Vor zwei Wochen bin ich in meiner Kolumne auf die Herausforderung Cloud Governance eingegangen. Das Feedback darauf war groß – hier daher nun ein Blick auf konkrete Elemente, die Cloud Governance braucht.
Das Ziel der Cloud Governance ist es, Cloud Computing und die Nutzung der Dienste nachvollziehbar und regelkonform umzusetzen. Dazu gehört die Sicherheit ebenso wie die Einhaltung von gesetzlichen Regelungen beispielsweise zum Datenschutz. Die wichtigsten Elemente der Cloud Governance sind dabei das Service Management, das Identity Management, das Policy Management und der Bereich Auditing, Attestierung und Analyse.
1. Service Management
Da es beim Cloud Computing um eine flexible Nutzung von externen Services aus der Cloud und einen ebenso flexiblen Wechsel zwischen internen Services und eben diesen externen Services geht, ist ein konsequentes Service Management zwingend. Das gilt sowohl für Infrastrukturdienste als auch für Anwendungsdienste und, im Bereich der Anwendungsentwicklung, für die eher granularen Web Services. Ein durchgängiger Ansatz für das Service Management über alle Ebenen hinweg ist zweifelsohne ein Schlüssel zum Erfolg von Cloud Computing-Konzepten.
Für Services müssen dabei auch die Nutzungsvoraussetzungen genau definiert werden. Es muss also die Frage beantwortet werden, unter welchen Voraussetzungen welche Services überhaupt aus der Cloud bezogen werden können. Aber auch die Migrationsanforderungen gehören mit zu dieser Betrachtung.
2. Identity Management
Das Management von Identitäten und die Zugriffskontrolle sind ein zweiter fundamentaler Baustein. Damit man in sicherer Weise Cloud Services nutzen kann, muss man die Benutzer und die Zugriffsregeln einheitlich steuern können. Das ist eng mit dem Policy Management verbunden. Regeln und Richtlinien müssen sich zentral definieren und auf Dienste anwenden lassen, unabhängig davon wo diese ausgeführt werden. Hier ist noch viel Arbeit zu leisten.
Immerhin unterstützen mehr und mehr Cloud-Anbieter zumindest Grundelemente der Identity Federation und können damit Identitäten der Cloud-Nutzer „wiederverwenden“. Schon bei der Steuerung von Zugriffsberechtigungen sieht es aber eher schlecht aus, weil diese typischerweise pro Cloud Service über dortige Schnittstellen vorgenommen werden kann. Standard für Policies sind hier absolut unverzichtbar.
Gleiches gilt auch für die Analyse dessen, was in der Cloud geschieht. Die Überwachung der Services, aber auch der Sicherheit, sind zwingende Anforderungen an die Cloud Governance. Auch hier fehlt es heute oft noch an den geeigneten Werkzeugen.
3. Organisation
Letztlich geht es aber nicht in erster Linie um die Tools, die ohnehin mit der wachsenden Bedeutung der Cloud in immer größerer Zahl und mit wachsender Reife verfügbar werden. Die größte Herausforderung liegt auf der organisatorischen Seite und darin, ein Modell der Cloud Governance zu entwerfen und zu implementieren – und das nicht nur über die internen Silos wie Service Management, IT-Sicherheit und Anwendungsentwicklung hinweg, sondern auch für die externe Welt.
Wer aber die Hausaufgaben in den Bereichen Service Management und IAM macht, ist schon einen großen Schritt weiter, wenn es darum geht, Cloud Computing als strategisches Gestaltungselement der IT umzusetzen.