Planvoll in die Cloud

Nutzungsregeln sichern Cloud-Effizienz

| Autor / Redakteur: Eric Berg* / Florian Karlstetter

Mit dem richtigen Regelweg den Weg in die Cloud meistern.
Mit dem richtigen Regelweg den Weg in die Cloud meistern. (Bild: © Sikov/ stock.adobe.com)

Cloud-Governance-Konzepte definieren die Spielregeln für die Cloud. Nur mit rollenbasierten Zugriffskontrollen, klaren Hierarchien, Namenskonventionen und Ressourcen-Management weisen Unternehmen den Nutzern den richtigen Weg. Die Vorarbeit ist aufwendig, aber lohnend. Wie diese geradewegs zur regelkonformen Cloud-Nutzung führt, lässt sich am Beispiel von Microsoft Azure zeigen.

Wenn ein Administrator unabsichtlich ein produktives SAP-System in der Cloud löscht, laufen die Fachabteilungen Sturm. Schnell steht dann die Frage im Raum: Wer hat mit welcher Berechtigung diesen Cloud-Service eingerichtet? Ein Unternehmen, das seine Ressourcen in der Cloud richtig trennt sowie Zugriffsrechte nach Rollen vergibt, sichert sich gegen solche Szenarien ab.

Die notwendigen Verantwortlichkeiten lassen sich so regeln, damit nur bestimmte Anwender spezifische Aufgaben durchführen dürfen. Die Zugriffsrechte können dynamisch zugewiesen und flexibel nach Funktionen, Beziehungen und Einschränkungen definiert werden. All diese Faktoren berücksichtigt die Cloud Governance.

An Microsoft Azure lassen sich wesentliche Aspekte und Details gut veranschaulichen, die für eine compliante Cloud-Nutzung relevant sind. Grundsätzlich ist eine sogenannte Subscription eine geschlossene, logische Einheit, in der Anwender Ressourcen erstellen, seien es nun virtuelle Maschinen (VMs) oder Netze. Zwei oder mehr angelegte Subscriptions sind voneinander getrennt. Ein Testsystem der IT und ein produktives CRM-System innerhalb einer Rechenzentrums- und Netzwerkinfrastruktur können sich daher nicht austauschen.

Subscriptions für eine übergeordnete Struktur nutzen

Eine One-fits-all-Lösung für eine pragmatische Cloud Governace, bei der Unternehmen alles in eine Subscription packen, geht gut, bis die Grenzen eines solchen abonnierten Dienstes erreicht sind. Die meisten Ressourcen wie Storage-Accounts, CPU-Kerne und VPN-Verbindungen und virtuelle Netzwerke sind in einer Subscription in ihrer Anzahl begrenzt. 200 Storage-Accounts in einer Subscription anlegen zu können, klingt nach viel Virtualisierungsspielraum. Der erschöpft sich jedoch schnell, wenn ein Unternehmen die Storage-Accounts pro VM anlegt.

Ein Enterprise-Vertrag in Azure beinhaltet die Option, eine übergeordnete Struktur abzubilden. Diese Hierarchie lässt sich durch verschiedene Subscriptions aufbauen, wobei die Motivation das zu tun, sich in der Praxis aus verschieden Gründen speist. So tragen Unternehmen den Unterschieden im Schutzstandard, in der Architektur oder im Bedarf Rechnung. Finanz-, HR- oder IT-Abteilung haben naturgemäß unterschiedliche Ansprüche an Dienste.

Namen zum Wiederfinden

Die Vorarbeit, um Ressourcen systematisch zu erzeugen, geht noch weiter – mit der Namenskonvention. Wer eine VM aufsetzt, muss auch Namen für Netzwerk, Subnetz, Storage-Account, Netzwerkkarte, öffentliche IP-Adresse und eine Firewall vergeben. Ein stringentes Namenskonzept vereinfacht im laufenden Betrieb das Identifizieren von Ressourcen. Eine Namenskonvention ist genauso für Firmen wichtig, die produktive Systeme über Skripte wie PowerShell oder mittels Template erstellen. Erfolgt die Namenübergabe nicht korrekt an das Skript, werden die Namen gegebenenfalls automatisch generiert. Eine Netzwerkkarte „NIC2345“ lässt sich dann nur schwer dem passenden virtuellen System zuordnen – zum Beispiel für die interne Verrechnung des gebuchten Dienstes.

Das Namenskonzept umfasst zusätzlich Ressourcengruppen und Tags. In Azure muss jede Ressource in genau eine Ressourcengruppe eingeordnet werden. Ressourcengruppen lassen sich nicht untereinander verschachteln. Wie man nun Systeme gruppiert, hängt vom IT-Ansatz ab. Steht die Agilität im Vordergrund, wird nach Web-, Applikations-, Datenbank- und Deployment-Schicht getrennt und diese jeweils als eigene Ressourcengruppe angelegt.

Die angesprochenen Tags im Namenskonzept helfen, um Storage-Account, Netze, VMs oder anderes schnell wieder zu finden. Microsoft empfiehlt für eine Ressourcengruppe mindestens drei Tags anzulegen: Besitzer, Abteilung und Umgebung. Für die einzelne Ressource sollte man auf jeden Fall den Verantwortlichen taggen – also beispielsweise den Administrator, der für die Datenbank zuständig ist. Ein Ressourcen-Tag besteht aus einem klassischen Schlüssel-Wert-Paar, welches sich bis in die Abrechnung übertragen lässt. Das vereinfacht das Zuordnen der angefallenen Kosten.

Automatisieren als langfristiges Ziel

Viele Unternehmen zögern Zugriffe einzuschränken sowie Ressourcen zu sperren. Sie können aber über Resource Manager Policies auf Subscription- oder auf Ressourcengruppen-Ebene definieren, welche Systeme in welchen Größen erlaubt sind. Konfigurierte Zugriffe lassen sich nutzen, um Freigabeprozesse über Automatisierungstools oder -workflows anzustoßen. Den Anwender wiederum kann eine Resource Manager Policy automatisch zwingen, beim Anlegen einer Ressource auch einen Tag für die Kostenstelle oder den Verantwortlichen zu vergeben.

Nicht zu vergessen sind die Resource Locks, die Systeme schützen. Steht ihr Wert auf „cannot delete“, kann niemand diese Ressource löschen, abgesehen vom ursprünglichen Ersteller. Um diesen Resource Lock aufzuheben, ist wieder eine Berechtigung notwendig. Wird eine Ressource auf „read only“ gesetzt, lässt sie sich nicht ändern.

Resource Manager Policies sind also Tools, um relativ gut zu steuern, wer was wie an Cloud-Ressourcen erstellt. Ein Unternehmen kommt jedoch nicht um Automatisierung herum, wenn die Cloud-Regeln langfristig beachtet werden sollen. Templates und Skripte sind hier ein Anfang, um beispielsweise Namensmuster durchzusetzen. Die nächste Stufe erreicht, wer die Administration der Ressourcen in das IT-Service-Management verlagert. Nutzer beantragen dann über ein Service-Management-Tool wie ServiceNow oder Microsoft Service Manager eine Ressource oder Änderung zu dieser. Das Tool verarbeitet die Anfragen mit richtlinienkonformen Skripten oder Templates.

Eric Berg, Principal IT-Architekt bei Comparex und Microsoft Most Valuable Professional (MVP).
Eric Berg, Principal IT-Architekt bei Comparex und Microsoft Most Valuable Professional (MVP). (Bild: Comparex)

Experten für das Konzept hinzuziehen

Soweit die Theorie. Ein Cloud-Governance-Konzept zu erstellen, ist jedoch mit viel Aufwand verbunden, den eine firmeneigene IT-Abteilung oft nicht leisten kann. Es empfiehlt sich daher, Dienstleister hinzuzuziehen, um ein passendes Regelwerk zu erstellen und zu implementieren. Hilfestellung bieten auch Hersteller an. So gibt Microsoft Unternehmen einen Azure-Handlungsleitfaden (Enterprise Scaffold) an die Hand. Unverzichtbare Bestandteile eines Regelwerkes sollten immer Strukturierung, Kostenverrechnung und Namenskonvention für die zu nutzenden Systeme sein.

* Eric Berg, Principal IT-Architekt bei Comparex und Microsoft Most Valuable Professional (MVP)

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44798006 / Compliance)