Cloud-Computing kostet Geld und sollte mit System beginnen

Einstieg und wachsende Nutzung von Cloud-Services planvoll angehen

// Cloud Computing, IT-Technologie Beratung

Die Nutzung von Cloud-Dienstleistungen ist für die meisten Unternehmen anfänglich oft ein Experiment in Einzelschritten. Verschiedene Mitarbeiter erkunden auf der Basis einzelner Accounts bei einem der großen Cloud Anbieter die Möglichkeiten und machen sich ein Bild davon, was für ihr Unternehmen oder ihre Abteilung von Interesse sein könnte. Schon diese ersten Erkundungen sind zumeist kostenpflichtig. Um im Blick zu haben, wohin die Reise finanziell geht, muss schon dieses erste Optionen-Testen planvoll angegangen werden. Für eine spätere breite Cloudnutzung ist ein solcher Plan zwingend. Große Anbieter wie AWS oder Azure haben für neue Kunden die ersten Schritte zumeist systematisch vorgedacht. Mit einem Trusted Advisor, wie er z.B. bei AWS zu finden ist, sind die ersten Schritte schnell und sicher getan.

Ein abgestuftes Berechtigungs-Modell vermindert die ökonomischen Risiken der Cloud-Testphase

Startpunkt für ein Unternehmen in der Erkundungsphase ist bei den meisten Anbietern ein Basis- oder Root-Account, der auf alles Rechte hat. Dieser Account wird besonders abgesichert – z.B. zusätzlich zur Passwortsicherung mit einem RSA-Token. Das ist notwendig, findet doch hier die Abbuchung per Kreditkarte statt.

In einer nächsten Stufe wird sodann ein führendes Administrations-Konto erstellt. Dieses hat alle Berechtigungen, jedoch keinen Zugriff mehr auf die Kreditkartendaten als wirtschaftlichem Bindeglied zwischen Kunde und Anbieter. Auch dieses Konto wird intensiv abgesichert.

Erst an dieser Stelle kommen nun die User-Konten für verschiedene Mitarbeiter ins Spiel. Bei einer größeren Gruppe von Menschen mit jeweils eigenem Zugang steigt das Risiko, unkontrolliert und unbeabsichtigt Kosten zu erzeugen. Ein unbeschränkter administrativer Vollzugriff kann bei größeren User-Gruppen sinnvoller Weise nicht generell an alle vergeben werden. Durch die Einrichtung von Billing Alerts können ungewünschte Nutzungsspitzen frühzeitig bemerkt und gemeldet werden. Ein vorab abgestuftes Nutzungskonzept und die entsprechende Rechtevergabe an einzelne User geben aber mehr Sicherheit.

Vernünftig klingt zunächst einmal die Idee, die „Cloud-Pfadfinder“ im Unternehmen nicht mit Administratorenrechten auszustatten. Stattdessen können sie mit weitgehend rechtelosen Accounts auf die Erkundungsreise geschickt werden. Bei Bedarf bekämen sie dann weitere Berechtigungen. Praktisch ist das aber fast undurchführbar, da die großen Cloudanbieter die Vergabe von Berechtigungen sehr kleinteilig angelegt haben. Alleine für den Bereich „Virtuelle Maschinen“ gibt es bei AWS über 230 verschiedene Unterberechtigungen, die vergeben werden können. Durch eine solche außerordentlich dichte Anlage von Vergabe-policies und deren Verknüpfung wird schon das Testen von Cloud-Optionen zu einer Wissenschaft für sich, die schnelle Erkenntnisse eher verhindert.

Hintergrund dieser komplexen Vergabestrukturen ist, dass die großen Cloudanbieter mit ihrem Angebot auch die Bedürfnisse großer Unternehmen befriedigen müssen. Diese haben oft viele hundert Nutzer und Administratoren. Und das bedeutet über die kleinteilige Arbeitsteilung eine entsprechende Rechtevergabe in Cloud-Systemen. Für große Usecases angemessen, ist das für kleinere Teams oft recht kompliziert und unflexibel.

Gleichzeitig ist es aber auch ein großer Schutz. Tausende von Optionen und Services in einem weltweiten Cloud-Rechner-Netz bergen aus Sicht der Datensicherheit und der Kosten zu viele Chancen für Verschwendung oder Unsicherheit.

Beim Aufbau eines Berechtigungskonzeptes Strategie und Umsetzung im Blick behalten

Dokumentationen, Erfahrungsberichte, Blogdiskussionen und auch die Einführungen der großen Anbieter selber bilden zusammengenommen das große Reservoir an Informationen für den Weg in die Cloud. Für Anfänger ist dieses oft zu umfangreich.

Einen guten Leitfaden für die eigenen ersten Schritte in die Cloud sucht man oft vergebens. Erfahrene IT-Architekten und Cloud-Experten können diese ersten Schritte absichern und begleiten:

  • Durch das Betrachten und Bewerten bestehender Infrastrukturen und ihrer planerische Abbildung in einer Cloud-Architektur.
  • Durch die schrittweise Umsetzung einer Cloud-Strategie im Umfeld der großen Anbieter sowie durch Entwicklung und Erprobung eines angepassten Berechtigungskonzeptes für die Cloud.

Ein erstes Regelwerk für die Versuchs- und Erkundungsphase beinhaltet idealiter Freiheit und Beschränkung zugleich. So könnte man beispielsweise:

  • Die Optionen für das Freischalten von Systemen und Services weitgehend unreglementiert lassen, um der Neugierde und Findigkeit der Mitarbeiter keine unnötige Grenze zu setzen. Lediglich eine finanzielle Obergrenze wäre hier der Kontrollfaktor.
  • Eine regionale Einschränkung für den Anfang festschreiben, beispielsweise Cloud-Umgebungen in definiertem nationalen und internationalen Rahmen. Damit wäre das abschließende „Aufräumen“ vor dem Ernstfall übersichtlich und bestimmte Sicherheitsstandards gewährleistet.

 

noventum consulting

Rainer Pielnik

SENIOR CONSULTANT

Zurück