Chancen und Herausforderungen moderner Cloud-Governance

In vielen Unternehmen sind heute Cloud-Projekte in der Umsetzung. Dabei stehen die Themen Integration, Funktionsumfang, Flexibilität und Agilität oftmals im Vordergrund. Der Cloud Governance, das heisst der effizienten, Compliance-konformen und regulatorisch adäquaten Nutzung von Cloud-Services, wird im ersten Schritt nur rudimentär Beachtung geschenkt. Zu sehr verlässt man sich auf bestehende Governance-Prozesse für traditionelle IT-Umgebungen. Entsprechend wird das GRC-Team (Governance, Risk & Compliance) häufig erst spät in Cloud-Projekte eingebunden. Ein Fehler, denn gerade im Cloud Computing ist Governance ein wichtiges Thema, um Risiken zu minimieren. Dies betrifft vor allem die Kosten, den Betrieb und die Security, aber auch die Organisation und den Cloud-Service als solches.

Kosten, Betrieb und Security

Unternehmen ist es ein zentrales Anliegen, Kontrolle über die Kosten zu erlangen, das heisst sicherzustellen, dass die Kosten durch die Nutzung neuer Services nicht unerwartet in die Höhe schnellen. Dem einen oder anderen dürfte der folgende Fall bekannt sein: Man weist einem Entwicklungsteam eine kleine Sandbox-Umgebung zu, in der dann mit den Cloud-Services "gespielt" werden darf. In Bezug auf die Nutzung existiert aber kein Regelwerk. So kann es sein, dass das Team mit einem kostspieligen Service (etwa einem Big-Data-Cluster) herumexperimentiert und diesen nicht deprovisioniert ... Und am Ende des Monats wundert man sich dann über eine extrem hohe Rechnung. Cloud Governance kann hier helfen, solche Kosten im Griff zu behalten.

Ein weiteres zentrales Anliegen von Unternehmen ist es, dass der Betrieb von produktiven Umgebungen, Lösungen oder Applikationen durch andere Deployments nicht beeinträchtigt wird. Änderungen, Störungen und Ereignisse müssen deshalb definiert gemanagt werden. So werden etwa PaaS-Services anders gemanagt und gemonitort als IaaS-Services. Andere Deployment-Prinzipien in der Cloud brauchen andere Betriebsaspekte, die mit der Cloud-Governance berücksichtigt werden können.

Nicht zuletzt wollen Unternehmen auch die Sicherheit der Cloud-Services gewährleisten können. Das Sicherheitsdenken in der Cloud erfordert aber ein Umdenken: weg von Sicherheits­perimetern, die auf Zoning, Netzwerksegmentierungen und Schutzwällen aus Firewalls basieren, hin zu Identity- und Access-­Centric-Prinzipien, Thread Analytics und intelligenten Auswertungen von Verhaltensmustern.

Organisation und Cloud-Service

Moderne Cloud Governance hat aber nicht nur Implikationen in Bezug auf Kosten, Betrieb und Security, sondern auch in organisatorischer Hinsicht. So braucht es neue Definitionen zu Rollen, Verantwortlichkeiten und Prozessen im Cloud Computing. Eine kontinuierliche Provider- und Service-Assurance ist ebenfalls elementar, genauso wie ein durchdachtes Provider-Management. Da Teile der Verantwortlichkeiten beim Provider liegen, muss dieser in die Prozesse im Unternehmen eingebunden werden. Änderungen in Cloud-Services ereignen sich häufig und in kurzen Zyklen. Sie können auch Änderungen und Zusätze in vertraglicher Hinsicht mit sich bringen. Nicht zuletzt ist die Frage wichtig, welche Auswirkungen neue Cloud-Services auf die Compliance des Unternehmens haben.

Ausser für die Organisation hat moderne Cloud Governance auch Implikationen für den Cloud-Service an sich. So müssen Basis-Services wie Identity-Management, Konnektivität und Management/Operation ganzheitlich definiert, geplant, implementiert und kontrolliert werden. Insbesondere das Identity-Management, die Rollen und die Berechtigungskonzepte (Role based access Control, kurz RBAC) sind hier nicht zu unterschätzen. Auch das Design und Management von Multiple Subscriptions und Multiple Tenants eines Providers bis hin zu Multi-Provider-Management müssen berücksichtigt werden. Vom Provider zur Verfügung gestellte Funktionalitäten und Services zur Unterstützung der Governance sollten hierbei geprüft und gegebenenfalls mitintegriert werden.

Zu den beschriebenen Bereichen, in denen die Cloud Governance wichtig ist, kommen die typischen Herausforderungen im Bereich Cloud Computing hinzu, auf die im Rahmen dieses Artikels aus Platzgründen nicht eingegangen wird.

Definition und Implementierung

Wie muss eine moderne Cloud Governance nun aussehen? Grundsätzlich empfiehlt sich ein Vorgehen in vier Phasen: Definition, Implementierung, kontinuierliche Überprüfung und Durchführen von Massnahmen. In diesen vier Phasen müssen dann die Herausforderungen, die sich im Kontext von Cloud-Computing ergeben, angegangen werden.

In der Definitionsphase sollten die Governance-Kontrollen definiert und dokumentiert werden. Hierbei ist zu unterscheiden zwischen detektierenden, präventiven und korrigierenden Kontrollen. Diese sollten dabei mit der Strategie, den Business­anforderungen und der bestehenden Governance abgestimmt werden. Die Verantwortlichkeiten müssen zudem klar gesetzt werden, gerade im Bereich der verteilten Verantwortlichkeiten. Hierbei empfiehlt es sich, bestehende Frameworks oder Best Practices der Provider miteinzubeziehen.

In der Implementierungsphase werden die definierten Kon­trollen nun im Cloud-Kontext implementiert. Hierbei lohnt es sich, die Onboarding-Hilfsmittel der Provider genau zu prüfen, da diese viele Governance-Funktionalitäten bereits mitliefern. Sie müssen nur aktiviert werden. Auch stehen oft Cost-Management-Services zur Verfügung, die bei der Kostenkontrolle helfen können, genauso wie Monitoring- und Reporting-Funktionalitäten.

Kontinuierliche Überprüfung und Durchführung von Massnahmen

In der nächsten Phase werden die implementierten Kontrollen kontinuierlich gemanagt und überwacht. Oftmals wird hierzu auch ein Live-Reporting genutzt. Dabei sollte die Überprüfung in das Servicemanagement und die Entwicklung integriert werden. Bei jeder Änderung im oder am Service und bei jedem neuen Projekt sollten die relevanten Governance-Kontrollen mitevaluiert, erweitert oder gegebenenfalls auch deprovisioniert werden. Hierbei empfiehlt sich der "DevSecOps"-Ansatz, der DevOps um die kontinuierliche Verbesserung und Anpassung der Security- und eben auch der Governance-Aspekte erweitert.

Die Erkenntnisse aus den Überprüfungen und dem Governance-Monitoring müssen letztlich in die Entwicklung, die IT (Betreiber), die Fachabteilung und das GRC-Team zurückflies­sen. Sie sollten evaluiert werden, um bestehende Prozesse sowie Kontrollen anzupassen oder zu erweitern. Wenn man erst nur bestimmte Kontrollen für das Monitoring nutzt, aber viele Verstösse feststellt, die sich durch Kommunikation mit der Zeit nicht bessern, sollte man erwägen, Richtlinien zu forcieren.

Wichtig ist auf jeden Fall, eine Balance zu finden zwischen der Governance des Cloud-Services und dem Gewähren von Freiheiten für die Nutzer. Denn wenn Services mit Kontrollen und Enforcements zu sehr eingeschränkt werden, wird damit die Agilität des Cloud-Services und letzten Endes auch des Unternehmens gebremst.

So wird man Herr über die Cloud

Für die Umsetzung einer Cloud Governance empfiehlt sich grundsätzlich ein agiler Ansatz. In Projekten kann eine erste Basis der Governance definiert und implementiert werden. Mit jedem Sprint sollten dann Neuerungen im Cloud-Service auch vonseiten der Governance betrachtet werden – hierbei empfiehlt es sich, Funktionalitäten des Providers mitzunutzen. Wichtig ist, Erkenntnisse immer wieder zurückfliessen zu lassen, um die Governance kontinuierlich und integriert zu verbessern – und nicht losgelöst im Nachgang. Nur so wird man Herr über die Cloud.