atrete’s Team wächst weiter
Das IT Beratungsunternehmen atrete wächst weiter. So ist vor zwei Monaten ein neuer Kollege zum atrete Team gestossen und verstärkt dort den Bereich Cloud.
Moritz Kuhn ist seit dem 01.12.2021 bei atrete in der Practice Area cloud als Consultant tätig. Zuvor war er mehrere Jahre als System Engineer bei einem Cloud Service Provider beschäftigt. Seine Haupttätigkeiten bestanden aus der Erarbeitung und Implementierung von neuen Services und Automatisierungen sowie dem Onboarding von neuen Kunden. Neben seinem Abschluss als dipl. Techniker HF Informatik besitzt Moritz Kuhn Zertifizierungen im Bereich Microsoft Azure sowie ITIL. Derzeit ist er im letzten Semester zum Bachelor of Science FH in Wirtschaftsinformatik.
Kostenfolgen der Cloud-Strategien
Mit diesem Blog schaffen wir Transparenz, wie sich die Kosten basierend auf den unterschiedlichen Strategien entwickeln können.
Cloud als Business-Enabler
Mittels der Umsetzung einer passender Cloud-Strategie können die Flexibilität, Kosteneffizienz, Skalierbarkeit und Innovationskraft eines Unternehmens wesentlich gesteigert werden. Als Business-Enabler vereinfacht die Cloud, das Mithalten mit einem sich rasch ändernden Marktumfeld. Unterschiedliche Kostenmodelle ermöglichen dabei das Optimieren der entstehenden Kosten. Dank flexibler Anpassungen in Echtzeit kann die Skalierbarkeit der Services auch während Peak-Zeiten gewährleistet werden. Last but not least, ermöglicht die Cloud als Herzstück der Digitalen Transformation durch ihre kontinuierliche und rasche Weiterentwicklung die Innovationskraft, welche die Prämisse für die erfolgreiche Digitalisierung bildet.
Cloud-Strategien
Strategien wie Cloud selective, Cloud first und Cloud only bieten verschiedene Ansätze und Vorgehen für den Weg in die Cloud. Cloud selective sieht die Verschiebung einzelner, unkritischer Services in die Cloud vor. Dieses Vorgehen dient primär zur Gewinnung von Erfahrungswerten und wird anhand «Pay-as-you-go» bedarfsgerecht fakturiert. Die OnPremise Infrastruktur wird dabei durch die Cloud Services ergänzt, jedoch vorerst nicht zurückgebaut. Folglich erhöhen sich die Betriebsressourcen entsprechend um den Cloudanteil.
Cloud first setzt den Fokus strategisch auf die Cloud. Sofern technisch und wirtschaftlich umsetzbar, werden neue und angepasste Services in der Cloud betrieben. Aufgrund dieser sukzessiven Erhöhung des Cloud-Anteils, wird auch dessen Betrieb intensiviert.
Cloud only zielt auf die zeitnahe Ablösung sämtlicher OnPremise Systeme durch die Cloud ab. Der Lift & Shift-Ansatz ermöglicht dabei durch den Einsatz von IaaS (Infrastructure as a Service) eine rasche Verschiebung in die Cloud, ohne dass dabei fundamentale Anpassungen an der Architektur erfolgen müssen.
Kostenfolgen der Cloud-Strategien
Die Umsetzung der genannten Cloud-Strategien verursacht unterschiedliche Kostenentwicklungen in verschiedenen Bereichen. Die Kosten variieren je nach Phase, respektive Zeithorizont der Umsetzung. Die nachfolgende Abbildung illustriert die differenzierte Kostenentstehung und -verteilung pro Strategie auf einen kurz- und mittelfristigen Zeithorizont anhand einer Beispiel-Aufstellung.
Im Rahmen der Cloud selective-Strategie nimmt der Cloud-Anteil durch die selektiven Verschiebungen einzelner Applikation stetig zu. Die Cloud-Kosten erhöhen sich, wobei die OnPremise Infrastruktur nicht oder nur minimal zurückgefahren werden kann. Mit der steigenden Anzahl Produktivsysteme in der Cloud und deren Betrieb müssen entsprechende Ressourcen alloziert werden. Der dabei entstehende Parallelbetrieb von Cloud und OnPremise resultiert in einer kontinuierlichen Kostenzunahme.
Während der Umsetzung der Cloud first-Strategie steigen die Kosten aufgrund der zunehmenden Cloud-Ressourcen und deren Betrieb kurzfristig stark an. Jedoch können die OnPremise Ressourcen nicht im selben Takt reduziert werden. Ein zu langes Verweilen in dieser Phase kann deshalb einen massiven Anstieg der Gesamtkosten zur Folge haben. Die Einleitung verschiedener Massnahmen kann dem Kostenanstieg entgegenwirken. Zum einen muss der sinkende Bedarf an OnPremise-Infrastruktur bei anfallenden Lifecycle-Vorhaben berücksichtigt werden. Die Reduktion eingesetzter Hardware bietet die Möglichkeit von zusätzlichem Optimierungspotenzial im Datacenter (Rack-Space). Zum anderen ermöglicht die Weiterentwicklung des Personals in neue Jobprofile, deren Einsatz für wertschöpfendere Aktivitäten (nebst dem Betreiben noch bestehender OnPremise-Infrastruktur).
Die Kosten in der Umsetzung der Cloud only-Strategie werden voraussichtlich kurzfristig höher ausfallen als die OnPremise-Kosten, sofern die Migration ohne Anpassungen der Systemarchitektur (Lift & Shift-Ansatz) erfolgt. Mittelfristig ermöglichen Optimierungen wie Refactoring und Replacement, ein kontinuierliches Rightsizing der Cloud-Ressourcen sowie die Anwendung geeigneter Verrechnungsmodelle (z.B. “Reservations”), das Einsparen von Kosten. Zugleich sollen bis anhin bestehende Betriebskosten gesenkt, beziehungsweise deren Ressource für wertschöpfende Aktivitäten eingesetzt werden.
Empfehlung
Der Einsatz der Cloud bietet bedeutende Vorteile hinsichtlich Innovationskraft, neuer Technologien, effizienteren Prozessen, höherer Produkt- und Servicequalität sowie Skalierbarkeit. Deren Gewichtung und Bewertung kann, je nach Business-Modell, Gesamtstrategie sowie Grösse eines Unternehmens, unterschiedlich ausfallen.
Sei es Cloud selective, first oder only: Das Controlling und die Optimierung der Kosten sind ein kontinuierlicher Prozess, dem es Beachtung zu schenken gilt. Die Verwaltung der Services und die daraus entstehenden Kosten müssen fortwährend geprüft und optimiert werden. Beispielsweise ermöglichen dies eine erhöhte Kostentransparenz mittels Tagging, Anpassungen an Kostenmodellen, Rightsizing und Scale up/down.
Um das volle Potenzial der Cloud ausschöpfen zu können, müssen die Möglichkeiten und Vorteile, die sich für Ihr Unternehmen durch die Cloud bieten können, stetig abgeglichen und optimiert werden. Zudem übertreffen die Möglichkeiten, welche sich aus der kontinuierlichen und raschen Weiterentwicklung der Cloud ergeben, das Potential einer OnPremise-Landschaft bei weitem.
Dementsprechend sollten Kostenreduktionen nicht den primären Anreiz für den Schritt in die Cloud bilden. Kurzfristig ist immer mit einer Kostenzunahme zu rechnen, mittelfristig kann nur eine Cloud only Strategie zu einem mit heute vergleichbaren Kostenniveau führen. In der pragmatischen Umsetzung einer Cloud first Strategie muss die Reduktion der OnPremise-Kosten möglichst zeitnah erfolgen, damit die Gesamtkosten nicht ausser Kontrolle geraten.
Die Bestimmung und Implementation Ihrer Cloud-Journey und deren Kostenmanagement sind eine grosse Herausforderung, bei welcher wir Sie gerne kompetent begleiten und unterstützen.
Umsetzung Netzwerk-Zonenkonzept in der Praxis
Im einfachsten Fall werden die Server von den Clients getrennt oder es werden äusserst umfangreiche Zonenkonzepte erstellt. Im Wesentlichen geht es immer darum, Systeme mit demselben Zweck und demselben Schutzbedarf in Netzwerkzonen zusammenzufassen. Damit ein Zonenkonzept erfolgreich umgesetzt werden kann, sind bereits bei dessen Erstellung einige Punkte zu beachten.
Zonenkonzept
Bereits bei der Erstellung des Zonenkonzepts sollte nicht der Anspruch bestehen, 100% der in der Praxis auftretenden Fälle abdecken zu wollen. Ein Ausnahmeprozess ist immer notwendig und es muss eine Vorstellung existieren, was sein muss und was mittels Ausnahmeregelung gehandhabt werden kann. Es sollen möglichst wenige Zonen realisiert werden, die in weitere Subzonen unterteilt werden können. Die Anforderungen für neue, zusätzliche Zonen sollen klar und entsprechend hoch sein.
Da es sich bei einer Netzwerkzonierung um ein anspruchsvolles Vorhaben mit höchst unterschiedlichen Anforderungen handelt, ist es wichtig, dass der Auftraggeber für alle Beteiligten weisungsbefugt ist und dass Vorgaben seitens Business, was überhaupt geschützt werden soll, existieren. Es ist äusserst hilfreich, wenn in einer Unternehmung eine Klassifizierung der Daten existiert und man so weiss, was es zu schützen gilt.
Auf Ebene Security, IT-Architektur, Engineering und Betrieb existieren völlig unterschiedliche, nicht kompatible Anforderungen. So muss es für die Security möglichst sicher, für die IT-Architektur und das Engineering möglichst klar und durchgängig strukturiert und für den Betrieb möglichst einfach in der Sache und auch einfach zu handhaben sein.
Zu Beginn eines solchen Vorhabens geht es darum die Begrifflichkeiten festzulegen damit alle Beteiligten das Gleiche unter einem Begriff verstehen. Beispielsweise bedeutet schon der Begriff Netzwerkzone nicht zum Vornherein für alle Beteiligten das Gleiche.
Umsetzung des Zonenkonzepts
Die Umsetzung eines Netzwerk-Zonenkonzepts besteht aus der Konzeptionsphase, dem Aufbau der Sicherheitselemente um die Zonen abzubilden und der Migration der Applikationen, respektive deren Infrastruktur in die verschiedenen Netzwerkzonen.
Für das Bereitstellen der Sicherheitselemente zwischen den Netzwerkzonen wäre es wichtig zu wissen, welche Kommunikationsverbindungen von den Applikationen benötigten werden. Um zu diesen Angaben zu kommen ist es wichtig, dass die Applikationsverantwortlichen bekannt sind und diese die Kommunikationsanforderungen ihrer Applikationen kennen. Es ist jedoch nicht realistisch davon auszugehen, dass dies immer der Fall sein wird. Es gibt unterschiedliche Methoden mit dieser Problematik umzugehen. Eine häufig angewendete Vorgehensweise ist, die bekannten Kommunikationsverbindungen auf den Sicherheitselementen abzubilden und am Ende des Regelwerks eine «forward any» Regel einzubauen. Dies mit dem Ziel, die «forward any» Regel nach dem Migrieren einer Applikation durch spezifische Regeln zu ersetzen und erst dann die nächste Applikation zu migrieren, wenn diese Regel nicht mehr benötigt wird.
Ein Migrationsteam muss in der Lage sein, alle Belange einer solchen Migration abzudecken. Je nach Migrationsvorgehen sind Security- und Netzwerk-Engineers, Applikationsbetreiber und -Tester und auch Lieferanten der Applikation notwendig, um eine Migration erfolgreich durchzuführen. Der Migrationsverantwortliche erstellt das Drehbuch und moderiert die Migration. Das Drehbuch enthält auch immer ein Fallback-Szenario um bei unüberbrückbaren Problemen wieder auf den Status vor der Migration zurückgehen zu können.
Als Teil der Migration muss eine Applikation anschliessend auf ihre Funktion getestet werden. Da solche Migrationen in der Regel ausserhalb der Bürozeiten durchgeführt werden, kann im Rahmen der Migration lediglich die Funktion, jedoch nicht das Verhalten unter Produktionsbedingungen getestet werden.
Um als Migrationsteam nach einer Migration nicht ewig für Incidents einer migrierten Applikation verantwortlich zu sein, gilt es mit dem Betrieb abzusprechen, wann eine Applikation wieder gemäss Standard-Incident-Prozess gehandhabt werden soll.
Unsere Spezialisten haben in unzähligen Projekten von der Konzeptierung über die Einführung bis zur Migration das Know-How aufgebaut und weiterentwickelt. Wir unterstützen Sie, um Ihr Zonierungsprojekt erfolgreich durchzuführen.
Cloud-Security-Monitoring
Doch nicht immer ist bekannt, was in der Cloud passiert, welche Daten sich in der Cloud befinden, ob gerade ein Angriff stattfindet oder Daten gestohlen werden. Um Cloud-Services zu überwachen und Risiken zu minimieren empfiehlt es sich deshalb, ein ganzheitliches Monitoring System einzusetzen. Mittels eines sogenannten Cloud-Security-Monitorings werden Gefahren / Bedrohungen und Risiken überwacht. Bei Bedarf kann schnell und effizient alarmiert und somit umgehend reagiert werden, um Gegenmassnahmen einzuleiten.
Schwerpunkt
Der Schwerpunkt eines Cloud-Security-Monitorings liegt in der ganzheitlichen Überwachung der Cloud-Infrastruktur sowie einer vollständigen Integration des Monitorings in die Security- oder SOC-Infrastruktur einer Organisation. Für die Planung eines erfolgreichen Cloud-Security-Monitorings ist es essentiell, dass aufgezeigt und abgeklärt wird, mit welchen technischen Mitteln, die von der Organisation identifizierten Risiken überwacht werden können. Dies erfordert eine genaue Analyse der bestehenden Sicherheitstools und eine Bewertung dieser, damit beurteilt werden kann, wie die identifizierten Risiken überwacht werden können. Ein Cloud-Security-Monitoring lebt von seinen Datenzulieferern. Das Monitoring selbst kann nur die ihm zugeführten Events und Logs verarbeiten und analysieren. Datenlieferanten und somit auch die Grundlage für das Monitoring sind IDS & IPS, DLP Systeme, Identity & Access Management, Cloud Assets (IaaS, Paas, Saas), Security Gateways,
Um keinen Overhead bei der Überwachung zu schaffen, gilt es den Grad der Überwachung dem Schutzbedarf der Daten, respektive des zu schützenden Objektes anzupassen. Einer der wichtigsten Sicherheitsperimeter in der Cloud ist jedoch die Identität. Sie ist zentral um Berechtigungen vergeben zu können oder zu steuern, wer wo und wie Zugriff auf bestimmte Daten erhalten soll. Um die Aktivitäten in der Cloud überwachen zu können ist daher der Einsatz von eindeutigen Identitäten über sämtliche Infrastrukturumgebungen hinweg besonders wichtig. Eine weitere zentrale Komponente ist das Asset-Management System. Dieses dient zur Identifikation der zu überwachenden Cloud-Komponenten. Sind diese Voraussetzungen geschaffen, kann ein erfolgreiches Cloud-Security-Monitoring aufgebaut und vorzugsweise in das zentrale SIEM-System eingebunden werden. Somit können Zusammenhänge von Ereignissen erkannt und die Effizienz des Cloud-Security-Monitorings gesteigert werden.
Ein nach diesen Prämissen aufgebautes Cloud-Security-Monitoring System weist die nachfolgenden Vorzüge aus:
- Die Visibilität über den Security Zustand der Cloud-Services wird hergestellt.
- Durch das Überwachen von im Voraus definierten Pollices kann die Compliance sichergestellt werden.
- Es können Gefahren durch Threat Detection, Threat Hunting und Incident Response detektiert und Massnahmen definiert werden.
Es gibt verschiedene Möglichkeiten, wie ein Cloud-Security-Monitoring aufgebaut werden kann. Dies hängt stark von den individuellen Bedürfnissen und den Voraussetzungen der jeweiligen Organisation ab.
Basierend auf unserer Erfahrung in Hybriden Cloud Umgebungen (Azure, AWS, GCP) planen wir gerne mit Ihnen Ihr individuelles Cloud-Security-Monitoring System.
atrete verstärkt ihr Beratungsteam im Bereich Cloud
Die IT-Consultingfirma atrete wächst weiter und verstärkt sich mit Patrik Huber im Bereich Cloud Beratung.
Patrik Huber arbeitet seit 1.2.2020 als Consultant bei atrete. Er besitzt einen Hochschulabschluss als Master of Science FHO in Wirtschaftsinformatik. Vor atrete war er mehrere Jahre beim Migros-Genossenschafts-Bund tätig, zuletzt in einer Schlüsselrolle bei der Einführung von Cloud Lösungen.
«Wir sind sehr erfreut, dass Patrik Huber unser Team verstärkt», sagt Michael Kaufmann, CEO und Managing Partner der atrete. Die Nachfrage nach Cloud-Beratung bleibt trotz oder auch wegen der Corona Pandemie weiterhin hoch.»
Michael Kaufmann, CEO und Managing Partner
Medienkontakt:
at rete ag
Marlene Haberer
Telefon: +41 44 266 55 83
Email: marlene.haberer@atrete.ch