Cloud Governance für Azure mit Enterprise Scale

Damit Public Cloud nachhaltig und kontrolliert im Enterprise-Umfeld eingesetzt werden kann, braucht es eine effiziente und massgeschneiderte Cloud Governance.

Autor: Michael Wachter

Viele Unternehmen erkennen, dass sich bestehende IT Governance Vorgehen nicht an die dynamischere Situation einer Public Cloud anpassen lassen und stellen sich daher die Frage: «Wie adressieren wir die Governance Ansprüche für Public Cloud innerhalb unseres Unternehmens?»


Wenn auch Sie sich diese Frage stellen, bietet Ihnen dieser Blog einen Einstieg zur Cloud Governance für Azure.

Was ist Cloud Governance?

Governance ist eine Lenkungsform und bezeichnet allgemein das Steuerungs- und Regelungssystem im Sinn von Strukturen (Aufbau- und Ablauforganisation) einer politisch-gesellschaftlichen Einheit wie Staat, Verwaltung, Gemeinde, private oder öffentliche Organisation. [Quelle: Wikipedia]

Bei Cloud Governance liegt der Fokus auf der Lenkung der Nutzung einer (Public) Cloud.

Warum Cloud Governance?

In einem Data Center oder einer Private Cloud können hauptsächlich die beiden Services Compute und Storage bezogen werden. Weitere Services, wie Netzwerk, Backup, IAM usw. sind durch das Data Center bzw. die Private Cloud vorgegeben.

Bei einer Public Cloud hingegen können über Compute und Storage hinaus viele weitere Services bezogen werden. Dazu gehören auch Services, die in der Private Cloud zentral vorgegeben sind. Daher muss die gesamte Nutzung der Public Cloud geregelt werden: was darf wann, wie und wo eingesetzt werden?

Cloud Governance lässt sich grundsätzlich in folgende Themen-Blöcke aufteilen:

  • Kostenverwaltung

    betrachtet Themen, wie z.B. Budgetüberschreitung, Unterauslastung, überdimensionierte Ressourcen und Einflüsse von Architektur-Entscheidungen auf die Kostenentwicklung.

  • Grundsicherheit

    behandelt unter anderem die Themen Datenverschlüsselung, Netzwerkisolierung, Absicherung des externen und intern Zugriffs, DDoS-Schutz, Überwachung des Netzwerks und Sicherheitsprüfung.

  • Handhabung der Identitäten

    kümmert sich um Fragen im Bereich unberechtigter Zugriff, Verwendung derselben Identität über mehrere Clouds/Datacenters, die optimale Authentifizierungsmethoden und Identitätsprüfung.

  • Ressourcenkonsistenz

    betrifft die Handhabung von Kennzeichnungen, Abonnementen, Betriebssystemen, Monitoring und Notfallsituationen.

  • Beschleunigung der Bereitstellung,

    um Transparenz für die Behebung von Problemen zu schaffen und die Sicherheit der Konfiguration zu prüfen.

Cloud Governance schafft damit die Grundlage für einen iterativen Prozess zum Definieren von Leitplanken für die Nutzung einer Public Cloud.

Enterprise Scale hilft bei Cloud Governance für Azure 

Enterprise Scale ist ein Framework von Microsoft für das Setup der Cloud Governance zur Verwaltung des Zustandes einer Azure Umgebung. Es lässt sich sehr gut mit der Planung einer Grossstadt vergleichen:

Vergleich Stadtplanung und Enterprise Scale_MWA 2.png
Tabelle 1: Vergleich Stadtplanung und Enterprise Scale

Das Framework beruht auf Best-Practices und Erfahrungen von Microsoft mit (Azure) Kunden. Es ist modular aufgebaut, bietet einen sehr guten Einstieg in die Cloud Governance und skaliert mit den Bedürfnissen.

Eine Landing Zone ist eine Subscription, die für die Umsetzung eines Workloads bereitgestellt wird. Für kleinere Azure Environments kann eine Landing Zone auch eine Resource Group sein (siehe unten). Ein Workload kann unterschiedlich definiert werden:

  • Eine Umgebung (z.B. Prod) pro Applikation
  • Ene Umgebung (z.B. Prod) für das gesamte Unternehmen
  • Der Azure Fussabdruck einer Abteilung, z.B. HR
  • Eine Mischung der oben genannten und weiterer Kriterien.

Das Framework selbst basiert auf den Prinzipien:

  1. Demokratisierung von Abonnementen (Subscriptions)

  2. Richtlinienbasierte Governance

  3. Eine einzige Steuerungs- und Verwaltungsebene

  4. Anwendungszentrisch und archetypneutral

  5. Ausrichtung an nativen Azure Entwürfen und Roadmaps

Diese Prinzipien werden bei der Diskussion über verschiedene Themenbereiche, wie IAM und Netzwerk, hinweg berücksichtigt. Im Rahmen dieser Diskussion entsteht ein initiales Set von Regeln, das iterativ erweitert werden kann. Z.B. könnte initial die Cloud-Nutzung auf zwei Regionen eingeschränkt werden. Mit dem Wachstum des Unternehmens ins Ausland könnten (bei Bedarf) zusätzliche Regionen aufgenommen werden.

Darüber hinaus entsteht während der Diskussion ein besseres Bild, wie man beabsichtigt, die Workloads zu gruppieren. Für diese Gruppierung fokussiert sich das Framework primär auf den Tenant, die Hierarchie der Management Groups und die Subscriptions. Bei Bedarf können Resource Groups ebenfalls miteinbezogen werden.

LinkedIn Artikel _744px x 400 px (1).png
Abbildung 1: Hierarchie-Ebenen von Azure

Das Framework kann daher sowohl für grosse Azure Environments mit vielen Subscriptions, als auch für kleine Azure Environments mit wenigen, oder im Extremfall sogar nur einer Subscription, eingesetzt werden.

Die Cloud Governance wird mittels dieser Gruppierung auf- und durchgesetzt. Z.B. könnte ein Kubernetes oder OpenShift Cluster in einer Landing Zone als zentraler Service aufgebaut und gleichzeitig der Aufbau eines Kubernetes oder OpenShift in einer anderen Landing Zone blockiert werden. Auf diese Art kann:

  • Autonomie für Innovation und Transformation geschaffen,
  • Security und Compliance By-Default umgesetzt und
  • Governance At-Scale durch nachhaltiges Cloud Engineering erreicht werden.

Fazit

Enterprise Scale bietet einen sehr guten Einstieg in die Cloud Governance für Azure. Einerseits werden die einzelnen Themen intensiv mit Überlegungen und Empfehlungen durchleuchtet, andererseits ist es modular und kann auf Ihre Bedürfnisse zugeschnitten werden. Damit bietet Enterprise Scale eine hervorragende Basis für die Diskussion innerhalb Ihres Unternehmens.

Wir haben sehr gute Erfahrungen mit dem Framework und dessen Durchführung gemacht. Es gibt aber noch offene Fragen (z.B. die Handhabung mehrerer Azure AD Tenants, MCA statt EA) zu denen das Framework keine eindeutige Antwort liefert. Das Framework kann in diesen Fällen immer noch als Vergleich helfen. Wichtig ist, dass diejenigen Personen an der Diskussion beteiligt werden, die später die Aufgaben in den Bereichen Betrieb, Netzwerk und Sicherheit übernehmen.

Ihr ipt-Experte

Ich freue mich auf Ihre Kontaktaufnahme