Über unsMediaKontaktImpressum
Wulf Schiemann 23. August 2022

Wie die Cloud Foundation die digitale Transformation revolutioniert

Fast alle Unternehmen haben die Cloud im Blick. Der Weg dorthin hält teure Fallen bereit. Die Cloud-Transformation ist eine technische, in gleichem Maße aber auch eine organisatorische und kulturelle, Herausforderung. Deshalb ist der Ansatz einer Cloud Foundation so erfolgversprechend: Er fordert eine technische Plattform und organisatorischen Wandel.

Die alte Welt der Rechenzentren

"Ich hatte das Gefühl, dass wir hier zum Bremsklotz und Flaschenhals werden" – so ähnlich hat es ein Enterprise-Architekt mir gegenüber einmal ausgedrückt. Es ging um die wachsende Nachfrage nach Cloud-Umgebungen aus dem Unternehmen an seine IT-Abteilung. Man darf davon ausgehen, dass die meisten IT-Abteilungen den Anspruch haben, kein Flaschenhals und Verhinderer zu sein. Sie wollen und sollen den Fachabteilungen IT-seitig das ermöglichen, was diese für ihre erfolgreiche Arbeit brauchen.

Genauso kann man davon ausgehen, dass die oben erwähnte Unternehmens-IT nicht als einzige vor genau diesem Problem steht: Es ist ein strukturelles Problem, auf das alle Organisationen stoßen, wenn sie sich weg von der traditionellen IT in die Cloud bewegen. Das tut die Mehrheit der Unternehmen. Cloud-First oder sogar Cloud-Only sind die Strategien, die verfolgt werden. Die wirtschaftlichen Gründe sind – zumindest auf dem Papier – klar: Hohe Skalierbarkeit und Abrechnung nach tatsächlicher Nutzung.

Auch technisch hat die Cloud enorme Vorteile: Einfacher Zugang zu den neuesten Technologien, schneller Aufbau von Infrastruktur und ein hoher Automatisierungsgrad. Soweit die Theorie. Ist der Wille da, diese Transformation real umzusetzen, trifft sie auf die Wirklichkeit von zentralisierter IT und Silostrukturen. Die hatten bis dahin auch ihren Sinn: Sie haben zentral im Rechenzentrum die Infrastruktur und die nötigen Systeme aufgebaut.

Die zentrale IT in Bedrängnis

Diese Struktur sieht sich dann mit der oben genannten Herausforderung konfrontiert: Es kommen immer mehr Anfragen nach Cloud-Umgebungen. Allein diese Tatsache wirft etliche Fragen auf: Wie werden die Sicherheits- und Compliance-Anforderungen umgesetzt (vorausgesetzt man will nicht kategorisch "Nein" sagen)? Wie läuft die Kostenkontrolle und Abrechnung? Wie behält man den Überblick über die vorhandenen Cloud-Accounts im Unternehmen?

Die IT fühlt sich als Bremsklotz und ist völlig überlastet.

Wenn diese ganzen Fragen in den vorhandenen Strukturen geklärt werden sollen, dann ist das ein Rezept für langsames, teures Chaos – selbst wenn alle nur die besten Absichten haben. Dazu kommt die Frustration auf beiden Seiten. Die IT fühlt sich als Bremsklotz und ist völlig überlastet. Die Fachabteilungen bekommen – wenn überhaupt – nur sehr langsam die Werkzeuge, die sie für innovative Entwicklung benötigen.

Kostenkontrolle in der Cloud

Ein zentrales Merkmal der Cloud ist das Kostenmodell: Es wird nach tatsächlichem Verbrauch abgerechnet. Gibt man aber Cloud-Umgebungen direkt an Entwicklerteams raus, gibt man auch die Kontrolle über die Nutzung aus der Hand. Und öffnet damit im schlimmsten Fall ein Fass ohne Boden. Die IT der Rechenzentren hingegen ist relativ statisch. Budgetplanung ist also eine vergleichsweise einfache Sache in der alten IT-Welt.

Der enormen Dynamik der Cloud sind diese Prozesse nicht gewachsen. Hier können Infrastrukturen in Minuten aufgebaut werden, für die man traditionell Tage und Wochen braucht. Deshalb ist das Kostenthema oft eines der ersten, die zum richtigen Problem werden [1].

Spill-over-Effekte

Viele Organisationen beginnen dann auftretende Probleme individuell zu lösen. Im Falle der Kostenkontrolle also, die Kosten sichtbar zu machen (Showback) und vielleicht sogar intern abzurechnen (Chargeback). Bei der Lösung für Einzelprobleme wird dann oft erkannt, welche übergreifenden Implikationen in andere funktionale Bereiche diese haben: Sicherheit und Compliance, was wiederum das Identitäts- und Zugriffsmanagement berührt. Das Management der Cloud-Umgebungen selbst – wie werden diese z. B. wieder deprovisioniert? Habe ich die Kosten im Blick, verhindere ich auch in Vergessenheit geratene VMs mit ungepatchten Images, was wiederum Einfluss auf die Security hat. Wenn ich bei Security bin sollte ich auch Berechtigungen und deren Lifecycle im Blick haben.

Die Erkenntnis kristallisiert sich, dass sich übergreifend und grundsätzlich überlegt werden muss, wie man sich technisch und organisatorisch aufstellt. Lässt diese Erkenntnis zu lange auf sich warten, fahren sich Unternehmen auf teuren Irrwegen fest. Die Mitarbeiter sind frustriert und für neues Talent ist eine solche Firma dann auch uninteressant.

Beispiel Landing Zone

Ein eindrucksvolles Beispiel dafür, dass man Lösungen für die Cloud-Transformation nur schlecht isoliert betrachten kann, sind Landing Zones. Der Begriff ist mehrfach besetzt – immer mit leicht anderen Bedeutungen. Was ich damit meine, sind Konfigurations-Vorlagen für Cloud-Umgebungen. Eine zwingende Voraussetzung, bevor Umgebungen an Entwickler gegeben werden können. Je nach Plattform werden diese unterschiedlich erstellt. Bei Microsoft Azure zum Beispiel mit Hilfe der sogenannten Blueprints und Azure Policies. Landing Zones in diesem Sinne stellen die Cloud-Verantwortlichen in Unternehmen praktisch gleich zu Beginn vor eine große Herausforderung: Die Landing Zones müssen konzipiert und dann tatsächlich umgesetzt werden.

Wir hatten Gespräche mit Verantwortlichen, die auf hunderten Seiten ihre Landing Zones allein für AWS beschrieben hatten – umgesetzt war erstmal nichts. Der Berg schien unbezwingbar. Nicht verwunderlich, denn eine Landing Zone benötigt den Input aus fast allen funktionalen Bereichen, um die man sich bei Cloud-Migration und -Betrieb beschäftigen muss.

Identity- und Access-Management (IAM)

Von Seiten des Identity- und Access-Managements benötigt man unbedingt föderierte Identitäten und Authentifizierung. Das bedeutet, dass Identitätsinformationen über technische Grenzen hinweg ausgetauscht und verwaltet werden (z. B. zwischen Computern und der Cloud). Heutzutage werden Unternehmen und Konzerne mehr und mehr zu einer Mischung aus On-Premises- und Cloud-Anwendungen. Die Benutzer benötigen Zugriff auf diese Anwendungen sowohl vor Ort als auch in der Cloud. Ein Unternehmen verfügt mit Sicherheit bereits über ein Enterprise IAM-System (wie AD oder LDAP). Die Identitäten müssen in die Cloud eingebunden und dort nutzbar gemacht werden. Ein weiterer Baustein aus der IAM-Säule ist das Privileged-Access-Management. In einer Unternehmensumgebung wird der Begriff "privilegierter Zugriff" verwendet, um besondere Zugriffsrechte oder Möglichkeiten zu bezeichnen, die über die eines normalen Benutzers hinausgehen. Privilegierter Zugriff ermöglicht es Unternehmen, ihre Infrastruktur und Anwendungen zu sichern, Geschäfte effizient abzuwickeln und die Vertraulichkeit sensibler Daten und kritischer Infrastrukturen zu wahren.

Ein Lifecycle-Management für die Identitäten darf natürlich nicht fehlen, ebenso wenig wie ein Service-Account-Management, also das Management von Identitäten, die an Applikationen und nicht an Menschen hängen.

Compliance

Nicht überraschend, dass das Thema Compliance beim Aufbau von Landing Zones eine große Rolle spielt: Der Aufbau einer Cloud-Landing-Zone ist ein bewährtes Muster, um die Leitplanken zu setzen, die Entwicklern Freiheit ermöglichen, ohne die Kontrolle zu verlieren. Richtlinien, die einschränken, welche Ressourcen Entwickler in der Cloud einsetzen können, sind die grundlegendste Art von Leitplanken, die eine Landing Zone einrichten kann. Deswegen gehört das Blacklisting von Ressourcen zu einer der ersten Maßnahmen beim Setup von Landing Zones. Das geht auf unterschiedlichste Weise:

  • Standortbezogene Richtlinien können die Bereitstellung von Ressourcen an einem bestimmten Cloud-Standort oder in einer bestimmten Region verbieten.
  • Ressourcen- oder Service-Typ-basierte Richtlinien können die Nutzung bestimmter Arten von Cloud-Services verbieten. Zu den Motiven für die Durchsetzung dieser Beschränkungen gehören Dienste, die nicht den erforderlichen regulatorischen Standards entsprechen oder mit einem hohen Risiko verbunden sind.
  • Quotenbasierte Richtlinien sind vor allem für private Cloud-Plattformen relevant. Sie ermöglichen es den Betreibern privater Clouds, die Stabilität ihrer Plattformen zu schützen.
  • IAM-basierte Richtlinien sind eine Implementierungsalternative, wenn ein ressourcenbasierter Richtlinienmechanismus nicht verfügbar ist.

Ebenfalls grundlegend sind zentralisierte Audit-Logs: Diese erleichtern Auditoren die Analyse von Protokollen. Die Standardisierung und Bereitstellung eines zentralen Audit-Protokolls als Teil von Landing Zones befreit DevOps-Teams von der Last, herausfinden zu müssen, wie sie die Anforderungen der Prüfer erfüllen können.

Das konsistente Taggen von Cloud-Ressourcen, automatisierte Sicherheits-Scans und die Integration von VMs in ein Security-Operations-Center gehören ebenfalls zum Bereich Compliance und spielen bei der Erstellung von Landing Zones eine Rolle.

Kostenmanagement

Beim Kostenmanagement muss man die Möglichkeit im Auge behalten, Ressourcen reservieren zu können. Auf der einen Seite ermöglicht das Einsparungen von bis zu 70 Prozent, wenn man im voraus z. B. über reserved instances große Kontingente bucht. Auf der anderen Seite bedeutet diese Möglichkeit, dass so Verbindlichkeiten in signifikanter Höhe entstehen können. Die Möglichkeit solcher Reservierungen muss also über eine Landing Zone entsprechend eingeschränkt sein.

Abhängigkeiten

Über 16 individuelle Bausteine fließen also in eine Landing Zone. Jeder Baustein fordert Abstimmung und Konzeption. Zudem gibt es Abhängigkeiten, die zu beachten sind: So ist ohne Klarheit im Bereich der föderierten Identitäten eine Umsetzung von IAM-basierten Richtlinien für die Compliance nicht möglich. Ein holistischer Blick auf die Cloud als Werkzeug ist also nötig, wenn sie effizient zur Verfügung gestellt werden soll.

Cloud Foundation als umfassender Ansatz

An den Beispielen haben wir gesehen, warum die traditionelle IT-Struktur den Anforderungen der Cloud nicht gewachsen ist. Silos sind nicht in der Lage, die aufkommenden Probleme effizient und schnell zu lösen. Im besten Fall sind sie individuell optimiert. Das AWS-Silo löst dabei aber die selben Governance-Herausforderungen wie das Azure-Silo – das Rad muss also jedes mal neu erfunden werden. In keinem Fall können sie so Treiber der Cloud-Transformation im Unternehmen sein.

Was ist eine Cloud Foundation?

Eine Cloud Foundation ist der strategische Ansatz eines Unternehmens zur Bewältigung seiner Cloud-Transformation [2]. Dieser Ansatz hat zwei Hauptaspekte: Einen organisatorischen und einen technologischen.

  • Der Cloud-Foundation-Ansatz bedeutet, die Entwicklungsteams in den Mittelpunkt zu stellen und ihnen einen einzigen Zugangspunkt für die Verwaltung ihrer Cloud-Infrastruktur zu bieten.
  • Eine Cloud Foundation ist die Schnittstelle für Entwicklungsteams zu allem, was sie brauchen, um sich auf die Bereitstellung von Software in der Cloud zu konzentrieren.

Das Cloud-Foundation-Team

Der organisatorische Teil einer Cloud Foundation ist ein zentrales funktionsübergreifendes Cloud-Team. Es ist das Team, das den Weg ebnet, den die DevOps-Teams nutzen, um sicher in die Cloud zu gelangen und dort zu navigieren. Das Cloud-Foundation-Team definiert Leitplanken, aber die DevOps-Teams können innerhalb dieser Grenzen agil bleiben. Die wichtigsten Rollen innerhalb eines Cloud-Foundation-Teams sind:

  • Enterprise-Architekten,
  • Plattform-Ingenieure und -Betreiber und
  • Interessenvertreter für Sicherheit und Governance.

Natürlich ist die Einrichtung eines Cloud-Foundation-Teams nicht alles, was es braucht, um eine Organisation zu transformieren. Die Kultur spielt eine wichtige Rolle, da sich die klassischen IT-Rollen vom Aufbau und der Verwaltung der Infrastruktur auf die Befähigung anderer Teams zu dieser Aufgabe verlagern. Das bedeutet auch erheblich mehr Verantwortung in die Hände der DevOps Teams zu legen.

Die Hauptaufgaben der Cloud Foundation

Kommen wir noch auf die spezifischen Aufgaben zu sprechen, die das Cloud-Foundation-Team erfüllen muss [3]. Um die Ziele zu erreichen, über die wir im vorherigen Abschnitt gesprochen haben, muss eine Cloud Foundation die folgenden acht Aufgaben übernehmen:

  • Umsetzung der Cloud-Transformation und -Strategie
  • Management von Cloud-Kosten und -Abrechnungen
  • Implementierung und Durchsetzung von unternehmensweiten Cloud-Reise-Richtlinien
  • Hilfestellungen und Schulung bereitstellen
  • Verwalten von Cloud-IAM für DevOps-Teams
  • Die neuesten Cloud-Technologien im Auge behalten
  • Verwalten von Cloud-Sicherheits- und Compliance-Risiken

Eher eine kulturelle als eine technische Herausforderung

Die Änderung der kulturellen Einstellung dauert länger als die technische Implementierung oder der Kauf eines Tools. Das Management der IT-Abteilung verliert in der neuen Welt die direkte Kontrolle, weil Aufgaben und Verantwortlichkeiten verteilt sind.

Die Änderung der kulturellen Einstellung dauert länger als die technische Implementierung.

Eine etwas dramatisierte Metapher wäre, den Wandel als Übergang vom feudalen Mittelalter zu einer liberalen Demokratie zu beschreiben. Der zu Beginn erwähnte Enterprise-Architekt hat es für sein Unternehmen so zusammengefasst: "Wir mussten weg von einer feudalen Pyramidenstruktur, in der alle Prozesse über die Spitze gehen, zu einem Netzwerk aus Teams in dem Eigenverantwortung klar geregelt ist."

In einer dezentralen, demokratischen Struktur ist mehr Formalisierung erforderlich. Und aus der Tooling-Perspektive brauchen Unternehmen Lösungen, die diese Netzwerkstruktur ermöglichen.

Die Cloud-Foundation-Plattform

Unabhängig davon, wie ein Unternehmen seine Cloud-Governance umsetzt, muss sie immer die folgenden funktionalen Bereiche abdecken:

  • Tenant-Management: Verwaltung der Bereitstellung, Konfiguration und des Lebenszyklus‘ von Cloud-Umgebungen (z. B. AWS-Accounts). Das ist häufig eine originäre Aufgabe des Cloud-Foundation-Teams.
  • IAM: Bereitstellung von Identitäts- und Zugriffsmanagementfunktionen für alle verfügbaren Cloud-Plattformen und -Services. Erfordert eine Abstimmung mit den IAM-Stakeholdern im Unternehmen.
  • Sicherheit und Compliance: Bereitstellung von Funktionen für die Verwaltung von Workloads und die Durchsetzung von Sicherheitsrichtlinien für alle verfügbaren Cloud-Plattformen und -Dienste. Schnittstellen mit IT-Sicherheits- und Compliance-Stakeholdern.
  • Kostenmanagement: Bereitstellung von Kostenmanagement- und Rückbelastungsfunktionen für alle verfügbaren Cloud-Plattformen und -Dienste. Schnittstellen zu den Akteuren im Bereich Finanzen/Controlling.
  • Service-Ökosystem: Bereitstellung von verwalteten Diensten, die den Teams helfen, Anwendungen in der Cloud schneller und effizienter zu erstellen und zu betreiben (z. B. On-Premise-Konnektivität). Schnittstellen zu internen oder externen Teams, die diese Dienste bereitstellen.

Das Cloud-Foundation-Team benötigt eine Cloud-Foundation-Plattform, um alle diese Aspekte der Cloud-Governance für alle Cloud-Plattformen zentral zu integrieren. Ziel ist es, das Potenzial der Cloud zu nutzen und sich von den Betriebsmodellen der traditionellen IT zu lösen.

Einkaufen oder selbst bauen?

Um es vorweg zu sagen: Eine Cloud-Foundation-Plattform selbst aufzubauen und zu betreiben, dürfte in den meisten Fällen eine ineffiziente und unökonomische Idee sein. Die meisten Unternehmen entscheiden sich für die Cloud, um die Vorteile der Geschwindigkeit und Skalierbarkeit dieser Technologien zu nutzen: On-demand-Zugang zu einem großen Ressourcenpool, ein großes Angebot an stabilen Diensten, die darauf warten, in neuen innovativen Anwendungen genutzt zu werden, und schließlich ein Kostenmodell, das die tatsächliche Ressourcennutzung widerspiegelt statt einen großen Block unflexibler Fixkosten.
 
Bei einer Cloud Foundation im Eigenbau besteht die Gefahr, genau diesen Erwartungen entgegenzuwirken:

  1. Die Zeit ist gegen Sie: Der Aufbau eines eigenen Tools für die Multi-Cloud-Verwaltung wird zu viel Zeit in Anspruch nehmen. Die Planung des Projekts, die Suche nach den erforderlichen Ressourcen oder der Aufbau von spezifischem Cloud-Know-how und dessen Implementierung wird einige Zeit in Anspruch nehmen, selbst wenn Sie schnell sind und über unbegrenzte finanzielle Mittel verfügen. Diese Zeit haben Sie nicht und wahrscheinlich haben Sie auch nicht unbegrenzte Ressourcen.
  2. Plattformexperten sind schwer zu finden: Qualifizierte IT-Spezialisten zu finden, ist schwierig und wahrscheinlich eine der größten Herausforderungen, vor denen jede Art von Unternehmen, ob groß oder klein, heutzutage steht. Für den Aufbau einer Multi-Cloud-Management-Plattform benötigen Sie Plattformexperten für die Cloud-Plattformen, die Sie nutzen möchten. Da dies bisher nicht Ihr Schwerpunkt war, müssen Sie diese einstellen, und sie sind noch schwieriger zu finden als normale Softwareingenieure.
  3. Das Kerngeschäft muss laufen: Wir haben festgestellt, dass Zeit und Ressourcen für jeden von uns begrenzt sind. Aber es gibt noch einen weiteren Punkt, der bei einer Make-or-Buy-Bewertung nicht vernachlässigt werden sollte – und das ist etwas, das für Organisationen jeder Größe gilt: Mit begrenzter Zeit und Ressourcen müssen Sie sich auf Ihre Kernkompetenzen konzentrieren – und das sind höchstwahrscheinlich nicht Multi-Cloud-Integration und Governance-Best-Practices, sondern eher Produkte und Dienstleistungen in Ihrer Branche. Investieren Sie Ihre Ressourcen in Aktivitäten, die einen Mehrwert für Ihre Kunden schaffen. Arbeiten Sie an Innovationen und neuen Geschäftsmodellen, die Ihnen helfen werden, sich auf dem Markt zu differenzieren.

Cloud Foundation als Best Practice bei der Cloud-Transformation

Das Cloud-Foundation-Modell aus Cloud-Foundation-Team und einer Cloud-Foundation-Plattform setzt sich in der Wirtschaft zunehmend als Best Practice durch. Einige große Unternehmen haben zentrale Cloud-Teams etabliert – nennen sie oft auch Cloud Center of Excellence oder Cloud Competence Center – und viele sind mitten in einem herausfordernden organisatorischen Transformationsprozess.

Ist die Migration in die Cloud strategisch ernsthaft gewollt und technisch sinnvoll konzipiert, um die Vorteile einer cloud-nativen IT nutzbar zu machen, dann führt an einer Cloud Foundation kein Weg vorbei.

Der kulturelle Wandel ist sicher nicht leicht, zahlt sich aber vor allem mittel- und langfristig aus. Gibt es kein zentrales Cloud-Team, das sich auch technisch in die Lage versetzt hat, die Cloud-Transformation in der Organisation zu treiben, wird die Reise irgendwo auf halber Strecke im teuren Niemandsland enden.

Autor

Wulf Schiemann

Wulf Schiemann ist Cloud Foundation Advocate bei meshcloud und erklärt in dieser Rolle die Herausforderungen und Lösungsansätze der Cloud-Transformation aus allen Perspektiven.
>> Weiterlesen
Das könnte Sie auch interessieren
Kommentare (0)

Neuen Kommentar schreiben