Cloud-Computing kostet Geld und sollte mit System beginnen
Einstieg und wachsende Nutzung von Cloud-Services planvoll angehen
//
Cloud Transition & Transformation, Hybrid Cloud, IT & Management Consulting, Modern Work, Process Automation
Die Nutzung von Cloud-Dienstleistungen ist für die meisten Unternehmen anfänglich oft ein Experiment in Einzelschritten. Verschiedene Mitarbeiter erkunden auf der Basis einzelner Accounts bei einem der großen Cloud Anbieter die Möglichkeiten und machen sich ein Bild davon, welche Anwendungen für ihr Unternehmen oder ihre Abteilung von Interesse sein könnte. Schon diese ersten Erkundungen sind zumeist kostenpflichtig. Um im Blick zu haben, wohin die Reise finanziell geht, muss schon dieses erste Testen der Optionen planvoll angegangen werden. Für eine spätere breite Cloudnutzung ist ein solcher Plan zwingend. Große Anbieter wie AWS oder Azure haben für neue Kunden die ersten Schritte zumeist systematisch vorgedacht. Mit einem Trusted Advisor, wie z.B. bei AWS vorhanden, sind die ersten Schritte schnell und sicher getan.
Ein abgestuftes Berechtigungs-Modell vermindert die ökonomischen Risiken der Testphase des Cloud-Computing
Startpunkt für ein Unternehmen in der Erkundungsphase ist bei den meisten Anbietern ein Basis- oder Root-Account, welchem der Zugriff auf alle Rechte zur Verfügung steht. Dieser Account wird besonders abgesichert – z.B. zusätzlich zur Passwortsicherung mit einem RSA-Token. Das ist notwendig, findet doch hier die Abbuchung per Kreditkarte statt.
In einer nächsten Stufe wird sodann ein führendes Administrations-Konto erstellt. Dieses hat alle Berechtigungen, jedoch keinen Zugriff mehr auf die Kreditkartendaten als wirtschaftlichem Bindeglied zwischen Kunde und Anbieter. Auch dieses Konto wird intensiv abgesichert.
Erst an dieser Stelle werden nun die User-Konten für verschiedene Mitarbeiter benötigt. Bei einer größeren Gruppe von Menschen mit jeweils eigenem Zugang steigt das Risiko, unkontrolliert und unbeabsichtigt hohe Kosten zu erzeugen. Ein unbeschränkter administrativer Vollzugriff kann bei größeren User-Gruppen sinnvoller Weise nicht generell an alle vergeben werden. Durch die Einrichtung von Billing Alerts können ungewünschte Nutzungsspitzen frühzeitig bemerkt und gemeldet werden. Ein vorab abgestuftes Nutzungskonzept und die entsprechende Rechtevergabe an einzelne User geben aber mehr Sicherheit.
Vernünftig klingt zunächst einmal die Idee, die „Cloud-Pfadfinder“ im Unternehmen nicht mit Administratorenrechten auszustatten. Stattdessen können sie mit weitgehend rechtelosen Accounts auf die Erkundungsreise geschickt werden. Bei Bedarf bekämen sie dann weitere Berechtigungen. Praktisch ist das aber fast undurchführbar, da die großen Cloudanbieter die Vergabe von Berechtigungen sehr kleinteilig angelegt haben. Alleine für den Bereich „Virtuelle Maschinen“ gibt es bei AWS über 230 verschiedene Unterberechtigungen, die vergeben werden können. Durch eine solche außerordentlich dichte Anlage von Vergabe-policies und deren Verknüpfung wird schon das Testen von Cloud-Optionen zu einer Wissenschaft für sich, die schnelle Erkenntnisse und hohe Leistungen eher verhindert.
Hintergrund dieser komplexen Vergabestrukturen ist, dass die großen Cloudanbieter mit ihrem Angebot auch die Bedürfnisse großer Unternehmen befriedigen müssen. Diese haben oft viele hundert Nutzer und Administratoren, was über die kleinteilige Arbeitsteilung eine entsprechende Rechtevergabe in Cloud-Systemen bedeutet. Für große Usecases ist dies angemessen, allerdings für kleinere Teams oft recht kompliziert und unflexibel.
Gleichzeitig ist es aber auch ein großer Schutz. Tausende von Optionen und Services in einem weltweiten Cloud-Rechner-Netz bergen aus Sicht der Datensicherheit und der Kosten zu viele Chancen für Verschwendung oder Unsicherheit bei den Nutzern.
Beim Aufbau eines Berechtigungskonzeptes Strategie und Umsetzung im Blick behalten
Dokumentationen, Erfahrungsberichte, Blogdiskussionen und auch die Einführungen der großen Anbieter selber bilden zusammengenommen das große Reservoir an Informationen für den Weg in die Cloud-Nutzung. Für Anfänger sind diese Leistungen des Cloud-Betriebs oft zu umfangreich.
Einen guten Leitfaden für die eigenen ersten Schritte in die Cloud sucht man oft vergebens. Erfahrene IT-Architekten und Cloud-Experten können erste Schritte absichern und begleiten, indem sie:
- bestehende Infrastrukturen und ihre planerische Abbildung in einer Cloud-Architektur betrachten und bewerten.
- schrittweise eine Cloud-Strategie im Umfeld der großen Anbieter umsetzen sowie ein angepasstes Berechtigungskonzept für die Cloud entwickeln und erproben.
Ein erstes Regelwerk für die Versuchs- und Erkundungsphase beinhaltet im Idealfall Freiheit und Beschränkung zugleich. So könnte man beispielsweise:
- die Optionen für das Freischalten von Systemen und Services weitgehend unreglementiert lassen, um der Neugierde und Findigkeit der Mitarbeiter keine unnötige Grenze zu setzen. Lediglich eine finanzielle Obergrenze wäre hier der Kontrollfaktor zur Kosteneinsparung.
- eine regionale Einschränkung für den Anfang festschreiben, beispielsweise Cloud-Umgebungen in definiertem nationalen und internationalen Rahmen. Damit wäre das abschließende „Aufräumen“ vor dem Ernstfall übersichtlich und bestimmte Sicherheitsstandards gewährleistet.
noventum consulting GmbH
Münsterstraße 111
48155 Münster