
Michael Wachter
Principal Consultant, Director
Damit Public Cloud nachhaltig und kontrolliert im Enterprise-Umfeld eingesetzt werden kann, braucht es eine effiziente und massgeschneiderte Cloud Governance.
Autor: Michael Wachter
Viele Unternehmen erkennen, dass sich bestehende IT Governance Vorgehen nicht an die dynamischere Situation einer Public Cloud anpassen lassen und stellen sich daher die Frage: «Wie adressieren wir die Governance Ansprüche für Public Cloud innerhalb unseres Unternehmens?»
Wenn auch Sie sich diese Frage stellen, bietet Ihnen dieser Blog einen Einstieg zur Cloud Governance für Azure.
Governance ist eine Lenkungsform und bezeichnet allgemein das Steuerungs- und Regelungssystem im Sinn von Strukturen (Aufbau- und Ablauforganisation) einer politisch-gesellschaftlichen Einheit wie Staat, Verwaltung, Gemeinde, private oder öffentliche Organisation. [Quelle: Wikipedia]
Bei Cloud Governance liegt der Fokus auf der Lenkung der Nutzung einer (Public) Cloud.
In einem Data Center oder einer Private Cloud können hauptsächlich die beiden Services Compute und Storage bezogen werden. Weitere Services, wie Netzwerk, Backup, IAM usw. sind durch das Data Center bzw. die Private Cloud vorgegeben.
Bei einer Public Cloud hingegen können über Compute und Storage hinaus viele weitere Services bezogen werden. Dazu gehören auch Services, die in der Private Cloud zentral vorgegeben sind. Daher muss die gesamte Nutzung der Public Cloud geregelt werden: was darf wann, wie und wo eingesetzt werden?
Cloud Governance lässt sich grundsätzlich in folgende Themen-Blöcke aufteilen:
betrachtet Themen, wie z.B. Budgetüberschreitung, Unterauslastung, überdimensionierte Ressourcen und Einflüsse von Architektur-Entscheidungen auf die Kostenentwicklung.
behandelt unter anderem die Themen Datenverschlüsselung, Netzwerkisolierung, Absicherung des externen und intern Zugriffs, DDoS-Schutz, Überwachung des Netzwerks und Sicherheitsprüfung.
kümmert sich um Fragen im Bereich unberechtigter Zugriff, Verwendung derselben Identität über mehrere Clouds/Datacenters, die optimale Authentifizierungsmethoden und Identitätsprüfung.
betrifft die Handhabung von Kennzeichnungen, Abonnementen, Betriebssystemen, Monitoring und Notfallsituationen.
um Transparenz für die Behebung von Problemen zu schaffen und die Sicherheit der Konfiguration zu prüfen.
Cloud Governance schafft damit die Grundlage für einen iterativen Prozess zum Definieren von Leitplanken für die Nutzung einer Public Cloud.
Enterprise Scale ist ein Framework von Microsoft für das Setup der Cloud Governance zur Verwaltung des Zustandes einer Azure Umgebung. Es lässt sich sehr gut mit der Planung einer Grossstadt vergleichen:
Das Framework beruht auf Best-Practices und Erfahrungen von Microsoft mit (Azure) Kunden. Es ist modular aufgebaut, bietet einen sehr guten Einstieg in die Cloud Governance und skaliert mit den Bedürfnissen.
Eine Landing Zone ist eine Subscription, die für die Umsetzung eines Workloads bereitgestellt wird. Für kleinere Azure Environments kann eine Landing Zone auch eine Resource Group sein (siehe unten). Ein Workload kann unterschiedlich definiert werden:
Das Framework selbst basiert auf den Prinzipien:
Demokratisierung von Abonnementen (Subscriptions)
Richtlinienbasierte Governance
Eine einzige Steuerungs- und Verwaltungsebene
Anwendungszentrisch und archetypneutral
Ausrichtung an nativen Azure Entwürfen und Roadmaps
Diese Prinzipien werden bei der Diskussion über verschiedene Themenbereiche, wie IAM und Netzwerk, hinweg berücksichtigt. Im Rahmen dieser Diskussion entsteht ein initiales Set von Regeln, das iterativ erweitert werden kann. Z.B. könnte initial die Cloud-Nutzung auf zwei Regionen eingeschränkt werden. Mit dem Wachstum des Unternehmens ins Ausland könnten (bei Bedarf) zusätzliche Regionen aufgenommen werden.
Darüber hinaus entsteht während der Diskussion ein besseres Bild, wie man beabsichtigt, die Workloads zu gruppieren. Für diese Gruppierung fokussiert sich das Framework primär auf den Tenant, die Hierarchie der Management Groups und die Subscriptions. Bei Bedarf können Resource Groups ebenfalls miteinbezogen werden.
Das Framework kann daher sowohl für grosse Azure Environments mit vielen Subscriptions, als auch für kleine Azure Environments mit wenigen, oder im Extremfall sogar nur einer Subscription, eingesetzt werden.
Die Cloud Governance wird mittels dieser Gruppierung auf- und durchgesetzt. Z.B. könnte ein Kubernetes oder OpenShift Cluster in einer Landing Zone als zentraler Service aufgebaut und gleichzeitig der Aufbau eines Kubernetes oder OpenShift in einer anderen Landing Zone blockiert werden. Auf diese Art kann:
Enterprise Scale bietet einen sehr guten Einstieg in die Cloud Governance für Azure. Einerseits werden die einzelnen Themen intensiv mit Überlegungen und Empfehlungen durchleuchtet, andererseits ist es modular und kann auf Ihre Bedürfnisse zugeschnitten werden. Damit bietet Enterprise Scale eine hervorragende Basis für die Diskussion innerhalb Ihres Unternehmens.
Wir haben sehr gute Erfahrungen mit dem Framework und dessen Durchführung gemacht. Es gibt aber noch offene Fragen (z.B. die Handhabung mehrerer Azure AD Tenants, MCA statt EA) zu denen das Framework keine eindeutige Antwort liefert. Das Framework kann in diesen Fällen immer noch als Vergleich helfen. Wichtig ist, dass diejenigen Personen an der Diskussion beteiligt werden, die später die Aufgaben in den Bereichen Betrieb, Netzwerk und Sicherheit übernehmen.
Ich freue mich auf Ihre Kontaktaufnahme