Cloud-Services schützen

Die Resource-Manager-Richtlinien in Azure legen auf Subscription- oder Ressourcengruppen-Ebene fest, welche Systeme dort erlaubt sind, beispielsweise nur virtuelle Maschinen der Größen A und F. Damit bestimmen Cloud-Anwender, in welchen Regionen welche Maschinenklassen oder Storage-Typen möglich sind.

Mit Resource Locks im Azure Resource Manager schützen Unternehmen ihre Cloud-Leistungen. Sie legen darin fest, wer das System, das Netzwerk oder den gebuchten Dienst löschen darf. Wenn der Verantwortliche den Wert einer Ressource auf „cannot delete“ stellt, dann ist niemand außer dem Ersteller berechtigt, die Ressource zu löschen. Um einen solchen Resource Lock aufzuheben, ist ebenfalls eine Befugnis nötig. Diese liegt standardmäßig beim Besitzer des IT-Ser­vices. Über die Rolle des User-Access-Administrators könnte zum Beispiel auch die IT-Leitung Systeme freigeben und sperren.

Ressourcen kann man auch auf „read only“ setzen. Dadurch lassen sich keine Änderungen mehr daran vornehmen. Gleichzeitig akzeptiert die Webschnittstelle dann für dieses System nur Get-Anfragen. Dabei ist jedoch zu beachten, dass einige Aktivitäten bei der Verwaltung von Cloud-Services voraussetzen, dass die Ressource auch andere Abfragen als nur Get-Abfragen akzeptiert.

Durch Automatisierung lässt sich die Cloud-Governance auditieren. Die PowerShell-Funktion kann zum Beispiel alle Namen ausgeben, die man gegen die zuvor festgelegte Namenskonvention laufen lässt.

Eine Firma kann auch in einem Template vorgeben, welche Namensmuster für die Ressourcen gelten. Über Templates lässt sich zudem definieren, wie eine virtuelle Maschine zu erzeugen ist und welche IT-Services in welchen Regionen angelegt werden dürfen.

Noch stärker automatisieren Unternehmen die Cloud-Nutzung, wenn sie die Administration ihrer Cloud-Leistungen in das IT-Service-Management integrieren. Eine Ressource oder eine sie betreffende Änderung beantragen Nutzer dann über ein Service-Management-Tool wie Service Now oder Microsoft Service Manager. Das Tool verarbeitet dann die jeweiligen Anfragen der Nutzer mit richtlinienkonformen Skripts oder Templates.

Diese Vorarbeit für eine Cloud-Struktur ist aufwendig. Will man Chaos in der virtuellen Welt verhindern, ist sie aber unabdingbar. Ein Governance-Konzept selbst zu erstellen, überfordert jedoch schnell die firmeneigene IT-Abteilung. Externe Dienstleister bieten dafür Workshops, helfen, ein Regelwerk festzuschreiben, und unterstützen bei der Einführung von Templates und Automatisierungsskripts.