Für große Teile der herkömmlichen IT-Infrastrukturen stellt die Überwachung und Verwaltung keine große Herausforderung dar. Immerhin haben die Unternehmen mit ihren Mainframes, Client/Server- und Web-basierenden Anwendungen seit vielen Jahren Erfahrung gesammelt. Wenn IT-Infrastrukturen um virtualisierte oder Cloud-Computing-Szenarien erweitert werden, greifen die gewohnten Tools und Prozesse jedoch nicht mehr, und stellen sich Firmen folgende Fragen: Wie erhalten sie das aus der bisherigen Umgebung gewohnte Maß an Kontrolle? Wie gewährleisten sie die geforderte Verfügbarkeit für geschäftsrelevante IT-Prozesse in diesen Umgebungen? Wie bemessen und überwachen sie Sicherheitsrisiken?
Sicherheitsrichtlinien für hybride IT-Landschaften
Die auf den ersten Blick vielleicht unwesentlich erscheinende Tatsache, dass Virtualisierung und Cloud Computing die bestehenden IT-Infrastrukturen in Unternehmen nicht etwa verdrängen oder ersetzen, sondern ergänzen, ist aus Sicht der IT-Governance entscheidend: In der Regel gilt es zukünftig, eine hybride IT-Landschaft aus physischen, virtualisierten und zunehmend auch Cloud-basierten Umgebungen zu kontrollieren. Für CIOs bedeutet dies insbesondere, dass sie ihre Identitäts-, Zugriffs-, Sicherheits- sowie Unternehmensrichtlinien über diese hybride Landschaft hinweg konsistent und wirksam betreiben müssen. Identity Management kommt hierbei eine tragende Rolle zu.
Workloads besser verstehen lernen
Um in diesen immer komplexer werdenden Infrastrukturen die Kontrolle zu behalten, müssen Firmen lernen, ihre Workloads und deren spezifische Eigenschaften besser zu verstehen und diese Erkenntnisse in die IT-Governance sowie den IT-Betrieb einfließen zu lassen. Ein Workload verkörpert dabei eine Einheit aus Software und Daten, die einen Teil eines IT-gestützten Geschäftsprozesses darstellt. Zu diesem Zweck sollte man Folgendes über jeden Workload wissen. Zuallererst ist die Frage zu klären, ob der Workload geschäftskritisch ist? Muss er zu 99,999 Prozent verfügbar sein oder sind 99,9 Prozent ausreichend? Kostentechnisch betrachtet bestehen zwischen den beiden Varianten der Verfügbarkeit erhebliche Unterschiede. Deshalb ist es wichtig, im Vorfeld zu wissen, wie geschäftskritisch ein bestimmter Workload ist, um exakt bestimmen zu können, in welchen Umgebungen er laufen darf und sollte.
Ein weiteres wichtiges Kriterium ist die Vertraulichkeit der von einem Workload verarbeiteten Daten. Also die Frage, ob er wichtige Informationen beinhaltet, die auf keinen Fall an die Öffentlichkeit oder in die Hände eines Wettbewerbers gelangen dürfen? Oder handelt es sich beispielsweise um sensible Kundendaten? Ist dies der Fall, muss das Unternehmen dafür sorgen, dass die jeweilige Umgebung genauso wie der Workload selbst höchsten Sicherheitsanforderungen genügt.
Finanzielle Risiken im Vorfeld einschätzen
Von Bedeutung ist auch die Bewertung des finanziellen Risikos. Wie teuer würde es das Unternehmen kommen, sollte der Workload aus irgendeinem Grund einmal nicht verfügbar sein? Die Entwicklungsumgebung eines Softwareherstellers würde hier vermutlich anders bewertet werden als die E-Commerce-Plattform eines Retailers. Die entsprechenden Kosten sind ein guter Anhaltspunkt dafür, wie viel ein Betrieb investieren muss, um entsprechende Verfügbarkeit und Service Levels zu gewährleisten.
Management-Tools kontrollieren Workloads
Die genannten Fragen mögen trivial klingen. Tatsache ist aber, dass die wenigsten Unternehmen ihre IT und die dort betriebenen Workloads aus diesem Blickwinkel betrachten. Warum? Anwender verschieben Workloads oftmals in Umgebungen, die für deren spezifische Eigenschaften denkbar ungeeignet sind.
So gelangen vertrauliche Informationen schnell mal in die Cloud ungeachtet vorhandener Sicherheitsrichtlinien, die dies untersagen würden. Sind die Identität dieses Workloads und die damit einhergehenden spezifischen Vorgaben jedoch dokumentiert und die eingesetzten Management-Tools in der Lage, diese Informationen zu berücksichtigen, bleibt die Kontrolle erhalten: Einem mit der Verarbeitung vertraulicher Daten befassten Workload würde die Verschiebung in eine Cloud-Umgebung verweigert und automatisch eine seinen Sicherheitsanforderungen entsprechende Umgebung zugewiesen werden. Unternehmen werden aber zukünftig Cloud Computing auch für die Verarbeitung vertraulicher Daten einsetzen wollen. Gesetzgeber und Branchenverbände erarbeiten hierfür Richtlinien und Standards. Auch die für einen Workload geltenden Richtlinien unterliegen somit einer gewissen Dynamik und müssen verwaltet werden.
Wildwuchs bei virtuellen Maschinen verhindern
Das Wissen über die spezifische Eigenschaften der IT-Workloads kann auch dazu dienen, IT kosteneffizienter zu betreiben: Workloads, die beispielsweise über keine hohen Service-Level-Anforderungen verfügen, müssen nicht in hochverfügbaren Umgebungen betrieben werden. Workloads, die nur für einen befristeten Zeitraum benötigt werden, können automatisch wieder deprovisioniert werden. Wir haben alle bereits die Konsequenzen eines lückenhaften IT-Managements in virtuellen Umgebungen gesehen. Es gibt eine Vielzahl an Unternehmen, die tausende von virtuellen Maschinen einsetzen, und deren IT-Verantwortliche nicht mehr sagen können, wer all diese virtuellen Maschinen erstellt hat, wofür und ob sie überhaupt noch benötigt werden.
Dynamisches Management von Workloads
Stellt sich die Frage, ob dynamisches und auf der Identität eines Workloads basierendes IT-Service-Management Utopie ist? Ganz im Gegenteil. Auf dem Markt gibt es bereits entsprechende Lösungen, die auf Richtlinien basierendes, sicheres und dynamisches Management von IT-Workloads ermöglichen. Die beschriebenen Herausforderungen werden mit der zunehmenden Ausweitung der IT-Infrastrukturen auf die Cloud nur noch verstärkt. Umso wichtiger ist es, diese Themen jetzt in Angriff zu nehmen. Wenn ein Unternehmen erst einmal in Virtualisierung und Cloud Computing eingestiegen ist, erfolgt die Verbreitung dieser Konzepte in ungeahnter Geschwindigkeit und entzieht sich aus Mangel an Prozessen oftmals jeglicher zentraler Kontrolle. Deshalb sollte sofort damit begonnen werden, Workloads nach grundlegenden Eigenschaften zu klassifizieren und Informationen über deren Identität, Geschäftsrelevanz and Vertraulichkeit zu erfassen. Mit Hilfe der richtigen Werkzeuge lassen sie sich in der IT-Governance sowie im IT-Betrieb nutzbar machen und wird eine Kontrolle sichergestellt. (pg)