Ordnung statt Chaos in der Cloud

LinkedInXingPocketWhatsAppFlipboard

Cloud HaendeUnternehmen, die in der virtuellen Welt stets den Überblick haben wollen, sollten Regeln für die Cloud festlegen – noch bevor sie dort die erste Ressource anlegen. Wertvolle Unterstützung bietet ein Konzept, das Struktur, Kostenverrechnung und Namenskonvention vorgibt. Skripte und Templates können anschließend die regelkonforme Cloud-Nutzung automatisieren.

Vom Cloud-Einsatz versprechen sich viele Unternehmen eine höhere Effizienz. Die Freiheit, die die Cloud mit sich bringt, führt jedoch leicht ins Chaos und Firmen verlieren den Überblick, wer, wo, welche Ressourcen angelegt hat und wem bestehende virtuelle Infrastrukturen gehören. Abonniert ein Unternehmen einen Cloud-Dienst ohne ihn über ein Regelwerk zu steuern, können Nutzer etwa virtuelle Maschinen (VMs) in Brasilien erstellen oder Daten in den USA lagern. Datensouveränität im eigenen Land, so wie sie die deutsche Cloud von Microsoft umsetzt, geht auf diese Weise verloren. Um das zu verhindern, legen Firmen mit einem Cloud-Governance-Konzept die organisatorische Struktur und den Handlungsspielraum der Mitarbeiter fest. Microsoft beispielsweise stellt für Azure mit dem Enterprise Scaffold einen Leitfaden zur Verfügung, mit dem Enterprise-Kunden den Rahmen für den Einsatz von Cloud-Diensten abstecken können.

Anzeige

Struktur und Hierarchie in der Cloud vorgeben

Komponenten werden in Azure in sogenannten Subscriptions angelegt. Das sind virtuelle Rechenzentren, also logische, in sich geschlossene Einheiten. Aufgrund unterschiedlicher Schutzstandards und Architekturen setzen Unternehmen verschiedene Instanzen auf. Virtuelle Maschinen (VMs) oder Netze in unterschiedlichen Subscriptions können sich standardmäßig untereinander nicht austauschen. Durch eine solche Verteilung in verschiedene Einheiten schützen Unternehmen ihre produktiven Systeme vor Fehlern, die beispielsweise in einem Testsystem auftreten.

In Azure lässt sich innerhalb eines Enterprise-Vertrages eine Hierarchie abbilden. Damit können alle Abteilungen, Accounts und Subscriptions gesteuert werden. Die Hierarchie lehnt sich am Unternehmensaufbau an, also an der globalen Aufstellung, der Abteilungsstruktur oder der Verteilung von Verantwortlichkeiten.

Ein Beispiel: Ein weltweit agierender Konzern legt länderspezifische Abteilungen an und kann dann innerhalb der europäischen Organisation Accounts definieren, die selbst Subscriptions anlegen dürfen. Via rollenbasierter Zugriffskontrolle können auf diese aber explizit nur die europäischen IT-Mitarbeiter zugreifen.

Namensgebung regeln

Hat ein Unternehmen die Struktur für seine virtuellen Systeme festgelegt, dann steht als nächstes die Namensgebung für die Cloud-Services an. Eine neue VM zieht schnell mehrere Komponenten nach sich, die ebenfalls angelegt werden: Netzwerk, Subnetz, öffentliche IP-Adresse, Netzwerkkarte, Storage-Account und eine Firewall. Sie alle brauchen Namen. Liegt ein konsequentes Namenskonzept vor, lassen sich angelegte IT-Services später leichter identifizieren und schnell wiederfinden, wenn sie nicht mehr gebraucht werden. In Azure muss jede Ressource einer Ressourcengruppe zugeordnet werden – auch diese braucht einen Namen. Ein stringentes Namenskonzept schließt sie deshalb ebenso mit ein.

Auch für die Erstellung produktiver Systeme mittels Templates oder über Skripte wie PowerShell ist die Namenskonvention relevant. Namen, die nicht richtig an das Skript weitergeleitet werden, werden unter Umständen automatisch generiert. Eine so benannte Komponente ist dann nur schlecht dem passenden System zuzuordnen, was Administration und interne Verrechnung erschwert. 

Auch Tags sind Teil der Namenskonvention. Sie können für jede Ressource und Ressourcengruppe vergeben werden. Mit ihnen lassen sich Storage-Account, Netze, VMs oder anderes schnell wieder finden und zuordnen. Microsoft empfiehlt innerhalb der Gruppen immer mindestens Tags für Besitzer, Abteilung und Umgebung zu vergeben. Die Tags für einzelne Ressourcen bestehen aus einem Schlüssel-Wert-Paar und lassen sich in die Abrechnung übertragen. Entstandene Kosten können so einfacher zugeordnet werden.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Nicht jeder sollte alles dürfen

Mithilfe der Cloud Governance können Cloud-Anwender Einschränkungen auferlegen, so dass etwa in bestimmten Gebieten nur ein Storage-Typ oder eine Maschinenklasse angelegt werden kann. Dazu definieren Resource Manager Policies auf Subscription- oder Ressourcengruppen-Ebene, welche Systeme dort möglich sind. Sie können Anwender auch automatisch zwingen, für jede erstellte Komponente einen Tag für die Kostenstelle anzugeben. Mit diesen Richtlinien haben Unternehmen also im Griff wer, wo, welche Cloud-Leistungen bucht.

Um angelegte Ressourcen zu schützen, eignen sich Resource Locks. Diese geben vor, wer eine Komponente wieder löschen darf. Steht der Wert auf „cannot delete“ kann niemand außer der Ersteller ein System, ein Netzwerk oder einen gebuchten Dienst löschen. Nur mit einer Berechtigung lässt sich ein Resource Lock aufheben. Über diese verfügt standardmäßig der Ressourcen-Besitzer. Die IT-Leitung kann aber über die Rolle „User-Access-Administrator“ Systeme in letzter Instanz freigeben und sperren.

Steht der Wert einer Komponente auf „read only“ lässt sie sich nicht ändern. Dadurch sind für sie jedoch nur Get-Anfragen möglich, einige Verwaltungsaktivitäten für Cloud-Ressourcen setzen allerdings andere Abfragen voraus.

Cloud Governance automatisiert auditieren

Damit die Mitarbeiter sich an die Regeln halten, lassen sie sich automatisiert durchsetzen. Eine PowerShell-Funktion sorgt etwa dafür, dass die Namenskonvention angewendet wird. Sie gibt alle Namen aus, die man gegen die festgelegte Namenskonvention laufen lässt. 

In Templates legen Unternehmen fest, welche Namensmuster für Cloud-Services gelten sollen. Mit ihnen lässt sich bestimmen, wie eine virtuelle Maschine zu erzeugen ist und welche Leistungen in welchen Regionen gebucht werden dürfen. 

Noch weiter gehen Unternehmen, die die Verwaltung der Cloud-Leistungen in das IT-Service-Management integrieren. Anwender beantragen eine Komponente oder eine Änderung an einer solchen über ein Service-Management-Tool wie Service Now oder Microsoft Service Manager. Dieses verarbeitet die Anträge anschließend mithilfe richtlinienkonformer Skripte oder Templates.

Einmal strukturieren, statt ständig suchen

Cloud Governance klingt nach großem Aufwand. Jedoch entsteht ohne einen verbindlichen Handlungsrahmen für die Cloud schnell Chaos, in dem man lange sucht, bis man zusammengehörige Ressourcen wiederfindet. Dieses aufzuräumen ist meist viel aufwendiger.

Eric Berg

 

 

Autor: Eric Berg, Principal IT-Architekt bei Comparex und Microsoft Most Valuable Professional (MVP) (Quelle: Comparex)


Anzeige

Weitere Artikel

Cyber & Cloud Security
Worauf es bei Data Security Posture Management (DSPM) ankommt
Cyber & Cloud Security
Sicheres Management von SSH-Schlüsseln am Beispiel PuTTY
Cyber & Cloud Security
VASA-1: Microsofts neue KI ist ein Deepfake-Horrorszenario
Cyber & Cloud Security
Chefetagen sehen in IT-Security keine Wettbewerbsvorteile
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.