SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

Cloud HaendeUnternehmen, die in der virtuellen Welt stets den Überblick haben wollen, sollten Regeln für die Cloud festlegen – noch bevor sie dort die erste Ressource anlegen. Wertvolle Unterstützung bietet ein Konzept, das Struktur, Kostenverrechnung und Namenskonvention vorgibt. Skripte und Templates können anschließend die regelkonforme Cloud-Nutzung automatisieren.

Vom Cloud-Einsatz versprechen sich viele Unternehmen eine höhere Effizienz. Die Freiheit, die die Cloud mit sich bringt, führt jedoch leicht ins Chaos und Firmen verlieren den Überblick, wer, wo, welche Ressourcen angelegt hat und wem bestehende virtuelle Infrastrukturen gehören. Abonniert ein Unternehmen einen Cloud-Dienst ohne ihn über ein Regelwerk zu steuern, können Nutzer etwa virtuelle Maschinen (VMs) in Brasilien erstellen oder Daten in den USA lagern. Datensouveränität im eigenen Land, so wie sie die deutsche Cloud von Microsoft umsetzt, geht auf diese Weise verloren. Um das zu verhindern, legen Firmen mit einem Cloud-Governance-Konzept die organisatorische Struktur und den Handlungsspielraum der Mitarbeiter fest. Microsoft beispielsweise stellt für Azure mit dem Enterprise Scaffold einen Leitfaden zur Verfügung, mit dem Enterprise-Kunden den Rahmen für den Einsatz von Cloud-Diensten abstecken können.

Struktur und Hierarchie in der Cloud vorgeben

Komponenten werden in Azure in sogenannten Subscriptions angelegt. Das sind virtuelle Rechenzentren, also logische, in sich geschlossene Einheiten. Aufgrund unterschiedlicher Schutzstandards und Architekturen setzen Unternehmen verschiedene Instanzen auf. Virtuelle Maschinen (VMs) oder Netze in unterschiedlichen Subscriptions können sich standardmäßig untereinander nicht austauschen. Durch eine solche Verteilung in verschiedene Einheiten schützen Unternehmen ihre produktiven Systeme vor Fehlern, die beispielsweise in einem Testsystem auftreten.

In Azure lässt sich innerhalb eines Enterprise-Vertrages eine Hierarchie abbilden. Damit können alle Abteilungen, Accounts und Subscriptions gesteuert werden. Die Hierarchie lehnt sich am Unternehmensaufbau an, also an der globalen Aufstellung, der Abteilungsstruktur oder der Verteilung von Verantwortlichkeiten.

Ein Beispiel: Ein weltweit agierender Konzern legt länderspezifische Abteilungen an und kann dann innerhalb der europäischen Organisation Accounts definieren, die selbst Subscriptions anlegen dürfen. Via rollenbasierter Zugriffskontrolle können auf diese aber explizit nur die europäischen IT-Mitarbeiter zugreifen.

Namensgebung regeln

Hat ein Unternehmen die Struktur für seine virtuellen Systeme festgelegt, dann steht als nächstes die Namensgebung für die Cloud-Services an. Eine neue VM zieht schnell mehrere Komponenten nach sich, die ebenfalls angelegt werden: Netzwerk, Subnetz, öffentliche IP-Adresse, Netzwerkkarte, Storage-Account und eine Firewall. Sie alle brauchen Namen. Liegt ein konsequentes Namenskonzept vor, lassen sich angelegte IT-Services später leichter identifizieren und schnell wiederfinden, wenn sie nicht mehr gebraucht werden. In Azure muss jede Ressource einer Ressourcengruppe zugeordnet werden – auch diese braucht einen Namen. Ein stringentes Namenskonzept schließt sie deshalb ebenso mit ein.

Auch für die Erstellung produktiver Systeme mittels Templates oder über Skripte wie PowerShell ist die Namenskonvention relevant. Namen, die nicht richtig an das Skript weitergeleitet werden, werden unter Umständen automatisch generiert. Eine so benannte Komponente ist dann nur schlecht dem passenden System zuzuordnen, was Administration und interne Verrechnung erschwert. 

Auch Tags sind Teil der Namenskonvention. Sie können für jede Ressource und Ressourcengruppe vergeben werden. Mit ihnen lassen sich Storage-Account, Netze, VMs oder anderes schnell wieder finden und zuordnen. Microsoft empfiehlt innerhalb der Gruppen immer mindestens Tags für Besitzer, Abteilung und Umgebung zu vergeben. Die Tags für einzelne Ressourcen bestehen aus einem Schlüssel-Wert-Paar und lassen sich in die Abrechnung übertragen. Entstandene Kosten können so einfacher zugeordnet werden.

Nicht jeder sollte alles dürfen

Mithilfe der Cloud Governance können Cloud-Anwender Einschränkungen auferlegen, so dass etwa in bestimmten Gebieten nur ein Storage-Typ oder eine Maschinenklasse angelegt werden kann. Dazu definieren Resource Manager Policies auf Subscription- oder Ressourcengruppen-Ebene, welche Systeme dort möglich sind. Sie können Anwender auch automatisch zwingen, für jede erstellte Komponente einen Tag für die Kostenstelle anzugeben. Mit diesen Richtlinien haben Unternehmen also im Griff wer, wo, welche Cloud-Leistungen bucht.

Um angelegte Ressourcen zu schützen, eignen sich Resource Locks. Diese geben vor, wer eine Komponente wieder löschen darf. Steht der Wert auf „cannot delete“ kann niemand außer der Ersteller ein System, ein Netzwerk oder einen gebuchten Dienst löschen. Nur mit einer Berechtigung lässt sich ein Resource Lock aufheben. Über diese verfügt standardmäßig der Ressourcen-Besitzer. Die IT-Leitung kann aber über die Rolle „User-Access-Administrator“ Systeme in letzter Instanz freigeben und sperren.

Steht der Wert einer Komponente auf „read only“ lässt sie sich nicht ändern. Dadurch sind für sie jedoch nur Get-Anfragen möglich, einige Verwaltungsaktivitäten für Cloud-Ressourcen setzen allerdings andere Abfragen voraus.

Cloud Governance automatisiert auditieren

Damit die Mitarbeiter sich an die Regeln halten, lassen sie sich automatisiert durchsetzen. Eine PowerShell-Funktion sorgt etwa dafür, dass die Namenskonvention angewendet wird. Sie gibt alle Namen aus, die man gegen die festgelegte Namenskonvention laufen lässt. 

In Templates legen Unternehmen fest, welche Namensmuster für Cloud-Services gelten sollen. Mit ihnen lässt sich bestimmen, wie eine virtuelle Maschine zu erzeugen ist und welche Leistungen in welchen Regionen gebucht werden dürfen. 

Noch weiter gehen Unternehmen, die die Verwaltung der Cloud-Leistungen in das IT-Service-Management integrieren. Anwender beantragen eine Komponente oder eine Änderung an einer solchen über ein Service-Management-Tool wie Service Now oder Microsoft Service Manager. Dieses verarbeitet die Anträge anschließend mithilfe richtlinienkonformer Skripte oder Templates.

Einmal strukturieren, statt ständig suchen

Cloud Governance klingt nach großem Aufwand. Jedoch entsteht ohne einen verbindlichen Handlungsrahmen für die Cloud schnell Chaos, in dem man lange sucht, bis man zusammengehörige Ressourcen wiederfindet. Dieses aufzuräumen ist meist viel aufwendiger.

Eric Berg

 

 

Autor: Eric Berg, Principal IT-Architekt bei Comparex und Microsoft Most Valuable Professional (MVP) (Quelle: Comparex)

GRID LIST
Tb W190 H80 Crop Int 5c656c2bb18d2e8e598dd42a06f4e69a

Privileged Account Security Suite Version 10

CyberArk hat seine marktführende Privileged-Account-Security-Lösung umfassend erweitert.…
Tb W190 H80 Crop Int 0ea69ea327726a7a6ec2d86dab6f962f

Sichere Authentisierung durch die Einbindung von OAuth2

Der offene Industriestandard steht ab sofort für alle ownCloud User zur Verfügung. OAuth2…
Cloud Security

Neue Wege für Datensicherheit in der Cloud

Für die Datensicherheit in der Cloud braucht es einen völlig neuen Ansatz, der…
Cloud Schloss

Sandboxing am Endpunkt

Mit der aktuellen Erweiterung des cloudbasierten Sicherheitsdienstes TDR (Threat…
Hacker Cloud

Warnung vor Cyber-Attacken auf Cloud-Umgebungen

Privilegierte Benutzerkonten und Zugangsdaten für die Administration von Cloud Services…
Cloud Security

Neue Lösungen für Sicherheit in der Cloud

In der digitalisierten Arbeitswelt nimmt das Arbeiten mit Cloud-Lösungen stetig zu.…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet