Virtualisierung gefährdet Prozesse

Für große Teile der herkömmlichen IT-Infrastrukturen stellt die Überwachung und Verwaltung keine große Herausforderung dar. Immerhin haben die Unternehmen mit ihren Mainframes, Client/Server- und Web-basierenden Anwendungen seit vielen Jahren Erfahrung gesammelt. Wenn IT-Infrastrukturen um virtualisierte oder Cloud-Computing-Szenarien erweitert werden, greifen die gewohnten Tools und Prozesse jedoch nicht mehr, und stellen sich Firmen folgende Fragen: Wie erhalten sie das aus der bisherigen Umgebung gewohnte Maß an Kontrolle? Wie gewährleisten sie die geforderte Verfügbarkeit für geschäftsrelevante IT-Prozesse in diesen Umgebungen? Wie bemessen und überwachen sie Sicherheitsrisiken?

Sicherheitsrichtlinien für hybride IT-Landschaften

Die auf den ersten Blick vielleicht unwesentlich erscheinende Tatsache, dass Virtualisierung und Cloud Computing die bestehenden IT-Infrastrukturen in Unternehmen nicht etwa verdrängen oder ersetzen, sondern ergänzen, ist aus Sicht der IT-Governance entscheidend: In der Regel gilt es zukünftig, eine hybride IT-Landschaft aus physischen, virtualisierten und zunehmend auch Cloud-basierten Umgebungen zu kontrollieren. Für CIOs bedeutet dies insbesondere, dass sie ihre Identitäts-, Zugriffs-, Sicherheits- sowie Unternehmensrichtlinien über diese hybride Landschaft hinweg konsistent und wirksam betreiben müssen. Identity Management kommt hierbei eine tragende Rolle zu.

Workloads besser verstehen lernen

Um in diesen immer komplexer werdenden Infrastrukturen die Kontrolle zu behalten, müssen Firmen lernen, ihre Workloads und deren spezifische Eigenschaften besser zu verstehen und diese Erkenntnisse in die IT-Governance sowie den IT-Betrieb einfließen zu lassen. Ein Workload verkörpert dabei eine Einheit aus Software und Daten, die einen Teil eines IT-gestützten Geschäftsprozesses darstellt. Zu diesem Zweck sollte man Folgendes über jeden Workload wissen. Zuallererst ist die Frage zu klären, ob der Workload geschäftskritisch ist? Muss er zu 99,999 Prozent verfügbar sein oder sind 99,9 Prozent ausreichend? Kostentechnisch betrachtet bestehen zwischen den beiden Varianten der Verfügbarkeit erhebliche Unterschiede. Deshalb ist es wichtig, im Vorfeld zu wissen, wie geschäftskritisch ein bestimmter Workload ist, um exakt bestimmen zu können, in welchen Umgebungen er laufen darf und sollte.

Ein weiteres wichtiges Kriterium ist die Vertraulichkeit der von einem Workload verarbeiteten Daten. Also die Frage, ob er wichtige Informationen beinhaltet, die auf keinen Fall an die Öffentlichkeit oder in die Hände eines Wettbewerbers gelangen dürfen? Oder handelt es sich beispielsweise um sensible Kundendaten? Ist dies der Fall, muss das Unternehmen dafür sorgen, dass die jeweilige Umgebung genauso wie der Workload selbst höchsten Sicherheitsanforderungen genügt.

Finanzielle Risiken im Vorfeld einschätzen

Von Bedeutung ist auch die Bewertung des finanziellen Risikos. Wie teuer würde es das Unternehmen kommen, sollte der Workload aus irgendeinem Grund einmal nicht verfügbar sein? Die Entwicklungsumgebung eines Softwareherstellers würde hier vermutlich anders bewertet werden als die E-Commerce-Plattform eines Retailers. Die entsprechenden Kosten sind ein guter Anhaltspunkt dafür, wie viel ein Betrieb investieren muss, um entsprechende Verfügbarkeit und Service Levels zu gewährleisten.

Management-Tools kontrollieren Workloads

Die genannten Fragen mögen trivial klingen. Tatsache ist aber, dass die wenigsten Unternehmen ihre IT und die dort betriebenen Workloads aus diesem Blickwinkel betrachten. Warum? Anwender verschieben Workloads oftmals in Umgebungen, die für deren spezifische Eigenschaften denkbar ungeeignet sind.

So gelangen vertrauliche Informationen schnell mal in die Cloud ungeachtet vorhandener Sicherheitsrichtlinien, die dies untersagen würden. Sind die Identität dieses Workloads und die damit einhergehenden spezifischen Vorgaben jedoch dokumentiert und die eingesetzten Management-Tools in der Lage, diese Informationen zu berücksichtigen, bleibt die Kontrolle erhalten: Einem mit der Verarbeitung vertraulicher Daten befassten Workload würde die Verschiebung in eine Cloud-Umgebung verweigert und automatisch eine seinen Sicherheitsanforderungen entsprechende Umgebung zugewiesen werden. Unternehmen werden aber zukünftig Cloud Computing auch für die Verarbeitung vertraulicher Daten einsetzen wollen. Gesetzgeber und Branchenverbände erarbeiten hierfür Richtlinien und Standards. Auch die für einen Workload geltenden Richtlinien unterliegen somit einer gewissen Dynamik und müssen verwaltet werden.

Acht Tools zur Cloud-Verwaltung
Auf den folgenden Seiten finden Sie einen kurzen Überblick über acht Tools, die das Verwalten, Einrichten, Monitoren und Automatisieren von Cloud-Installationen unterstützen.

PlanningIT
"PlanningIT" von Alfabet ist eine Software, die IT-Planungs- und -Management-Funktionen integriert. <br/><br/> Die Suite umfasst mehrere Komponente, die sich mit spezifischen Aspekten einer strategischen IT-Planung befassen.

WebExcellence
WebExcellence von Apica ist ein Load-Testing- und Performance-Monitoring-Tool für Cloud-Anwendungen. <br/><br/> Für das Load-Testing simuliert die Firma Lastprofile, die die echten Anforderungen abbilden. Für Testverfahren werden Scripts verwendet, die Kundenszenarien nachstellen und Leistungs- sowie Geschäftsziele berücksichtigen.

V-Command
V-Commander von Embotics für das Private-Cloud-Management. <br/><br/> In weniger als einer Stunde soll sich die Software installieren lassen. Sie sei dann für das Self-Service-Provisioning und für das Anforderungs-Management bereit, betont der Hersteller. Zudem bietet sie Funktionen, um Servicekataloge zu erstellen.

Jamcracker
Jamcracker ist für das Delivery- und Life-Cycle-Management von Cloud-Diensten entworfen worden. <br/><br/> Die Plattform erlaubt es Firmen, das Nutzer-Provisioning und Single-Sign-On für private und öffentliche Cloud-Dienste zu implementieren. Zudem können die IT-Abteilungen mit Jamcracker ihren Nutzern einen Servicekatalog zur Verfügung stellen und diesen zentral verwalten.

Jitterbit
Jitterbit 4.0, eine Suite für die Datenintegration. <br/><br/> Die Engine namens "Jitterbit Integration Server" koordiniert Integrations-Prozesse und validiert, bereinigt und transformiert Daten. "Jitterbit Application" erlaubt es Anwendern, Integrationsprojekte zu konfigurieren, zu testen, zu verwalten und zu betreiben.

Netuitive
Netuitive ist ein Produkt für die vorausschauende Analyse (Predictive Analytics) in physikalischen und virtualisierten Installationen. <br/><br/> Eine selbstlernende Engine analysiert, korreliert und normiert ständig einlaufende Leistungsdaten von mehreren Subsystemen. Zudem erstellt sie Verhaltensprofile von Datenströmen, die für das jeweilige Unternehmen relevant sind.

New Relic
New Relic bietet Performance-Management für SaaS-Anwendungen aus Nutzersicht (Real User Monitoring = RUM) an. <br/><br/> Agenten auf Produktions-Servern senden Daten über die Applikations-Aktivitäten in das Rechenzentrum von New Relic. Dort werden sie ausgewertet und aufbereitet.

Opscode
Opscode bietet ein System-Integration-Framework in verschiedenen Ausführungen. <br/><br/> Ein Ruby-on-Rails-basierendes Provisioning-Tool hilft, wieder verwertbare Rezepte und Kochbücher zu gestalten, die Infrastruktur-Komponenten hinter der Firewall beschreiben und integrieren. Das soll die Bereitstellung und Konfiguration einer Umgebung beschleunigen

Wildwuchs bei virtuellen Maschinen verhindern

Das Wissen über die spezifische Eigenschaften der IT-Workloads kann auch dazu dienen, IT kosteneffizienter zu betreiben: Workloads, die beispielsweise über keine hohen Service-Level-Anforderungen verfügen, müssen nicht in hochverfügbaren Umgebungen betrieben werden. Workloads, die nur für einen befristeten Zeitraum benötigt werden, können automatisch wieder deprovisioniert werden. Wir haben alle bereits die Konsequenzen eines lückenhaften IT-Managements in virtuellen Umgebungen gesehen. Es gibt eine Vielzahl an Unternehmen, die tausende von virtuellen Maschinen einsetzen, und deren IT-Verantwortliche nicht mehr sagen können, wer all diese virtuellen Maschinen erstellt hat, wofür und ob sie überhaupt noch benötigt werden.

CIO der Dekade
Die begehrten Pokale gab es für insgesamt sechs Preisträger.

CIO der Dekade
Klaus Straub, CIO der Audi AG, ist CIO der Dekade. Neben dem Pokal nahm er von Moderatorin Katrin Müller-Hohenstein eine Flasche Rotwein aus dem Jahr 2001 entgegen.

CIO der Dekade
Und noch ein Preis für Klaus Straub: Die Gewinner der Kategorie "Wertbeitrag der IT" sind Audi-CIO Klaus Straub (links) und - nicht im Bild - Michael Gorriz, CIO der Daimler AG. Frank Riemensperger, Vorsitzender der Geschäftsleitung von Accenture, hielt die Laudatio für beide Preisträger in dieser Kategorie.

CIO der Dekade
Gewinner der Kategorie "Überzeugungsstärke im Unternehmen": Rainer Janßen, CIO der Munich Re zusammen mit Moderatorin Katrin Müller-Hohenstein auf der Bühne.

CIO der Dekade
Gewinner der Kategorie "Internationale Ausrichtung": Guus Dekkers (links), CIO bei EADS und Patrick Naef, CIO von Emirates.

CIO der Dekade
Gewinner in der Kategorie "Strahlkraft in die Gesellschaft": Lufthansa-CIO Thomas Endres (links) neben Johannes Pruchnow, Managing Director Business bei Telefónica.

CIO der Dekade
Alle anwesenden Preisträger.

Dynamisches Management von Workloads

Stellt sich die Frage, ob dynamisches und auf der Identität eines Workloads basierendes IT-Service-Management Utopie ist? Ganz im Gegenteil. Auf dem Markt gibt es bereits entsprechende Lösungen, die auf Richtlinien basierendes, sicheres und dynamisches Management von IT-Workloads ermöglichen. Die beschriebenen Herausforderungen werden mit der zunehmenden Ausweitung der IT-Infrastrukturen auf die Cloud nur noch verstärkt. Umso wichtiger ist es, diese Themen jetzt in Angriff zu nehmen. Wenn ein Unternehmen erst einmal in Virtualisierung und Cloud Computing eingestiegen ist, erfolgt die Verbreitung dieser Konzepte in ungeahnter Geschwindigkeit und entzieht sich aus Mangel an Prozessen oftmals jeglicher zentraler Kontrolle. Deshalb sollte sofort damit begonnen werden, Workloads nach grundlegenden Eigenschaften zu klassifizieren und Informationen über deren Identität, Geschäftsrelevanz and Vertraulichkeit zu erfassen. Mit Hilfe der richtigen Werkzeuge lassen sie sich in der IT-Governance sowie im IT-Betrieb nutzbar machen und wird eine Kontrolle sichergestellt. (pg)