Durch Virtualisierung und Cloud Computing drohen Workloads neue Gefahren. Lesen Sie, wie man die Kontrolle über Geschäftsprozesse behält.
Christoph Stoica (Regional Director Central Europe bei NetIQ)
Für große Teile der herkömmlichen IT-Infrastrukturen stellt die Überwachung und Verwaltung keine große Herausforderung dar. Immerhin haben die Unternehmen mit ihren Mainframes, Client/Server- und Web-basierenden Anwendungen seit vielen Jahren Erfahrung gesammelt. Wenn IT-Infrastrukturen um virtualisierte oder Cloud-Computing-Szenarien erweitert werden, greifen die gewohnten Tools und Prozesse jedoch nicht mehr, und stellen sich Firmen folgende Fragen: Wie erhalten sie das aus der bisherigen Umgebung gewohnte Maß an Kontrolle? Wie gewährleisten sie die geforderte Verfügbarkeit für geschäftsrelevante IT-Prozesse in diesen Umgebungen? Wie bemessen und überwachen sie Sicherheitsrisiken?
Sicherheitsrichtlinien für hybride IT-Landschaften
Die auf den ersten Blick vielleicht unwesentlich erscheinende Tatsache, dass Virtualisierung und Cloud Computing die bestehenden IT-Infrastrukturen in Unternehmen nicht etwa verdrängen oder ersetzen, sondern ergänzen, ist aus Sicht der IT-Governance entscheidend: In der Regel gilt es zukünftig, eine hybride IT-Landschaft aus physischen, virtualisierten und zunehmend auch Cloud-basierten Umgebungen zu kontrollieren. Für CIOs bedeutet dies insbesondere, dass sie ihre Identitäts-, Zugriffs-, Sicherheits- sowie Unternehmensrichtlinien über diese hybride Landschaft hinweg konsistent und wirksam betreiben müssen. Identity Management kommt hierbei eine tragende Rolle zu.
Workloads besser verstehen lernen
Um in diesen immer komplexer werdenden Infrastrukturen die Kontrolle zu behalten, müssen Firmen lernen, ihre Workloads und deren spezifische Eigenschaften besser zu verstehen und diese Erkenntnisse in die IT-Governance sowie den IT-Betrieb einfließen zu lassen. Ein Workload verkörpert dabei eine Einheit aus Software und Daten, die einen Teil eines IT-gestützten Geschäftsprozesses darstellt. Zu diesem Zweck sollte man Folgendes über jeden Workload wissen. Zuallererst ist die Frage zu klären, ob der Workload geschäftskritisch ist? Muss er zu 99,999 Prozent verfügbar sein oder sind 99,9 Prozent ausreichend? Kostentechnisch betrachtet bestehen zwischen den beiden Varianten der Verfügbarkeit erhebliche Unterschiede. Deshalb ist es wichtig, im Vorfeld zu wissen, wie geschäftskritisch ein bestimmter Workload ist, um exakt bestimmen zu können, in welchen Umgebungen er laufen darf und sollte.
- Checkliste für das Outsourcing
Anforderungskatalog, Eskalationswege, Provider-Steuerung - im Outsourcing gibt es viele Fallstricke. Die Experton Group nennt zwanzig Eckpunkte zur Gestaltung eines wasserdichten Service-Level-Agreements (SLAs). - 9. Leistungserwartung:
Angaben zur Performance einzelner Komponenten bringen wenig. Leistungsangaben sollten sich auf das komplette System erstrecken. Das gilt etwa für Antwortzeiten und Durchsatzrate. - 1. Systembeschreibung:
Die Anforderungen an einen Service sollten detailliert beschrieben werden. Das ist in der Regel Aufgabe der Anwender. Je exakter die Beschreibung ist, desto weniger Probleme gibt es im Betrieb. - 2. Gültigkeitszeitraum für die SLAs:
Jeder Leistungsschein muss einen Anfang und ein Ende enthalten. Leistungsscheine, die während der Vertragslaufzeit zusätzlich abgeschlossen werden, sollten mit dem Rahmenvertrag enden. - 3. Hauptrollen in dem SLA:
Die Rollen- und Rechtematrix ist ein Regelwerk, das festlegt, wer für welche Aufgaben zuständig ist. Dabei geht es um Zuständigkeiten, Verantwortung, Mitwirkungs- und Informationspflicht. Zusätzlich sollten die Rollen im Rahmen der Zusammenarbeit definiert werden. - 4. Nutzerzufriedenheit:
Die Anwender und nicht die Technik stehen bei der Definition der Service-Parameter im Vordergrund. Deshalb sollten KPIs so gewählt werden, dass sie die Erwartungen des Nutzers widerspiegeln. Zu diesem Zweck kommen Messmethoden auf Anwendungs-Level zum Einsatz. - 5. Verfügbarkeit:
Die Verfügbarkeit nennt Zeiten, in denen der Endanwender den Service nutzen kann. Der Mail-Services muss oft rund um die Uhr laufen, der Hotline-Support orientiert sich zumeist an Bürozeiten. - 6. Geplante Ausfallzeiten:
Für die Wartung und für Notfallübungen müssen geplante Ausfallzeiten außerhalb der Servicezeiträume vereinbart werden. - 7. Serviceschnittstellen:
Für den Servicebetrieb sind Schnittstellen zu anderen IT-Diensten sowohl eingangs- als auch ausgangsseitig erforderlich. Die Wechselwirkungen müssen untersucht und beschrieben werden. - 8. Zuverlässigkeit:
Mit diesem Parameter wird gemessen, wie häufig ein System ausfällt und wie lange es dauert, bis der Service in der vereinbarten Güte wiederhergestellt ist. Im Gegensatz zur Verfügbarkeit, die über eine definierte Zeitstrecke gemessen wird, lässt sich die Zuverlässigkeit fallweise ermitteln. - 10. Problem-Reporting und -lösung:
Ein wesentlicher Grundsatz ist, dass der Service nur dann als erbracht gilt, wenn der erfolgreiche Betrieb auch berichtet wird. Deshalb sollte zu jedem KPI das Messverfahren definiert und der Umfang des Reporting festgelegt werden. - 11. Benachrichtigungs- und Eskalationswege:
Gibt es Probleme, müssen die Eskalationswege bekannt sein. Darüber hinaus sollten Dienstleister frühzeitig auf mögliche Gefahren hinweisen, selbst wenn KPIs noch eingehalten werden. - 12. Wartung:
Die Wartungszyklen der IT-Systems sind einzuhalten. Insbesondere für automatische Updates gilt es, ein Verfahren zu definieren, das die betrieblichen Anforderungen des Kunden unterstützt. - 13. Wachstum und Veränderungen:
Für seine Planungssicherheit benötigt der Dienstleister Angaben zum erwarteten Wachstum. Sind Veränderungen absehbar (etwa SAP-Release), sollten SLAs dazu vereinbart werden. Sind künftige Anforderungen hingegen unbekannt, kommt es auf Change-Prozesse an. - 14. Backup und Wiederherstellung:
Jedes System benötigt Backup- und Recovery-Prozesse. Dazu gehört auch geeignetes Personal, so dass die Service-Levels auch dann eingehalten werden, wenn Mitarbeiter ausfallen. Das gilt auch für die Migrationsphase. - 15. Archivierung und Datenspeicherung:
Dienstleister müssen die gesetzlichen und betrieblichen Archivierungsregeln erfüllen. Der Datenzugriff ist regelmäßig zu überprüfen. Ein Archivierungskonzept muss auch die Speichersysteme umfassen. - 16. Business-Recovery und -Continuity:
Die Notfallplanung beinhaltet einen Maßnahmenkatalog für den Schadensfall und beschreibt die Auswirkungen auf Geschäftsprozesse. Zusätzlich sollte eine Risikobewertung den möglichen Schaden klassifizieren. - 17. Security:
Alle Maßnahmen rund um die Sicherheit, die in diesem Service beachtet werden müssen, sollten aufgeführt werden. Oft existieren IT-Sicherheitskonzepte, die Regelungen für solche Fälle enthalten. - 18. Regelmäßige Lagebesprechung:
In der Migrationsphase ist eine intensive Kommunikation zwischen Kunde und Dienstleister wichtig. Zudem sollten im Rahmen regelmäßiger Reviews - in der Regel monatlich - KPIs überprüft werden. - 18. Regelmäßige Lagebesprechung:
In der Migrationsphase ist eine intensive Kommunikation zwischen Kunde und Dienstleister wichtig. Zudem sollten im Rahmen regelmäßiger Reviews - in der Regel monatlich - KPIs überprüft werden. - 19. Unterschrift:
Mit dem Unterzeichnen des SLA-Dokuments übernimmt der Dienstleister die Verantwortung für die ausgelagerten Services. - 20. Kontinuierliche Administration:
Unmittelbar nach Vertragsbeginn startet auch die permanente Kontrolle durch den Kunden. Dazu zählen die Berichte und Abrechnungen. Ein vertraglich vereinbarter Zugang zum Reporting-System des Providers kann Prüfungen vereinfachen. - Checkliste für das Outsourcing
Anforderungskatalog, Eskalationswege, Provider-Steuerung - im Outsourcing gibt es viele Fallstricke. Die Experton Group nennt zwanzig Eckpunkte zur Gestaltung eines wasserdichten Service-Level-Agreements (SLAs). - 9. Leistungserwartung:
Angaben zur Performance einzelner Komponenten bringen wenig. Leistungsangaben sollten sich auf das komplette System erstrecken. Das gilt etwa für Antwortzeiten und Durchsatzrate. - 1. Systembeschreibung:
Die Anforderungen an einen Service sollten detailliert beschrieben werden. Das ist in der Regel Aufgabe der Anwender. Je exakter die Beschreibung ist, desto weniger Probleme gibt es im Betrieb. - 2. Gültigkeitszeitraum für die SLAs:
Jeder Leistungsschein muss einen Anfang und ein Ende enthalten. Leistungsscheine, die während der Vertragslaufzeit zusätzlich abgeschlossen werden, sollten mit dem Rahmenvertrag enden. - 3. Hauptrollen in dem SLA:
Die Rollen- und Rechtematrix ist ein Regelwerk, das festlegt, wer für welche Aufgaben zuständig ist. Dabei geht es um Zuständigkeiten, Verantwortung, Mitwirkungs- und Informationspflicht. Zusätzlich sollten die Rollen im Rahmen der Zusammenarbeit definiert werden. - 4. Nutzerzufriedenheit:
Die Anwender und nicht die Technik stehen bei der Definition der Service-Parameter im Vordergrund. Deshalb sollten KPIs so gewählt werden, dass sie die Erwartungen des Nutzers widerspiegeln. Zu diesem Zweck kommen Messmethoden auf Anwendungs-Level zum Einsatz. - 5. Verfügbarkeit:
Die Verfügbarkeit nennt Zeiten, in denen der Endanwender den Service nutzen kann. Der Mail-Services muss oft rund um die Uhr laufen, der Hotline-Support orientiert sich zumeist an Bürozeiten. - 6. Geplante Ausfallzeiten:
Für die Wartung und für Notfallübungen müssen geplante Ausfallzeiten außerhalb der Servicezeiträume vereinbart werden. - 7. Serviceschnittstellen:
Für den Servicebetrieb sind Schnittstellen zu anderen IT-Diensten sowohl eingangs- als auch ausgangsseitig erforderlich. Die Wechselwirkungen müssen untersucht und beschrieben werden. - 8. Zuverlässigkeit:
Mit diesem Parameter wird gemessen, wie häufig ein System ausfällt und wie lange es dauert, bis der Service in der vereinbarten Güte wiederhergestellt ist. Im Gegensatz zur Verfügbarkeit, die über eine definierte Zeitstrecke gemessen wird, lässt sich die Zuverlässigkeit fallweise ermitteln. - 10. Problem-Reporting und -lösung:
Ein wesentlicher Grundsatz ist, dass der Service nur dann als erbracht gilt, wenn der erfolgreiche Betrieb auch berichtet wird. Deshalb sollte zu jedem KPI das Messverfahren definiert und der Umfang des Reporting festgelegt werden. - 11. Benachrichtigungs- und Eskalationswege:
Gibt es Probleme, müssen die Eskalationswege bekannt sein. Darüber hinaus sollten Dienstleister frühzeitig auf mögliche Gefahren hinweisen, selbst wenn KPIs noch eingehalten werden. - 12. Wartung:
Die Wartungszyklen der IT-Systems sind einzuhalten. Insbesondere für automatische Updates gilt es, ein Verfahren zu definieren, das die betrieblichen Anforderungen des Kunden unterstützt. - 13. Wachstum und Veränderungen:
Für seine Planungssicherheit benötigt der Dienstleister Angaben zum erwarteten Wachstum. Sind Veränderungen absehbar (etwa SAP-Release), sollten SLAs dazu vereinbart werden. Sind künftige Anforderungen hingegen unbekannt, kommt es auf Change-Prozesse an. - 14. Backup und Wiederherstellung:
Jedes System benötigt Backup- und Recovery-Prozesse. Dazu gehört auch geeignetes Personal, so dass die Service-Levels auch dann eingehalten werden, wenn Mitarbeiter ausfallen. Das gilt auch für die Migrationsphase. - 15. Archivierung und Datenspeicherung:
Dienstleister müssen die gesetzlichen und betrieblichen Archivierungsregeln erfüllen. Der Datenzugriff ist regelmäßig zu überprüfen. Ein Archivierungskonzept muss auch die Speichersysteme umfassen. - 16. Business-Recovery und -Continuity:
Die Notfallplanung beinhaltet einen Maßnahmenkatalog für den Schadensfall und beschreibt die Auswirkungen auf Geschäftsprozesse. Zusätzlich sollte eine Risikobewertung den möglichen Schaden klassifizieren. - 17. Security:
Alle Maßnahmen rund um die Sicherheit, die in diesem Service beachtet werden müssen, sollten aufgeführt werden. Oft existieren IT-Sicherheitskonzepte, die Regelungen für solche Fälle enthalten. - 18. Regelmäßige Lagebesprechung:
In der Migrationsphase ist eine intensive Kommunikation zwischen Kunde und Dienstleister wichtig. Zudem sollten im Rahmen regelmäßiger Reviews - in der Regel monatlich - KPIs überprüft werden. - 18. Regelmäßige Lagebesprechung:
In der Migrationsphase ist eine intensive Kommunikation zwischen Kunde und Dienstleister wichtig. Zudem sollten im Rahmen regelmäßiger Reviews - in der Regel monatlich - KPIs überprüft werden. - 19. Unterschrift:
Mit dem Unterzeichnen des SLA-Dokuments übernimmt der Dienstleister die Verantwortung für die ausgelagerten Services. - 20. Kontinuierliche Administration:
Unmittelbar nach Vertragsbeginn startet auch die permanente Kontrolle durch den Kunden. Dazu zählen die Berichte und Abrechnungen. Ein vertraglich vereinbarter Zugang zum Reporting-System des Providers kann Prüfungen vereinfachen.
Ein weiteres wichtiges Kriterium ist die Vertraulichkeit der von einem Workload verarbeiteten Daten. Also die Frage, ob er wichtige Informationen beinhaltet, die auf keinen Fall an die Öffentlichkeit oder in die Hände eines Wettbewerbers gelangen dürfen? Oder handelt es sich beispielsweise um sensible Kundendaten? Ist dies der Fall, muss das Unternehmen dafür sorgen, dass die jeweilige Umgebung genauso wie der Workload selbst höchsten Sicherheitsanforderungen genügt.