Compliance Control Loops setzen Richtlinien automatisch um

Ansprüche an Compliance werden immer komplexer

Heutzutage ist es recht schwierig, Compliance-Standards für moderne Infrastrukturen anzuwenden, wie sie von Handelsverbänden, Konsortien und Regierungen entwickelt wurden. Dem rasanten technologischen Wandel, der zunehmenden Verbreitung von Cloud-basierten Systemen sind diese Strukturen einfach nicht gewachsen. Der Wandel vollzieht sich dabei so schnell, dass die Governance-Richtlinien, die heute noch top-aktuell sind, morgen möglicherweise schon keine Rolle mehr spielen.

Viele Unternehmen lösen dieses Problem auf eher traditionelle Weise: Sie verlangsamen die Abläufe, installieren weitere Hürden und führen immer neue manuelle Genehmigungsprozesse für Produktionsinfrastrukturen ein. Dadurch verringern sie zwar wie gewünscht die Risiken, es gibt aber auch erhebliche Nebenwirkungen. Denn je länger es dauert, bis eine Änderung am Produkt durchgeht, desto schwieriger wird es, schnell auf Probleme zu reagieren.

„Policy-as-Code ist eine geeignete Methode, um gewünschte Zustände zu definieren. Neben den allgemeinen Richtlinien – beispielsweise vom Gesetzgeber – hat jeder Betrieb seine eigenen Regeln, von denen der Erfolg ebenso abhängt.“

Deepak Giridharagopal, Puppet

Wiederum andere Unternehmen nutzen Quasi-Automatisierung zum Durchsetzen der Vorschriften. Sie nutzen Scans, die ihre Assets regelmäßig auf Probleme hinsichtlich der Einhaltung der Vorschriften prüfen.

Zudem setzen sie auf Runbooks ein, die alle Schritte vorschreiben, die Verantwortliche durchführen sollten, um ein bestimmtes Problem zu beheben. Zwar ist dies eine deutliche Verbesserung gegenüber dem bereits vorherigen Ansatz, doch zum einen erfassen diese Scans manche Fehler erst zu spät und zum anderen, kann es immer passieren, dass die vorgegebene Lösungsstrategie scheitert. Darüber hinaus sind manuelle Korrekturen langsam, teuer und fehleranfällig. Richtlinien sind häufig sehr unternehmensspezifisch, Scanner lassen sich aber nicht granular genug an diese anpassen.

Dabei ginge es einfacher: Selbstheilende IT-Systeme versprechen Abhilfe. Sie erkennen Probleme selbstständig und beheben sie automatisiert. Angebote dieser Art gibt es für alle möglichen Betriebs-Tools, vom Konfigurationsmanagement bis zur Containerorchestrierung. Im Bereich Infrastrukturmanagement hat sich beispielsweise die Anwendung von Control Loops als sehr hilfreich erwiesen. Lässt sich dieses Prinzip auf die Compliance übertragen?

Wie müsste ein kontinuierliches Compliance-System beschaffen sein?

Die Überprüfung der Richtlinienkonformität sollte ereignisgesteuert erfolgen und nicht ausschließlich zeitplangesteuert sein. Es muss also in der Lage sein, auf Ereignisse in der Infrastruktur direkt zu reagieren, und kann nicht auf den vorab festgelegten Scan-Zeitpunkt waren.

Policy-as-Code ist eine geeignete Methode, um gewünschte Zustände zu definieren. Neben den allgemeinen Richtlinien – beispielsweise vom Gesetzgeber – hat jeder Betrieb seine eigenen Regeln, von denen der Erfolg ebenso abhängt. Mit Policy-as-Code können Teams diese einfacher erstellen, ändern, weitergeben, begutachten und testen – in einer Weise, die mit dem Rest der modernen Infrastructure-as-Code-Praktiken (IaC) harmoniert.

Das System sollte in der Lage sein, Ereignisse aus allen Tools und Plattformen zu verarbeiten, die für den ordnungsgemäßen Betrieb der Infrastruktur erforderlich sind: Cloud-Plattformen, Containerorchestratoren, CI/CD-Tools, Ticketing-Systeme, Inventarisierungssysteme und so weiter. Dadurch kann das System auf Änderungen auf verschiedenen Ebenen des Stacks und an verschiedenen Punkten im Lebenszyklus der Anwendung reagieren.

Es sollte den Nutzern eine stets aktuelle Bewertung des Compliance-Status ihrer Infrastruktur bieten. Werde Ereignisse in Echtzeit gemeldet und können Verantwortliche in Echtzeit reagieren, ist auch ein Echtzeit-Reporting möglich.

Mit einem solchen System sind Unternehmen für die Compliance-Herausforderungen von morgen gerüstet. Alle dazu nötigen Komponenten sind bereits vorhanden – es gibt eine Vielzahl von Compliance-Scannern, Ereignis-Hubs, Action Engines und Reporting-Tools.

Aus diesem Grund ist es ratsam, vorhandene, punktuelle Lösungen zum Durchsetzen von Vorschriften genau unter die Lupe zu nehmen und stattdessen Systeme in Betracht zu ziehen, die das Erkennen von Problem und Maßnahmen zum Lösen dieser Probleme besser miteinander verknüpfen. So lässt sich das kontinuierliche Einhalten der Vorschriften sichern. Wenn nicht für die Infrastruktur von heute, dann für die von morgen.

Über den Autor:
Deepak Giridharagopal ist CTO von Puppet, einem Unternehmen für Infrastrukturautomatisierung. Seit 2011 leitet er die technische Entwicklung sowie die langfristige technische Strategie von Puppet. Er war an der Entwicklung fast aller wichtigen Produkte im Portfolio von Puppet beteiligt, darunter Puppet Enterprise, PuppetDB, Bolt und Relay. Deepak Giridharagopal bringt fast 20 Jahre Erfahrung in der Entwicklung neuer Produkte, dem Aufbau von Entwicklungsteams und dem Betrieb von Infrastrukturen mit. Bevor er zu Puppet kam, war er ein Engineer bei Dell/MessageOne, wo er bei der Entwicklung und dem Betrieb ihrer gehosteten Produkte half. Deepak hat eine besondere Vorliebe für funktionale Programmierung, autonome Systeme, neuartige Programmiersprachen, Cartoons aus den 1980er/1990er Jahren und Actionfilme.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.