Kalawin - stock.adobe.com
Die vier Säulen einer soliden Cloud-Governance-Strategie
Unternehmen schätzen die Cloud für ihre hohe Flexibilität. Genau diese führt aber auch dazu, dass es schwer ist, die Kontrolle zu behalten. Wir erklären, wie das gelingen kann.
Cloud Computing ermöglicht schnellere und agilere Reaktionen auf sich ändernde Geschäftsanforderungen als traditionelle Methoden zur Bereitstellung von IT-Services. Neben den zahlreichen Vorteilen birgt die Cloud aber auch ein erhebliches Risiko: Kontrollverlust. Das kann zum Überschreiten von Budgets, ineffizienter Nutzung von Cloud-Ressourcen, Sicherheitsproblemen, Datenlecks und Nichteinhaltung von Compliance-Richtlinien führen.
Glücklicherweise wissen wir bereits, dass sich dieses Compliance-Risiko durch gute Governance-Praktiken eindämmen lässt. Bei einem Cloud Govenance Framework geht es nicht darum, sich neue Regeln und Praktiken auszudenken, sondern sie müssen lediglich in den Cloud-Prozessen des Unternehmens Anwendung finden.
In diesem Artikel stellen wir die vier Säulen eines Cloud Governance Frameworks vor, auf deren Basis Sie angemessene Kontrollmechanismen einführen und die Nutzung von Cloud-Diensten in Ihrem Unternehmen optimieren können
- Kostenmanagement
- Betriebsmanagement
- Sicherheits- und Compliance-Management
- Datenmanagement
1. Kostenmanagement
Das In-Ohnmacht-Fallen bei Ankunft der allerersten Cloud-Rechnung ist eine Art Initiationsritual beim Cloud Computing. Cloud-Service-Provider und Befürworter argumentieren – oft zurecht – dass Cloud-Services immer noch günstiger sind, als Anschaffung und Erhalt der eigenen Infrastruktur. Das gilt aber nur, wenn Sie Ihre Cloud-Kosten effektiv kontrollieren. Dafür benötigen Sie drei Komponenten: Richtlinien, Budgets und Berichterstattung.
Kostenmanagementrichtlinien bieten einen Rahmen für Geschäftsentscheidungen zu Cloud-Ressourcen. Zum Beispiel kann sich eine Organisation dafür entscheiden, so viel wie möglich auf verwaltete Services zu setzen, um die Kosten für die Administration zu senken. Eine weitere Strategie ist das Erstellen einer Checkliste mit Schritten zum Kostenmanagement, die zu befolgen sind, ehe ein neuer Dienst in einer Public Cloud angefordert wird. Budgetierung als Prozess ist gut bekannt, aber es kann schwierig sein, Cloud-Kosten abzuschätzen – besonders dann, wenn die Gebührenstruktur des Anbieters unübersichtlich ist und die Erfahrung fehlt.
Um beispielsweise die Gesamtkosten (Total Cost of Ownership, TCO) für das Speichern von Backup-Snapshots zu ermitteln, muss ein Unternehmen in vielen Fällen unterschiedliche Regionen, Konten und Cloud-Services zusammenbringen, um den Preis für alle Instanzen dieser Backups zu erfassen. Entwickeln Sie einen Plan, wie Sie die Informationen sammeln, die Sie zum Aufstellen und Nachvollziehen Ihrer Budgets benötigen.
Die meisten Cloud-Anbieter bieten Tools zur Kostenberichterstattung an. Entsprechen diese nicht Ihren Anforderungen, können Sie sich an Dienste von Drittanbietern halten, um diese Lücke zu schließen. Fügen Sie neben der Berichterstellung für Budgetzwecke auch ein Tool hinzu, dass Sie vor der Überschreitung Ihres Budgets warnt. Wenn Ihre Cloud-Umgebung beispielsweise in einem bestimmten Monat 25 Prozent ihres Budgets überschritten hat, kann so ein System eine Warnung ausgeben und sie haben Zeit, Ihr Verhalten entsprechend anzupassen.
2. Betriebsmanagement
Hier liegt der Schwerpunkt auf dem Steuern der Bereitstellung von Cloud-Ressourcen. Dabei sollten Sie die folgenden drei Schritte durchführen, um mehr Kontrolle über die Cloud zu erreichen:
- Geben Sie feste Prozesse zum Erstellen neuer Services vor. Dazu gehört das Festlegen von Service Level Agreements (SLAs) beim Zuweisen von Ressourcen;
- Stellen Sie Anwendungscode in verschiedene Umgebungen bereit, insbesondere in Produktionsumgebungen;
- Überwachen Sie den Status der Dienste, um sicherzustellen, dass die SLAs eingehalten werden.
Wenn beispielsweise ein Entwickler oder Produktmanager fragt, ob das Unternehmen einem Kunden eine bestimmte Anwendung liefern kann, dann sollte es für die Antwort eine genau definierte Richtlinie geben. In diese gehört die Koordination mit dem Betriebsteam. wie man Identitäts- und Zugriffsverwaltungsanforderungen spezifiziert; wie man Rechen-, Speicher- und Netzwerkanforderungen abschätzt; und wie man die Überwachungs- und Protokollierungsanforderungen erfüllt.
Eine klare, eindeutig festgelegte Betriebsmanagementpraxis ist eine der besten Möglichkeiten, um zu verhindern, dass sich Schatten-IT-Vorgänge in Ihre Cloud-Umgebung einschleichen. Eine gute Kosten- und Leistungsüberwachung kann auch dazu beitragen, Cloud-Ressourcen zu identifizieren, die nicht gezielt verwaltet werden.
3. Sicherheits- und Compliance-Management
Cloud Governance betrifft dieselben Sicherheitsthemen, die Sie auch in anderen Bereichen Ihres Unternehmens beachten müssen:
-
Datenverschlüsselung und Schlüsselverwaltung,
-
Notfallplanung.
Aus Governance-Sicht werden die Ziele von Informationssicherheitspraktiken durch eine Kombination von Geschäftszielen und -vorschriften vorgegeben. Der erste Schritt zum Formulieren Ihrer Cloud-Sicherheitspraktiken besteht darin, die wichtigsten betriebswirtschaftlichen Faktoren zu identifizieren. Häufig müssen Sie Kompromisse zwischen der Praktikabilität und den Sicherheitsbedürfnissen Ihres Unternehmens, sowie den Sicherheitsvorgaben der Regierung und Ihrer Branche finden.
Ein Governance-Modell für die Cloud sollte auf bereits vorhandenen Governance-Richtlinien und Frameworks aufbauen, einschließlich Cybersicherheit, Datenschutz und Risikomanagement. Mehr Informationen erhalten Sie im Online-Angebot des Bundesamtes für Sicherheit in der Informationstechnik.
Nutzen Sie auch die Sicherheitsdienste ihres Public-Cloud-Anbieters, um das Risiko von Datenlecks, Denial-of-Service-Angriffen (DoS) und anderen häufigen Bedrohungen zu verringern.
4. Datenmanagement
Mit zunehmender Fähigkeit, Daten zu sammeln, zu speichern und zu analysieren, steigt auch der Schwierigkeitsgrad beim Veralten dieser Daten.
Beginnen Sie mit einem Datenklassifizierungsschema. Nicht alle Daten sind gleich wertvoll oder benötigen dasselbe Sicherheitsniveau. Sensible und vertrauliche Daten erfordern mehr Sicherheitskontrollen als öffentliche Informationen. Die beste Vorgehensweise für Daten in der Cloud ist es, alle Daten während der Übertragung und Lagerung zu verschlüsseln.
Dies sollte Ihre Standardvorgehensweise sein. Andere Vorgaben, zum Beispiel, wer auf bestimmte Datentypen zugreifen oder diese aktualisieren darf, hängen von der Datenklassifizierung und ab und davon, wozu diese Daten später dienen.
Governance-Richtlinien sollen Dateneigentümern, Produktmanagern und Anwendungsentwicklern helfen, zu verstehen, wie Daten basierend auf ihrer Klassifizierung zu schützen sind. Dazu gehört eine Anleitung zum Verwalten des Lebenszyklus von Daten, einschließlich Regeln dafür, wie lange sie im normalen Speicher oder im Archiv verbleiben.
Die manuelle Verwaltung von Daten ist fehleranfällig und stößt auch bei der Datenmenge schnell an ihre Grenzen. Nutzen Sie die Datenverwaltungs-Tools von Cloud-Anbietern, um Daten automatisch auf verschiedene Speichersysteme zu migrieren oder Daten zu löschen, die Sie nicht mehr brauchen.
Die Bedeutung des Cloud Governance Frameworks
Eine Cloud-Management-Strategie muss die vier Grundpfeiler der Cloud Governance berücksichtigen und auch, wie diese miteinander verknüpft sind. Datenmanagement und Sicherheit sind stark voneinander abhängig und Betriebsmanagement und Kostenkontrolle überschneiden sich ebenfalls. Besonders das Betriebsmanagement ist die zentrale Schaltstelle, wenn es um das Umsetzen von Richtlinien, zum Beispiel für das Data-Lifecycle-Management geht. Alle genannten Faktoren hängen also zusammen.
Wenn zum Beispiel Entwickler und Produktmanager einen Dienst zum Schutz vor Datenverlust einsetzen möchten, um die Sicherheit zu verbessern, kann es sein, dass das vom Kostenmanagement-Standpunkt aus nicht vertretbar ist.
Das ist nur ein Beispiel dafür, wie die vier Säulen eines Cloud Governance Frameworks dazu beitragen können, die Kontrolle zu behalten und konkurrierenden Interessen in einem Unternehmen zu auszugleichen.