinzubeziehen.

In der Implementierungs-Phase werden die definierten Kontrollen nun im Cloud-Kontext implementiert. Hierbei lohnt es sich, die Onboarding-Hilfsmittel der Provider genau zu prüfen, da diese viele Governance-Funktionalitäten bereits mitliefern. Sie müssen nur aktiviert werden. Auch stehen oft Cost-Management-Services zur Verfügung, die bei der Kostenkontrolle helfen können, genauso wie Monitoring- und Reporting-Funktionalitäten.

cloud-computing-2116773_1920Photo by stevepb on Pixabay

Kontinuierliche Überprüfung und Durchführung von Massnahmen

In der nächsten Phase werden die implementierten Kontrollen kontinuierlich gemanagt und überwacht. Oftmals wird hierzu auch ein Live-Reporting genutzt. Dabei sollte die Überprüfung in das Service Management und die Entwicklung mitintegriert werden. Bei jeder Änderung im oder am Service und bei jedem neuen Projekt, sollten die relevanten Governance-Kontrollen mitevaluiert, erweitert oder ggf. auch deprovisioniert werden. Hierbei empfiehlt sich der DevSecOps-Ansatz, der DevOps um die kontinuierliche Verbesserung und Anpassung der Security- und eben auch der Governance-Aspekte erweitert.

Die Erkenntnisse aus den Überprüfungen und dem Governance-Monitoring müssen letztlich in die Entwicklung, die IT (Betreiber), die Fachabteilung und das GRC-Team zurückfliessen. Sie sollten evaluiert werden, um bestehende Prozesse sowie Kontrollen anzupassen oder zu erweitern. Wenn man erst nur bestimmte Kontrollen für das Monitoring nutzt, aber viele Verstösse feststellt, die sich durch Kommunikation mit der Zeit nicht bessern, sollte man erwägen, Richtlinien zu forcieren.  

Wichtig ist auf jeden Fall, eine Balance zu finden zwischen der Governance des Cloud-Services und dem Gewähren von Freiheiten für die Nutzer. Denn wenn Services mit Kontrollen und Enforcements zu sehr eingeschränkt werden, wird damit die Agilität des Cloud-Services und letzten Endes auch der Unternehmung gebremst.

Fazit

Für die Umsetzung einer Cloud Governance empfiehlt sich grundsätzlich ein agiler Ansatz. In Projekten kann eine erste Basis der Governance definiert und implementiert werden. Mit jedem Sprint sollten dann Neuerungen im Cloud Service auch von Seiten Governance betrachtet werden – hierbei empfiehlt es sich, Funktionalitäten des Providers mitzunutzen. Wichtig ist, Erkenntnisse immer wieder zurückfliessen zu lassen, um die Governance kontinuierlich und integriert zu verbessern – und nicht losgelöst im Nachgang. Nur so wird man Herr über die Cloud.  

Der Artikel ist im Dezember 2018 im IT Markt (CH) und im Januar 2019 in der Computerwelt (A) erschienen.

Weiterführende Informationen

Topics: Cloud Computing Security