Eingabehilfen öffnen

  • Inhaltsskalierung 100%
  • Schriftgröße 100%
  • Zeilenhöhe 100%
  • Buchstabenabstand 100%
Weg in die Cloud

Wie kommen wir in die Cloud?
… und wie wieder raus

Wie kommen wir in die Cloud?
… und wie wieder raus

  1. Startseite
  2. public magazin
  3. Wie kommen wir in die Cloud? … und wie wieder raus

ZURÜCK

Leitfaden für eine iterative Cloud-Transformation und einen sicheren Cloud-Nutzungsprozess

Zuerst erschienen in der .public Ausgabe 02/2023

von Tim Pommerening


Cloud hier, Cloud da: Die Transformation von Diensten in die Cloud und die Nutzung dieser Dienste hat im vergangenen Jahrzehnt stark an Bedeutung gewonnen. Immer mehr Unternehmen und Organisationen erkennen Vorteile darin und stehen vor der Herausforderung, ihre vorhandene Software- Infrastruktur in eine Cloud-Umgebung zu transformieren. Wie jede Veränderung birgt das Chancen und Risiken. Gerade im öffentlichen Sektor stellt sich sofort die Frage nach der „digitalen Souveränität“ (siehe dazu auch den Beitrag „Souverän aus dem Risiko“ von Jürgen Fritsche in Ausgabe 01-2023)1 und überhaupt fällt es bei der Vielzahl der Möglichkeiten schwer, irgendwo anzufangen. Denn wie schon Erich Kästner sagte: „Je üppiger die Pläne blühen, um so verzwickter wird die Tat.“

Im Center of Competence Architektur des msg Public Sector haben wir daher ein iteratives, sich selbst verbesserndes Modell entwickelt, das dabei helfen soll, den Weg in die Cloud zu ebnen: Ein Leitfaden für eine Transformation von Diensten in die Cloud und deren Betrieb in der Cloud bis zur Beendigung der Nutzung.

Für wen das Ganze?

Kleinere Verwaltungseinheiten wie Kommunen oder Regionalverwaltungen haben aktuell vermutlich einen größeren Bedarf an Cloud-Nutzung und treiben das Thema schneller voran als die großen Bundesbehörden, die sich über die Jahre hinweg standardisierte Architekturen in den Rechenzentren aufgebaut haben und mit viel mehr Arbeitskraft ihre IT auch aufwändiger betreiben können als kleine Einheiten. Kleinere Verwaltungseinheiten tragen zudem den Großteil an Bürgerkontakten und nicht zuletzt dank des Onlinezugangsgesetzes auch den Druck, diese Prozesse zu digitalisieren und das oft ganz ohne eigene Rechenzentren. Dennoch wird auch in den Bundesbehörden das Thema Cloud seit einigen Jahren aktiv diskutiert.

Artikel05 01 Cloud Transformations und Nutzungsprozess
Abb. 1: Cloud-Transformations- und -Nutzungsprozess

 

Es gibt im Rahmen der Verwaltungscloud-Strategie Bestrebungen zum Aufbau von privaten Clouds, wie die Bundescloud2 oder die seit vorigem Jahr stark in der Presse vertretene, auf Microsoft Azure basierende, von SAP und Arvato im Aufbau befindliche Delos-Cloud3. Zweitere verspricht eine private Cloud für den öffentlichen Sektor zu werden. Kurzum: Das Thema wird im öffentlichen Sektor Fahrt aufnehmen.


Unser Ansatz

Unser Ansatz ist ein Vorgehensmodell, das speziell auf die iterative Cloud-Transformation vieler Dienste, etwa einer ganzen Anwendungslandschaft, abzielt. Es hat das Ziel, mit jeder Migration eines Dienstes auf bewährte Vorgehen, Erfahrungen und Ergebnisse aus früheren Transformationen zurückgreifen zu können, um so mit jeder Iteration routinierter und damit auch sicherer und schneller zu werden. Das bedeutet natürlich auch, dass die Pilotinnen und Pioniere der Cloud-Transformation mehr Arbeit aufwenden müssen als Nachfolgende. Das Modell besteht aus einem Kern, der die Cloud-Strategie darstellt, sowie zwei darum herumliegenden Schalen. Die innere Schale heißt Cloud Base und sammelt alles Wiederverwendbare. Die äußere Schale heißt Cloud Service Lifecycle und beschreibt die Transformation und den Lebenszyklus eines einzelnen konkreten Dienstes.


Der Kern ist die Cloud-Strategie

Der Kern des Modells und damit Ausgangspunkt allen Handelns ist eine Cloud-Strategie. Bevor eine Cloud-Transformation beginnen kann, ist es von entscheidender Bedeutung, eine klare Strategie zu entwickeln. Hierbei geht es darum, die Geschäftsziele und den erhofften Nutzen einer Cloud-Transformation zu definieren und sich über die Ausgangsposition und Rahmenbedingungen im Unternehmen bewusst zu werden. Neben inhaltlichen Zielen wie der Wahl des richtigen Cloud-Bereitstellungsmodells, dürfen auch organisatorische Aspekte wie vorhandene Skills der Mitarbeitenden nicht vergessen werden. Die Cloud-Strategie legt den Grundstein für alle weiteren Schritte und Entscheidungen im Rahmen der Transformation.


Die innere Schale konserviert Erfahrung und Wissen

Die innere Schale des Modells nennen wir Cloud Base. Sie enthält Bausteine, die für eine Transformation von konkreten Diensten in die Cloud wichtig sind, aber nicht jedes Mal neu erfunden werden müssen. Ziel dieser Schale ist es, nach jedem transformierten Dienst die Sammlung an bewährten Mustern, Vorgehen und Templates zu erweitern, sodass später transformierte Dienste wie in einem gut sortierten Werkzeugkasten darauf zugreifen können. Auf diese Weise profitieren spätere Transformationsprojekte von der Arbeit ihrer Vorgänger. Sie müssen fehlende Bausteine ergänzen, wenn sie die ersten für eine Situation sind, können aber passende bestehende Bausteine nutzen. Der Vorteil dabei ist, dass vorhandene Bausteine mit Bezug zur Praxis entstanden sind, was deren zukünftigen potenziellen Nutzen erhöht. Die Schale Cloud Base bringt die vier Themenbereiche „Sicherheitskonzepte“, „Betriebskonzepte“, „Anbieterportfolio“ sowie „Betrieb, Governance, Management“ mit.

Sicherheitskonzepte: Die Sicherheitskonzepte sind zwar für konkrete Dienste individuell zu erstellen, jedoch können Good Practices verallgemeinert werden. Ebenso können verschiedene Templates für konkrete Sicherheitskonzepte entstehen, abhängig etwa vom festgestellten Schutzbedarf oder von Bedrohungsanalysen. Hierbei kann initial auf bewährte BSI-Bausteine4 aufgebaut werden, um eine solide Sicherheitsgrundlage für die Cloud-Infrastruktur zu schaffen. Der konkrete BSI-Baustein für die Cloud ist „OPS.2.2 Cloud-Nutzung“.

Betriebskonzepte: Die Betriebskonzepte beschäftigen sich mit der Frage: „Kann der zu transformierende Dienst in der Cloud sicher genutzt werden?“ Betriebskonzepte legen die betrieblichen Vorgaben und Rahmenbedingungen fest, die für einen reibungslosen Cloud-Betrieb erforderlich sind. Hierbei werden Standards, Anforderungen und allgemein betriebliche Aspekte definiert, um eine effiziente Nutzung der Cloud-Ressourcen zu gewährleisten. In den Werkzeugkasten kommen auch hier Templates und bewährte Vorgehen, sodass es nach und nach immer einfacher wird, betriebliche Fragen für neu zu transformierende Dienste zu beantworten.

Anbieterportfolio: In diesem Bereich geht es um die Auswahl und das Management der Cloud-Anbieter. Wir können davon ausgehen, dass sich bei einer Multicloud-Strategie im Laufe der Zeit eine kleine Auswahl an bevorzugten Cloud-Anbietern herausbildet. Diese werden anhand vorher festgelegter Kriterien wie bestimmter Zertifizierungen oder Rechtskonformität für bestimmte Situationen ausgewählt. Das Anbieterportfolio ermöglicht es, auf bereits etablierte Cloud-Anbieter zurückzugreifen und erleichtert somit zukünftige Transformationen. Ein festes Portfolio kann bei einer Multicloud-Strategie für den öffentlichen Sektor auch dann erhebliche zeitliche Vorteile bringen, wenn Rahmenverträge genutzt und nicht für jede Transformation Anbieter neu ausgeschrieben werden müssen.

Betrieb, Governance, Management: Dieser Bereich definiert die Verantwortlichkeiten und Prozesse im Zusammenhang mit dem Betrieb der Cloud-Dienste. Je nach gewähltem Cloud-Bereitstellungs- und -Servicemodell variieren die Verantwortlichkeiten zwischen den Nutzenden und dem Cloud-Dienstleister. Hier werden die spezifischen Anforderungen und Prozesse für den reibungslosen Betrieb der Cloud-Dienste festgelegt. Auch dieser Bereich soll sich nach und nach mit bewährten Vorgehensweisen für verschiedene Situationen auffüllen.


Artikel05 02 Grobstruktur des Microsoft Cloud Adaption Framework für AzureAbb. 2: Grobstruktur des Microsoft Cloud Adaption Framework für Azure (Quelle: Microsoft Cloud Adoption Framework für Azure)


Die äußere Schale: Cloud Service Lifecycle

Die äußere Schale nennen wir Cloud Service Lifecycle. Sie befasst sich mit dem konkreten Lebenszyklus eines Dienstes in der Cloud und basiert auf der darunter liegenden Schale Cloud Base und dem Cloud-Strategie-Kern. Der Cloud Service Lifecycle umfasst mehrere Phasen, die den gesamten Lebenszyklus eines Cloud-Dienstes von der Migration bis zu seiner Beendigung abdecken. Tätigkeiten fallen hier also konkret für jeden einzelnen zu transformierenden Dienst an. Dabei kann aber auf das bisher angesammelte Wissen der Cloud Base zurückgegriffen und vorhandene Bausteine können genutzt oder adaptiert werden. Durch die immer neue Nutzung bewährter Konzepte der Cloud Base entsteht so mehr Geschwindigkeit für zukünftige Migrationen und mehr Sicherheit im laufenden Betrieb. Die Schale Cloud Service Lifecycle definiert mit den vier Themenbereichen „Service-Definition“, „Planung Migration“, „Vertrag/Kostenplan“ und „Migration“ den Weg in die Cloud. Mit den Themenbereichen „Betrieb“ und „Beendigung“ begleitet sie einen sicheren Betrieb und plant auch wieder den Weg aus der Cloud heraus.

Service-Definition: Eine Bestandsaufnahme des Dienstes mit relevanten Aspekten für die Cloud-Transformation. Die hier festgehaltenen Anforderungen an den Dienst sind die Voraussetzung, um in den Folgeschritten einen passenden Cloud-Anbieter auswählen und die Migration planen zu können. Dies umfasst eine Schutzbedarfsfeststellung, Schnittstellenanforderungen, Last- und Verfügbarkeitsanforderungen, SLAs (Service Level Agreements) und andere relevante Faktoren.

Planung der Migration: Basierend auf den erhobenen Informationen der Service-Definition unter Berücksichtigung der Sicherheitskonzepte, Betriebskonzepte und des Anbieter-Portfolios entsteht ein konkreter Plan für den jeweiligen Dienst. Dabei werden vorhandene Bausteine und Konzepte aus der Cloud Base genutzt, sofern sie den Anforderungen des Dienstes entsprechen. Die Planung umfasst auch einen Kosten-Check, die Überarbeitung von Verträgen und die Anpassung von Schnittstellen, um die Sicherheitsanforderungen zu erfüllen. Am Ende dieser Phase wird eine Go-/No-Go-Entscheidung getroffen, um den Start der Transformation zu bestätigen.

Vertrag/Kostenplan: Neben den spezifischen Tätigkeiten für die Planung der Migration müssen die Kosten anhand der in der Service-Definition ermittelten Kapazitäten geplant werden. Es kann erforderlich sein, bestehende Verträge anzupassen oder neue Verträge für die Auftragsdatenverarbeitung zu erstellen. Die Kostenplanung ermöglicht es, die finanziellen Aspekte der Cloud-Transformation zu berücksichtigen und die Ausgaben entsprechend zu kontrollieren.

Migration: Die Umsetzung des zuvor geplanten Migrationskonzepts. Diese kann vom Aufwand sehr unterschiedlich ausfallen. Je nach Art des Dienstes und des angestrebten Cloud-Bereitstellungsmodells können verschiedene Ansätze wie „lift and shift“ oder gar eine umfassendere Neugestaltung des Dienstes erforderlich sein. Während der Migration werden Schnittstellen angepasst, Sicherheitsanforderungen umgesetzt und die vorhandene Softwareinfrastruktur wird in die Cloud übertragen.

Betrieb: Nach der erfolgreichen Migration beginnt der Betrieb des Cloud-Dienstes. Die in der Cloud-Base-Schale definierten Vorlagen für Betriebskonzepte werden angewendet oder erweitert, um einen reibungslosen und effizienten Betrieb sicherzustellen. Je nach Cloud-Bereitstellungsmodell variieren die Verantwortlichkeiten zwischen den Nutzenden und dem Cloud-Dienstleister.

Beendigung: Zuletzt muss auch das Lebensende des Dienstes bei einem spezifischen Cloud-Dienstleister vorbereitet werden. In dieser Phase werden die Daten an den Dateneigner zurückübertragen, die entsprechenden Cloud-Ressourcen sicher gelöscht und Laufzeitverträge angepasst.

Artikel05 03 Schematischer Ueberblick ueber einen sicheren Cloud NutzungsprozessAbb. 3: Schematischer Überblick über einen sicheren Cloud-Nutzungsprozess (Quelle: BSI-Broschüre: „Sichere Nutzung von Cloud-Diensten“)

Herleitung des Modells

Das gezeigte Modell basiert auf der BSI-Broschüre „Sichere Nutzung von Cloud-Diensten“5 sowie dem Modell „Microsoft Cloud Adaption Framework für Azure“6.

Microsoft setzt den Fokus auf eine Migration in seine eigene Cloud. Dennoch bietet das „Cloud Adaption Framework“ viele praktische Werkzeuge, Hilfen und Denkanstöße, die so allgemeingültig sind, dass sich ein Blick in diesen Werkzeugkasten auch für Transformationen in private Clouds lohnen kann. Vom „Cloud Adaption Framework“ haben wir den iterativen Charakter in unser Vorgehensmodell übernommen. Natürlich steht auch bei diesem Modell die Strategie im Zentrum. Ansonsten ist das Modell auf der Flughöhe der Abbildung eher abstrakt gehalten.

Artikel05 04 Gemeinsamkeiten und Unterschiede der ModelleAbb. 4: Gemeinsamkeiten und Unterschiede der Modelle


Die BSI-Broschüre zielt speziell auf den öffentlichen Sektor ab. Sie beschreibt dabei den Cloud-Lebenszyklus für einen einzelnen Dienst und benennt Tätigkeiten, die sich zum Teil auf das Modell von Microsoft abbilden lassen, aber auch darüber hinausgehen, weil sich Tätigkeiten wie eine Anbieterauswahl aus Sicht von Microsoft erübrigen. Sie erklärt jeden der gezeigten Schritte dazu im Detail.

Wir haben die Stärken beider Quellen in unserem Leitfaden kombiniert, der dabei helfen soll, eine ganze Anwendungslandschaft an Diensten iterativ in eine Cloud zu überführen. Die für jeden Dienst immer wiederkehrenden querschnittlichen Tätigkeiten aus der BSI-Broschüre wurden dabei in der inneren Schale angesiedelt, während sich konkrete Tätigkeiten im Lebenszyklus des Dienstes in der äußeren Schale wiederfinden.


Fazit

Die Cloud-Transformation stellt Unternehmen vor große Herausforderungen, bietet aber auch immense Chancen. Unser Leitfaden bietet eine strukturierte Herangehensweise, wie eine solche Transformation von einem ganzen Zoo an Diensten Schritt für Schritt gelingen kann. Er legt den Fokus auf die Entwicklung einer klaren Cloud-Strategie und ermöglicht es, vorhandene Konzepte und Erfahrungen wiederverwendbar zu machen. Durch die detaillierte Planung und Umsetzung im Cloud Service Lifecycle können Unternehmen die Vorteile der Cloud effizient nutzen und ihre IT-Infrastruktur optimieren. Das zugrundeliegende Modell ist flexibel und kann an die individuellen Bedürfnisse und Prozesse angepasst werden, um eine maßgeschneiderte Cloud-Transformation zu ermöglichen. Das Modell eignet sich grundsätzlich für jedes Bereitstellungsmodell (Private-, Community-, Public-, Hybrid- und Multicloud) und Servicemodell (IaaS, PaaS, SaaS, XaaS) entsprechend den Anforderungen aus der Cloud-Strategie.


Quellen

1 Fritsche, Jürgen: Souverän aus dem Risiko, www.msg.group/public-magazin, 2023 (abgerufen am 01.06.2023).
2 Informationstechnikzentrum Bund: Die Bundescloud – eine exklusive, private Cloud für die Bundesverwaltung, www.itzbund.de (abgerufen am 01.06.2023).
3 Delos Cloud GmbH: Gemeinsam souverän – Die Cloud für den öffentlichen Dienst, www.deloscloud.de (abgerufen am 01.06.2023).
4 Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Bausteine Edition 2023, www.bsi.bund.de, 2023 (abgerufen am 01.06.2023).
5 Bundesamt für Sicherheit in der Informationstechnik: Sichere Nutzung von Cloud-Diensten www.bsi.bund.de, 2016 (abgerufen am 01.06.2023).
6 Microsoft Corporation: Microsoft Cloud Adaption Framework für Azure, microsoft.com (abgerufen am 01.06.2023).

Autor

Blog Author:Tim Pommerening

Tim Pommerening

Er ist seit fast 20 Jahren als Software-Entwickler und IT-Architekt in verschiedenen Branchen unterwegs, hat programmiert, fachliche und technische Architekturen entwickelt und als Konsolen-Enthusiast schon in DevOps-Teams gearbeitet, als es den Begriff noch gar nicht gab. In der Rolle des IT-Architekten ist er in sehr großen, aber auch kleinen IT-Projekten unterwegs und hat in der Entwicklung und Beratung schon alle Flughöhen zwischen Enterprise Architekturmanagement und Schichtenarchitektur mitgemacht. Seit langer Zeit ist er auch im Center of Competence Architektur des msg Public Sectors tätig, für das er regelmäßig Artikel zum .public Magazin beisteuert.

Off Canvas neohelden msg CD