Azure Governance - von null auf Azure

Einer der größten Vorteile der Nutzung von Azure besteht darin, dass wir uns über viele komplexe Themen, wie die Bereitstellung von Hardware, die Kühlung der Infrastruktur oder die Energieversorgung keine Gedanken mehr machen müssen. Azure erleichtert die Bereitstellung von Infrastruktur enorm. Wenn Sie etwas in Ihrer Infrastrukturumgebung ändern wollen, können Sie dies einfach tun, ohne vorher unzählige Vorkehrungen treffen zu müssen. Auf diese Weise können Sie bereits nach wenigen Minuten mit Ihrer Arbeit beginnen anstatt zunächst von umfangreichen Vorarbeiten aufgehalten zu werden. Diese neu gewonnene Handlungsschnelligkeit erlaubt es die früher umfangreiche Planungsphase fast gänzlich zu überspringen. Doch diese neue Einfachheit birgt auch einige Risiken.

Welche Risiken birgt der Einsatz von Azure? 

1. Budgetüberschreitungen 

Microsoft setzt bei Azure auf ein verbrauchsabhängiges Kostenmodell frei nach dem Motto „you pay what you use“. Für Kunden ohne große Vorerfahrung ist es aufgrund der Komplexität allerdings häufig nicht so einfach den endgültigen Preis bereits bei der Konstruktion von Lösungen abzuschätzen. Insbesondere, da die aktuellen Verbrauchszahlen erst mit einigen Tagen Verzögerung aktualisiert werden. Deshalb kommt es insbesondere bei unerfahrenen Anwendern häufig zu ungewollten Budgetüberschreitungen.

2. Unautorisierter Zugriff 

Viele on-premises Systeme sind vom Internet abgeschnitten und mit verschiedenen Backup-Lösungen geschützt. Viele Kunden sind hieran gewöhnt, nehmen ihre Erfahrungswerte mit in die Cloud und entwickeln dort neue Lösungen, während sie die alten on-premises Denkmuster weiter im Kopf haben. Hier liegt jedoch ein häufig begangener Fehler. Denn Cloud-Lösungen basieren schlicht auf einer grundsätzlich anderen Idee als die alten on-premises Lösungen. Sie basieren auf der Idee von überall aus auf die häufig backuplosen Systeme zugreifen zu können. Dies bedeutet nicht, dass Cloud-Lösungen weniger sicher sind, im Gegenteil, sie sind sogar in aller Regel sicherer als ihre on-premises Pendants. Jedoch bedeutet es, dass wir uns bei der Arbeit an den neuen Systemen an einen moderneren Ansatz gewöhnen müssen.

3. Verstöße gegen lokale Rechtsordnungen 

Es ist kein Geheimnis, dass Cloud-Rechenzentren über die gesamte Welt verteilt sind. Wenn der Kunde eine neue Lösung erstellt, kann er die Region, in der diese gehostet werden soll, selbst auswählen. Dies ist wichtig, denn die landesspezifischen Vorschriften zum Umgang mit personenbezogenen Daten oder anderweitig sensiblen Informationen unterscheiden sich zum Teil stark. Azure ist jedoch nicht in der Lage die Einhaltung nationaler Vorschriften selbstständig zu überwachen, diese Aufgabe muss als Teil der Azure Governance zwingendermaßen vom Kunden selbst übernommen werden.

4. Ressourcen Inkonsistenz 

Alle in Azure erstellten Lösungen müssen für die User verständlich sein und ihren eigenen Lebenszyklus haben. Dies ist der einzige Weg eine Umgebung einfach, vorhersehbar und händelbar zu halten. Ohne ein gut durchdachtes Konzept mündet jede Cloud-Umgebung sonst früher oder später in einem Wildwuchs von Anwendungen, deren aktuellen Status niemand mehr so genau kennt. Dies zu verhindern ist insbesondere vor dem Hintergrund des bereits angesprochenen verbrauchsabhängigen Kostenmodells von großer Bedeutung.

Wenn wir von Azure Governance sprechen, meinen wir die Rahmenbedingungen, die vorgeben, wie das Arbeiten mit Azure vor dem Hintergrund der Bedürfnisse und Verantwortlichkeiten auf Seite des Kunden aussehen sollte. Es empfiehlt sich diese Rahmenbedingungen bereits vor der Nutzung von Azure zu definieren, um innerhalb der Organisation ein solides Fundament für die Verwendung zu schaffen und die zuvor beschriebenen Risiken zu minimieren. Um Ihnen beim Definieren der richtigen Rahmenbedingungen zu helfen, haben wir im Folgenden einige grundlegende Vorgehensweisen und Überlegungen zum Thema Azure Governance für Sie zusammengestellt.

Ein effektives Azure Governance Konzept besteht aus mehreren Stufen:

1. Kostenmanagement 

Ihr Azure Abonnement umfasst verschiedene Tools, die Ihnen dabei helfen, laufende Kosten zu kalkulieren, Forecasts zu erstellen und sämtliche Kosten im Blick zu behalten. Es ist wichtig bereits früh eine sorgfältige Bewertung des notwendigen Ressourcenverbrauchs durchzuführen. Basierend auf dieser Bewertung können Sie in Azure nun ein Budget definieren, um Ihre Kosten effektiv zu limitieren. Mit Hilfe dieses zuvor festgelegten Budgets können Sie nun den Ressourcenverbrauch kontrollieren und zukünftige Kosten effektiv abschätzen. Das Budget kann um Logiken erweitert werden, die festlegen was geschehen soll, wenn etwaige Budgetlimits erreicht sind. Eine solche Logik könnte beispielsweise festlegen, dass Test-Ressourcen automatisch abgeschaltet werden, sobald 50% des Budgets erreicht sind oder dass ein Systemadministrator automatisch benachrichtigt wird, sobald die vom Forecasting-Tool errechneten Kosten das Budget übersteigen. Mir ist es an dieser Stelle wichtig zu verdeutlichen, dass Kostenmanagement nichts ist, das lediglich zu Beginn einmal definiert werden muss. Es ist ein laufender Prozess, der in jedem Fall alle vier bis sechs Monate überprüft und gegebenenfalls überarbeitet werden sollte.

2. Daten- und Zugriffsschutz 

Um einen effektiven Schutz vor unbefugtem Zugriff zu gewährleisten ist es wichtig die Möglichkeiten des RBAC-Systems (Role Based Access Control) auszuschöpfen. Azure RBAC ist ein Autorisierungssystem, das ein individuell und präzise definiertes Zugriffsmanagement ermöglicht. In Kombination mit Azures Auditing- und Security Features können ausgewählte Nutzer auf diese Weise vollumfängliche Zugriffsrechte erhalten und sind gleichzeitiug vor externen Angriffen geschützt. Zusätzlich wird durch ein ausgeklügeltes Rechte- und Rollenkonzept sichergestellt, dass jeder Nutzer nur diejenigen Dinge in der Azure Umgebung tun kann, die er auch tun soll. Mehr noch, Azure bietet darüber hinaus die Möglichkeit Änderungen präzise nachzuverfolgen, um so immer die Frage „wer hat wann was getan“ beantworten zu können. An diesem Punkt sollte auch die Frage der Datensicherheit erörtert werden. Wie bereits dargestellt setzen viele Cloud Services auf einen backuplosen Ansatz. Sollte ein Kunde besondere Schutzanforderungen haben, müssen diese daher unbedingt im Rahmen der Azure Governance berücksichtigt werden. Zusätzliche Maßnahmen zum Datenschutz können sowohl mit in Azure eingebauten Services als auch unter der Zuhilfenahme von Third-Party on-premises Solutions realisiert werden.

3. Erstellung und Anwendung von Richtlinien 

Azure Policy ist ein hervorragendes Feature, um Standards und Richtlinien in die Cloud Services einer Organisation zu implementieren. Mit Hilfe einer Vielzahl vorgefertigter Templates können Anwender Prozesse im Hinblick auf die Übereinstimmung mit den von der Organisation definierten Anforderungen kontrollieren. Eine Überprüfung könnte beispielsweise wie folgt ablaufen: Werden alle Ressourcen in der europäischen Union gehostet? Gibt es Anwendungen und Prozesse, die keine Backups haben? Sind alle virtuellen Maschinen durch Antiviren Software geschützt?

Es ist also wichtig, zuerst einmal innerhalb der Organisation Anforderungen zu definieren, denen alle Lösungen und Services genügen müssen und diese danach in Form von Richtlinien in die Azure Umgebung zu implementieren. Azure Policy überprüft Ihre Anwendungen dann automatisch auf Inkonsistenzen mit den zuvor von Ihnen definierten Richtlinien.

Darüber hinaus kann Azure Policy sowohl im Observation Mode als auch im Enforcement Mode verwendet werden. Während Azure Policy Sie im Observation Mode darüber informiert, dass es in Ihrer Umgebung Anwendungen gibt, die gegen Ihre Richtlinien verstoßen, verhindert Azure Policy im Enforcement Mode bereits die Erstellung von Anwendungen, die nicht sämtlichen Richtlinien genügen.

4. Ressourcenkonsistenz 

Diese Phase bildet die logische Fortsetzung der vorausgegangenen Schritte. Es geht vor allem darum, Ihre Azure Umgebung einheitlich und konsistent zu halten. Dies umfasst beispielsweise Überlegungen zu Lebenszyklen von Anwendungen, Benennungs- und Speichergrundsätzen und die Entwicklung von Templates für alle möglichen Arten von Ressourcen. Auf diese Weise stellen Sie eine gewisse Konformität Ihrer Cloud-Ressourcen sicher, vereinfachen deren Bereitstellung und entledigen sich unnötiger Ressourcen. Auch hierbei unterstützt Azure Sie durch eine Reihe von Tools. So können Sie beispielsweise festlegen, dass alle Anwendungen Tags bezüglich der folgenden Werte enthalten müssen: Kosten, wie kritisch ist der Ausfall der Anwendung, Service Level Agreement, Umgebung. Basierend auf diesen Metadaten können Ihre IT-Fachkräfte dann Supportkapazitäten priorisieren.

Azure Governance ist ein großes, stetig an Bedeutung gewinnendes Thema. In diesem Artikel habe ich versucht Ihnen die wichtigsten Punkte darzulegen, die es zu bedenken gilt, wenn Sie den Einsatz von Azure in Ihrer Organisation planen. Es ist wichtig sich vor Augen zu führen, dass die „Spielregeln“ bereits entwickelt und implementiert werden sollten, bevor Azure vollständig einsatzbereit ist. Auf diese Weise minimieren Sie die verschiedenen Risiken, die mit der Verwendung von Azure einhergehen und können Ihre Azure Umgebung ohne Angst vor einem bösen Erwachen weiterentwickeln.