CIO Guide zu Cloud Landing Zones

Lesezeit: 15 Minuten

alt text

INTRO

☁ LANDING ZONE - sicher, konform, verwaltet, Cloud-nativ ☁

Cloud Computing ist fester Bestandteil unsers Arbeitslebens geworden und mit Blick auf neue Technologien, wie künstlicher Intelligenz oder Blockchain wird schnell deutlich: Cloud ist die zentrale Voraussetzung für diese Technologiewende und somit wesentlicher Treiber für Innovation!

Durch die COVID-Pandemie haben viele Firmen schmerzvoll erlebt, was es bedeudet “mal schnell” seine Bestandsinfrastruktur flexibel an die neuen Home-Office Bedingungen anzupassen.Viele Unternehmen standen vor der Problematik, dass sie sich nicht bereits vor einigen Jahren intensiver mit dem Thema Public Cloud auseinandergesetzt haben. Sei es der berühmt-berüchtigte “Modern Workplace”, oder nur der einfache und sichere Zugang zu Bestandsapplikationen.

Cloud-Projekte sind nun in jedem Unternehmen gestartet, von Modernisierung der Applikationslandschaft bis hin zu Cloud-preferred/Cloud-first Migrationen. Das zeigt auch der aktuelle Report Cloud Governance in Deutschland, PwC & ISACA, vom April 2021.

Bedenken zum Thema Datenschutz und Datensicherheit sind sicherlich weiterhin eine große Hemmschwelle. Jedoch merken immer mehr Unternehmen wie sicher und Enterprise-konform man Cloud’s nutzen kann, wenn man entsprechende LANDING ZONE-Prinzipien gleich zu Beginn etabliert!

Mein Credo als Security-Auditor & Ex-Pentester:
Cloudinfrastrukturen können heute deutlich besser abgesichert werden, als klassische Unternehmensnetzwerke. Darüber hinaus zu einem Bruchteil der Kosten, welcher hierfür im klassischen Hosting-Umfeld heute ausgegeben wird! Des Weiteren bieten Cloud-Infrastrukturen per sè die besseren Tools für starke Authentifizierung, Verschlüsselung und Sicherheitsüberwachung.

alt text Quelle: CLOUDETEER

CLOUD.LANDING_ZONE

HERAUSFORDERUNGEN

Leider wird das LANDING ZONE-Prinzip sehr unterschiedlich interpretiert und durch die Vielzahl an Cloud Adoption Frameworks und Well-Architected Frameworks, herrscht hierzu mittlerweile mehr Verwirrung, als konkrete Hilfestellung!

Darüber hinaus schreitet die Cloud-Automatisierung mit hoher Geschwindigkeit voran und keine Cloud-Migration, oder produktive Cloud-Plattform-Nutzung ist noch sinnvoll ohne automatisierte Bereitstellung umzusetzen, da auch die Komplexität der Cloud Services-Konfiguration und deren Abhängigkeiten immer mehr zunimmt.

Was aber leider häufig vergessen wird: Automatisierung benötigt Rahmenparameter und die müssen vorher festgelegt sein. Diese können durch Best-Practices teilweise von Externen diktiert werden, aber am Ende des Tages muss ein Unternehmen seine Leitplanken klar ausformulieren (Cloud Governance)!

Auf der einen Seite gibt es eine Vielzahl an neuen Startups, die LANDING ZONES als reine “Bereitstellung” sehen und hier entsprechende Frameworks (Infrastructure-as-Code) bereitstellen und auf der anderen Seite Dienstleister, die nur konzeptionelle Cloud-Governance damit meinen.

Es bedarf einer “smarteren” Herangehensweise und ein adaptives Modell, das in bestehende IT-Betriebsorganisationen passt!

Was genau ist eine Landing Zone?

Die nachfolgende Abbildung stellt das “Big-Picture” einer MULTI-CLOUD LANDING ZONE dar.

alt text Quelle: CLOUDETEER

Bei näherem Hinsehen, erkennt man viele Parallelen zu “klassischen IT-Themen”. Natürlich braucht es auch im Cloud-Zeitalter ein(en):

Rahmen für die Mindestanforderungen der Cloud-Nutzung (Governance, Security)
Vernünftiges Rechte & Rollen-Konzept (SSO, MFA, Least-Privilege)
Kosten- und Cloud-Ressourcen Transparenz (Inventory, Tagging, zentrale Verrechnung)
Einheitliche Bereitstellungsrichtlinien (Automatisierung, Infrastructure-as-Code)
Zentrale Verwaltung der wichtigsten Shared-Services (DNS, Logging & Monitoring)
Hybride Cloud Netzwerkanbindung (VPN, Hub&Spoke, Firewall, Peerings)
Ein Cloud-Service Management (ITSM, Backup, Wartung, Überwachung)
Kontinuierliche Optimierung der Kosten (wirtschaftliche Nutzung von Ressourcen)
Überwachung zur Einhaltung der Cloud-Governance Richtlinien (Secure Score)
Integration in einen Cloud-Security Betrieb (SOC, SIEM/SOAR)

Meist wird auch der Fehler gemacht hier nur eine “Single-Cloud” zu betrachten, anstatt gewisse Rahmenparameter gleich “Cloud-agnostisch” zu etablieren!

Genau das sollte in einem LANDING ZONE Konzept bzw. Vorgehensweise berücksichtigt werden und erst dann sprechen wir bei CLOUDETEER von einer “echten” LANDING ZONE.

EMPFEHLUNGEN

Greifen Sie auf etablierte Frameworks der Cloud Provider zurück!

Konzepte gehören dazu, jedoch sind diese im schnelllebigen Cloud-Kontext schnell überholt. Legen Sie Ihren Governance Rahmen einmal fest und danach können Sie Projektspezifisch und smart dokumentieren. Somit haben Sie auch gleichzeitig eine Betriebsdoku!

So Cloud-nativ wie möglich bleiben - versuchen Sie nicht in der Public Cloud Ihre Betriebs-Logik und Tools 1:1 abzubilden!

Keine Nutzung von proprietären Lösungen im Bereich Bereitstellung, nutzen Sie die etablierten Standards der CNCF, wie Terraform und HELM!

Holen Sie sich Expertise von Dienstleistern, die nicht nur konzeptionieren, sondern auch bereitstellen und selber betreiben - denn Sie wissen was Sie tun!

MEHRWERTE EINER LANDING ZONE

Einhaltung von Unternehmensrichtlinien, wie man sie im IT-Umfeld seit Jahrzenten gewohnt ist.

Volle Transparenz der Cloudnutzung und Kostenstruktur (IaaS / PaaS / XaaS).

Einheitliche Bereitstellung & Forcierung von Standards (Vermeidung redundanter Kosten).

Ein modernes Cloud-Betriebsmodell (DevOps ⨭ IT-Betrieb ⨭ SRE).

Zentrale Verrechnung und somit Gesamtblick der Kosten, um mit dem Cloud Provider Vertragsoptimierungen vorzunehmen.

Wirtschaftlich sinnvoller Einsatz von Public Cloud Services (Business-aligned).

WIE GEHEN WIR VOR?

Wir als CLOUDETEER haben durch die Vielzahl an Cloudprojekten ein großes Spektrum an Multi-Cloud Landing Zones konzeptioniert und bereitgestellt. Die nachfolgende Abbildung zeigt unsere praxiserprobte Vorgehensweise. alt text Quelle: CLOUDETEER

Kommen Sie gerne auf uns zu, oder schauen Sie sich auf unseren ⩽ Github Repo’s ⩾ um! Wir stellen Ihnen professionelle Konzepte, sowie einschlägige, cloud-native Tools zu modernen Bereitstellung bereit!


Wie immer freue ich mich auf Rückmeldungen und Ihre Meinung zu diesem Thema!

Fragen, Kritik, Hinweise?

Gerald Fehringer
CTO, Co-Founder
CISSP, CISA, CISM, CCSP, Cloud Nerd-by-nature
E-Mail: gf @ cloudeteer.de
Twitter: @zerohat