Haben Unternehmen ihre Daten in die Cloud migriert, wähnen sie sich oft sorgenfrei. Dies ist jedoch ein Trugschluss, der schnell teuer werden kann:
Auch wenn Cloud-Anbieter nicht selten den Eindruck vermitteln, User müssten sich nach Vertragsabschluss weder um Abos noch Lizenzen kümmern, besteht dennoch die Gefahr, dass die Cloud-Kosten ohne Kontrolle immer weiter ansteigen – beispielsweise, wenn das veranschlagte Nutzerverhalten aus dem Blick gerät. Unternehmen müssen sich deshalb im Klaren darüber sein, dass sie für die Sicherheit der Daten und das Einhalten von Compliance-Anforderungen verantwortlich sind – auch (oder gerade) nach der Migration in die Cloud. Eine automatisierte Lösung zum Compliance Management kann hier hilfreich sein.
Das Thema Compliance Management in der Cloud gewinnt für IT-Verantwortliche zunehmend an Brisanz. Sie müssen dafür Sorge tragen, dass alle Mitarbeiter die für das Unternehmen geltenden Vorschriften, Verfahren und Regelungen einhalten. So sollten alle Beteiligten Sicherheitsrichtlinien des Unternehmens sowie die aktuellen Verschlüsselungsstandards beachten, frühzeitig Sicherheitslücken erkennen, nicht konforme Ressourcen ermitteln und Gegenmaßnahmen ergreifen – um damit nur einige der Aufgaben zu nennen. Bei dieser Vielzahl an Richtlinien den Überblick zu behalten, ist leichter gesagt als getan.
Gravierende Folgen bei Nicht-Einhaltung
Ohne eine regelmäßige Überprüfung der selbst definierten Ressourcen-Nutzungsgrenzen, so aufwendig diese auch sein mag, wird das Limit von Cloud-Vereinbarungen nicht selten überschritten. Zu hohe Compliance-Werte, Vertragsverletzungen sowie hohe Kosten können für nachlässige Unternehmen in der Folge verheerend sein und große wirtschaftliche Schäden anrichten. Die Frage ist also: Wie können sich Unternehmen den Herausforderungen des Compliance Managements stellen und den Überblick über die Vielzahl an Regelungen behalten – und das mit möglichst wenig Aufwand?
Den Überblick behalten – smart, zentral und automatisiert
Damit Unternehmen sich wieder auf ihr Kerngeschäft konzentrieren können und gleichzeitig ihre Unternehmens- und Sicherheitsrichtlinien ordnungsgemäß einhalten, ist eine automatisierte Lösung sinnvoll. Diese zeigt bestenfalls die geltenden Compliance-Richtlinien auf und hält die Verantwortlichen in puncto Nutzungsverhalten und Ressourcen auf dem Laufenden – und das in Echtzeit. So hat beispielsweise orange networks, Teil der weltweit tätigen Logicalis Gruppe, eine übersichtliche Lösung dieserart entwickelt, um die Compliance-Prozesse in der Azure Cloud zu steuern: den Cloud Navigator. Dem Namen entsprechend navigiert er die User beim Compliance Management ihres Unternehmens und bietet eine umfassende Orientierung beim Einhalten der geltenden Richtlinien. Dabei stehen die Aspekte Security, Configuration und Budget im Fokus. Da der Cloud Navigator branchenunabhängig ist, kann er alle Unternehmen unterstützen, die ein zuverlässiges und effizientes Cloud Compliance Management System einsetzen möchten – entweder als kurzfristige Überbrückung oder als dauerhafte Lösung. Die Hauptvorteile des Navigators, der sich in die Kunden-Infrastrukturen Azure IaaS und PaaS integrieren lässt, sind:
- Präventiv alles im Blick: Der Cloud Navigator bietet eine automatisierte Übersicht über sicherheitsrelevante Richtlinien und erkennt Sicherheitslücken in den Systemen. Durch das ständige Überprüfen der Richtlinien verhindert er Verstöße frühzeitig.
- Ressourcenschonend: Die Compliance-Lösung ermittelt und korrigiert nicht-konforme Ressourcen pro Richtlinie durch entsprechende Konfiguration. Kostenintensive Ressourcen identifiziert sie durch freie Konfiguration und das Einstellen des Sicherheitslimits. Die Erstellung von Ressourcen außerhalb Europas verhindert sie.
- Rollen klar verteilt: Der Navigator ermittelt die zugewiesenen Role-Based-Access-Control-Rollen jedes einzelnen Benutzers und zeigt sie an. Die Rollenzuweisungen steuern also, welche Nutzer Zugriff auf die Azure Ressourcen haben und welche Aktionen sie ausführen dürfen.
- Sicherer Austausch: Dank der Aktivierung von Verschlüsselungsstandards sorgt der Navigator dafür, dass Daten bei der Kommunikation mit anderen Systemen mit den geltenden Verfahren verschlüsselt werden.
- Übersicht großgeschrieben: Die Lösung bietet für alle Stakeholder zentrale Reports in PowerBI über einen Compliance-Score der eigenen Azure-Umgebung.
Bei der Vielzahl von Azure-Diensten fungiert der Cloud Navigator als unterstützende Lösung und hilft den Usern auf einem mehrseitigen Dashboard dabei, den Überblick zu behalten – und zeigt dabei eventuellen Handlungsbedarf auf. Cloud-Profis können sich mit dieser Lösung Compliance-seitig weiter verbessern, Cloud Starter behalten von Beginn an die Kontrolle und den Überblick.
“Der Cloud Navigator ermöglicht Unternehmen, ihre Stakeholder detailliert über den Compliance-Stand ihrer Cloud-Ressourcen auf dem Laufenden zu halten!
Björn Petersen, IT-Architect, orange networks GmbH, www.orange-networks.com
Alles auf einen Blick
Das Dashboard des Cloud Navigators beinhaltet verschiedene Seiten, die unterschiedliche Funktionen erfüllen:
Die globale Übersichtseite „Key Performance Indicators (KPIs)“ bildet alle Compliance-relevanten Parameter in Echtzeit ab und ermöglicht deren schnelle Bewertung – Unternehmen erkennen somit möglichen Handlungsbedarf ohne Zeitverzug.
Auf der Seite „Control Overview“ können Nutzer eine detaillierte Übersicht der Verstöße pro Regel beziehungsweise Control einsehen. Dabei können sie einen beliebigen Tag auswählen und damit schnell auf mögliche Regelstöße reagieren. Während die Seite „Hierarchy“ die Management Group Hierarchie abbildet, liefert die Seite „Role Assignments“ eine Übersicht der vergebenen Berechtigungen in der gesamten Azure-Umgebung. Die „Verwaltungsabteilung“ des Dashboards bildet die Seite „Policy Assignments“:
Denn sie stellt nicht nur die zugewiesenen Regeln pro Wirkungsbereich dar (und unterstützt damit bei der Verwaltung der zugewiesenen Richtlinien und deren Ausnahmen), sondern zeigt zudem die Azure Management Groups an. Anhand dieser haben die Verantwortlichen die volle Kontrolle über Zugriff, Richtlinien und Konformität der Abonnements. Dass Ausnahmen die Regel bestätigen, zeigt die Seite „Exceptions“: User finden hier eine detaillierte Auflistung der definierten Ausnahmen, in welchem Bereich diese gelten und welche Gültigkeit sie haben.
Die globale Übersichtsseite Key Performance Indicators (KPIs) bildet alle Compliance-relevanten Parameter in Echtzeit übersichtlich ab und ermöglicht deren schnelle Bewertung.
Orientierungshilfe für Unternehmen
Das Einhalten aller Richtlinien kann sehr herausfordernd sein – ist aber nötig, damit Unternehmen Vertragsverletzungen und hohe Kosten vermeiden. Eine automatisierte Lösung wie der Cloud Navigator, die als Managed Service in kürzester Zeit ausgerollt werden kann, ist hier ein möglicher Schlüssel zum Erfolg. Denn sie hilft nicht nur dabei, eventuelle Verstöße rechtzeitig zu verhindern, sondern sorgt auch dafür, dass sich Unternehmen wieder auf ihre eigentliche Expertise konzentrieren können.
Detaillierte Einsichten zum Cloud Navigator liefert das Whitepaper „Cloud Navigator – die Orientierungshilfe im Compliance-Dschungel“ der orange networks GmbH.