Über unsMediaKontaktImpressum
Jens Bertenbreiter 10. November 2020

Selbstbedienung bei Cloud-Diensten? Kein Problem!

Formular ausfüllen, unterschreiben lassen, weiterleiten, warten… IT-Ressourcen zu beantragen ist vielfach ein manueller, bürokratischer und langwieriger Prozess. Um nicht Tage oder gar Wochen auf die gewünschten Mittel warten zu müssen, beschaffen sich Abteilungen deshalb oft auf eigene Faust Cloud-Services. Damit leisten sie einer Schatten-IT und einem Cloud-Chaos Vorschub und die IT-Abteilung muss dann irgendwann wieder aufräumen. Dabei gibt es eine Lösung, mit der Abteilungen schnell an die gewünschten Ressourcen kommen und gleichzeitig der Aufwand für die IT reduziert wird.

Entwicklungs- und Fachabteilungen auf der einen Seite und die IT-Abteilung auf der anderen Seite sehen sich mit unterschiedlichen, teilweise gegensätzlichen Ansprüchen konfrontiert. Die IT-Abteilung ist gefordert, eine Vielzahl von komplexen Systemen in einem noch komplexeren Gesamtsystem im Überblick zu behalten, zu warten und zu betreuen. Die Anwender und Fachbereiche ihrerseits wollen vor allem effizient arbeiten können. Das heißt, sie erwarten, dass Hilfe und Support, aber vor allem auch die nötigen IT-Ressourcen lieber jetzt als gleich zur Verfügung stehen.

Dies führt oft zu Konflikten. IT-Abteilungen werden als zu langsam wahrgenommen. Wieso sollte, was im privaten Umfeld so schnell und einfach geht, nicht auch im Unternehmen funktionieren? Dabei gerät meist in Vergessenheit, dass in Unternehmen gewisse Auflagen wie Security-Bestimmungen genauso eingehalten werden müssen wie bestimmte IT-Service-Prozesse.

Darüber hinaus besteht in vielen IT-Abteilungen trotz gestiegener Ansprüchen ein erhöhter Kostendruck. Dies führt zu Personal- beziehungsweise Kapazitätsengpässen, was die schwierige Situation noch weiter verschärft. Neue Projekte bleiben unter diesen Umständen auf der Strecke oder werden auf der Timeline hinausgeschoben, weil ungeplante Vorkommnisse dazwischengeraten und auch die täglichen Aufgaben noch erfüllt sein wollen.

Doch den Fachabteilungen reicht es nicht, dass die bestehenden Systeme gut betreut werden. Sie fordern und brauchen zeitnah Innovationen und neue Technologien, um den permanent wechselnden Bedürfnissen in ihrem Umfeld gerecht zu werden.

IT-Services automatisiert zur Verfügung stellen

Dort beginnt das Problem von Schatten-IT und Cloud-Chaos. Denn die Fachbereiche verfügen heute bereits über viele Freiheiten im Umgang mit den Systemen und eigene umfangreiche IT-Kenntnisse. Dies ermöglicht es ihnen, schnell und einfach selbst Cloud-Dienste einzukaufen – gänzlich ohne Absprache mit der IT-Abteilung. Die IT wird erst später hinzugezogen, wenn es um die Integration der Dienste und um Schnittstellen geht. Dann soll sie "mal schnell" die produktiven Daten reinladen, am besten bis "gestern". Doch diese Schatten-IT einzufangen, ist eine Mammutaufgabe.

Um dieses Problem ganzheitlich anzugehen, müssen die Bedürfnisse und Anforderungen sowohl der IT-Abteilung als auch der Fachbereiche berücksichtigt werden. Dies gelingt dann, wenn IT-Services bedarfsgerecht und möglichst automatisiert zur Verfügung gestellt werden können. Auf diese Weise entsteht eine Win-win-Situation, sprich geringerer Aufwand bei der IT und schneller verfügbare Ressourcen für die Fachbereiche. Dabei gilt es aber zwingend, die erwähnten Compliance- und Sicherheits-Richtlinien einzuhalten. Außerdem braucht es ein verbindliches Regelwerk für die Nutzung und die Verantwortlichkeiten im Umgang mit den Services.

Die Basis für eine Lösung, die das alles in sich vereint, bilden die flexiblen Cloud-Dienste. Mit ihnen lassen sich Geschwindigkeit und Flexibilität auf der einen Seite und zentrale Vorgaben und Richtlinien auf der anderen Seite perfekt kombinieren. So können sie innerhalb weniger Minuten automatisiert und konfiguriert bereitgestellt und ebenso schnell auch wieder abgeräumt werden. Gleichzeitig bringen die großen Cloud-Dienste zahlreiche IT-Services sowie jede Menge Features für Security und Governance mit.

Mit Landing Zone und Regeln die richtigen Voraussetzungen schaffen

Wie dies in der Praxis umgesetzt wird, kann anhand des Beispiels eines großen Verlagshauses aufgezeigt werden. Dieses hatte sich zum Ziel gesetzt, seinen Produktentwicklern eine Self-Service-Lösung zur Verfügung zu stellen, die es ihnen ermöglicht, mit wenig Aufwand Ressourcen aus der Cloud zu beziehen. Zugleich sollte gewährleistet werden, dass sie dabei keine Compliance-, Datenschutz- oder Datensicherheitsvorgaben verletzen.

Zur sicheren Nutzung der Cloud im Unternehmen wurde zunächst eine Azure Landing Zone implementiert (s. Abb. 1). Diese schaffte die nötigen Voraussetzungen für eine standardisierte Nutzung von Azure-Diensten. Sie beinhaltet sämtliche zentralen Dienste für die Verwaltung der einzelnen Subscriptions wie beispielsweise Identity- & Access-Management, Connectivity, Policies und so weiter. Der Aufbau der Landing Zone erfolgte nach dem Best-Practice-Vorgehen unter Berücksichtigung der spezifischen Anforderungen. Dabei kam die Trivadis Azure Foundation (s. Abb. 2), ein Best Practices Framework für die Azure-Implementierung zum Einsatz. Mit Hilfe eines solchen Frameworks wird eine standardisierte Vorgehensweise eingehalten und sichergestellt, dass alle wichtigen Punkte berücksichtigt werden.

Parallel zum technischen Aufbau der Landing Zone wurden auch Regeln und Leitlinien für die Nutzung der Self-Service-Subscriptions verfasst. Dieses Regelwerk ist bindend für die Nutzung der Services. Also gewissermaßen die hausinternen AGBs.

Aus dem Self-Service-Ansatz und den von der IT aufgestellten Leitlinien ergab sich somit ein Shared-Services-Modell (s. Abb. 3). Das heißt, gewisse Leistungen werden von Azure verantwortet, einige Leistungen werden von der zentralen IT verantwortet und für einige Leistungen sind die Fachbereiche beziehungsweise Projekte selbst verantwortlich.

Grundsätzlich gilt: Da die Verantwortung der Leistungen und die Einhaltung der Richtlinien nicht nur für eine bessere Wartbarkeit gedacht ist, sondern auch Security- und Datenschutzgründe hat, sollte deren Einhaltung prinzipiell überwacht werden. Wie genau diese Überwachung aussieht und wie weit dies mit Policies gemonitored oder bei kritischen Punkten sogar erzwungen wird, ist letztlich eine Frage der Anforderungen.

Prozess in sieben Schritten

Im Anschluss an das Einrichten der Landing Zone und das Definieren der Richtlinien ging es an die Umsetzung des Self-Service-Prozesses (Abb. 4). Dank der Möglichkeit von Infrastructure as Code (IaC) in Azure sowie der zahlreichen APIs kann der komplette Prozess automatisiert werden. Mittels IaC Templates lassen sich Änderungen trotzdem schnell und flexibel umzusetzen. Der Prozess kann abhängig von den genauen Anforderungen etwas abweichen, gestaltet sich aber im Kern wie folgt:

  1. Benutzer bestellt den Service über ein Formular beim Service Desk Portal.
  2. Das Service Desk Portal triggert eine Funktion.
  3. Die Funktion erstellt notwendige Gruppen und technische User im Azure Active Directory. Informationen wie Namen werden aus dem Bestellformular entnommen.
  4. Die Funktion erstellt im Enterprise Agreement eine neue Subscription und die zuvor angelegten Gruppen und technischen User werden der Subscription zugewiesen. Namen und Details werden dabei aus dem Formular entnommen.
  5. Die Subscription wird von der Funktion in die korrekte Management Group innerhalb des Azure Tenant verschoben.
  6. Die Funktion provisioniert definierte Basis Azure Services auf der Subscription.
  7. Am Ende gibt die Funktion dem Benutzer die Rückmeldung mit allen Informationen zur bereitgestellten Subscription.

Die Provisionierung der Azure Services, die per default auf den Subscriptions ausgerollt werden, erfolgen mittels Azure Blueprints.

Die IT agiert, statt nur zu reagieren

Dank Automatisierung und Self Service können IT-Abteilungen die von den Fachabteilungen geforderte Geschwindigkeit und Flexibilität bei der Bereitstellung von Diensten bieten, ohne dabei die Kontrolle zu verlieren oder Sicherheitslücken in der Unternehmens-IT aufzureißen. Bei zuvor genanntem Verlagshaus führte dies dazu, dass den Projekt- und Produktteams dank automatisierter Prozesse binnen Minuten die standardisierten Azure-Dienste für die Entwicklung und den Betrieb ihrer Kundenlösungen bereitgestellt werden konnten. Dies brachte nicht nur für sie, sondern auch die IT-Abteilung und das Unternehmen als Ganzes Vorteile. So verringerte sich einerseits der administrative Aufwand für das Cloud-Admin-Team extrem, andererseits reduzierten sich die Leerlaufzeiten für die Entwickler und die gesamte Time-to-Market wurde beschleunigt.

Die Arbeit der IT besteht damit nicht mehr aus dem Bereitstellen von individuellen Diensten in aufwändiger Handarbeit innerhalb umständlicher, e-mail-basierter Prozesse. Die IT definiert die Regeln und Rahmenbedingungen für die Nutzung der Dienste und monitort deren Einhaltung. Das bedeutet, mit dieser Lösung behält die IT nicht nur den Überblick über ihren Hoheitsbereich, sondern sie legt auch die Regeln fest und gibt die Richtung vor, in die es gehen soll. Hat die IT bisher eher auf die Anforderungen der Fachabteilungen reagiert, werden nun die Dienste proaktiv angeboten und die IT positioniert sich in einer agierenden Rolle. D. h. die IT wird nicht mehr durch den Betrieb von Infrastruktur blockiert und von den Fachabteilungen mit Anforderungen "bombardiert". Dank dieser Lösung kann die IT sich auf die Modernisierung von Lösungen und das Bereitstellen weiterer moderner Dienste konzentrieren.

Oder anders gesagt: Die IT wird nicht mehr getrieben, sondern wird selbst zur treibenden Kraft und Enabler für Veränderungen und Innovationen im Unternehmen.

Autor

Jens Bertenbreiter

Jens Bertenbreiter ist seit über 20 Jahren als Berater für Microsoft-Technologien tätig. Er hat Firmen und öffentliche Einrichtungen bei der Umsetzung von Lösungen auf Basis von Microsoft-Technologien unterstützt.
>> Weiterlesen
Das könnte Sie auch interessieren
Kommentare (0)

Neuen Kommentar schreiben