EIN ABGESTUFTES BERECHTIGUNGS-MODELL VERMINDERT DIE ÖKONOMISCHEN RISIKEN DER CLOUD-TESTPHASE
Startpunkt für ein Unternehmen in der Erkundungsphase ist bei den meisten Anbietern ein Basis- oder Root-Account, der auf alles Rechte hat. Dieser Account wird besonders abgesichert – z.B. zusätzlich zur Passwortsicherung mit einem RSA-Token. Das ist notwendig, findet doch hier die Abbuchung per Kreditkarte statt.
In einer nächsten Stufe wird sodann ein führendes Administrations-Konto erstellt. Dieses hat alle Berechtigungen, jedoch keinen Zugriff mehr auf die Kreditkartendaten als wirtschaftlichem Bindeglied zwischen Kunde und Anbieter. Auch dieses Konto wird intensiv abgesichert.
Erst an dieser Stelle kommen nun die User-Konten für verschiedene Mitarbeiter ins Spiel. Bei einer größeren Gruppe von Menschen mit jeweils eigenem Zugang steigt das Risiko, unkontrolliert und unbeabsichtigt Kosten zu erzeugen. Ein unbeschränkter administrativer Vollzugriff kann bei größeren User-Gruppen sinnvoller Weise nicht generell an alle vergeben werden. Durch die Einrichtung von Billing Alerts können ungewünschte Nutzungsspitzen frühzeitig bemerkt und gemeldet werden. Ein vorab abgestuftes Nutzungskonzept und die entsprechende Rechtevergabe an einzelne User geben aber mehr Sicherheit.
Vernünftig klingt zunächst einmal die Idee, die „Cloud-Pfadfinder“ im Unternehmen nicht mit Administratorenrechten auszustatten. Stattdessen können sie mit weitgehend rechtelosen Accounts auf die Erkundungsreise geschickt werden. Bei Bedarf bekämen sie dann weitere Berechtigungen. Praktisch ist das aber fast undurchführbar, da die großen Cloudanbieter die Vergabe von Berechtigungen sehr kleinteilig angelegt haben. Alleine für den Bereich „Virtuelle Maschinen“ gibt es bei AWS über 230 verschiedene Unterberechtigungen, die vergeben werden können. Durch eine solche außerordentlich dichte Anlage von Vergabe-policies und deren Verknüpfung wird schon das Testen von Cloud-Optionen zu einer Wissenschaft für sich, die schnelle Erkenntnisse eher verhindert.
Hintergrund dieser komplexen Vergabestrukturen ist, dass die großen Cloudanbieter mit ihrem Angebot auch die Bedürfnisse großer Unternehmen befriedigen müssen. Diese haben oft viele hundert Nutzer und Administratoren. Und das bedeutet über die kleinteilige Arbeitsteilung eine entsprechende Rechtevergabe in Cloud-Systemen. Für große Usecases angemessen, ist das für kleinere Teams oft recht kompliziert und unflexibel.
Gleichzeitig ist es aber auch ein großer Schutz. Tausende von Optionen und Services in einem weltweiten Cloud-Rechner-Netz bergen aus Sicht der Datensicherheit und der Kosten zu viele Chancen für Verschwendung oder Unsicherheit.
BEIM AUFBAU EINES BERECHTIGUNGSKONZEPTES STRATEGIE UND UMSETZUNG IM BLICK BEHALTEN
Dokumentationen, Erfahrungsberichte, Blogdiskussionen und auch die Einführungen der großen Anbieter selber bilden zusammengenommen das große Reservoir an Informationen für den Weg in die Cloud. Für Anfänger ist dieses oft zu umfangreich.
Einen guten Leitfaden für die eigenen ersten Schritte in die Cloud sucht man oft vergebens...
Lesen Sie den vollständigen Artikel auf novum online, dem Nachrichtenmagazin der noventum consulting GmbH.