So implementieren Sie ein gutes Cloud Governance Framework

Was ist Cloud Governance und warum ist sie wichtig?

Cloud Governance ist eine Reihe von Praktiken, die Unternehmen dabei helfen, die Vorteile der Cloud voll auszuschöpfen und gleichzeitig die Risiken unter Kontrolle zu halten. Sie umfasst heute nicht mehr nur klassische Aspekte wie Sicherheit, Kosten und Betrieb, sondern auch Themen wie KI-Governance, Nachhaltigkeit (GreenOps) und automatisierte Richtliniendurchsetzung (Policy as Code).

Eine effektive Cloud Governance ermöglicht Folgendes:

• Benutzer arbeiten in der Cloud so, wie sie es möchten.
• Der Cloud-Betrieb ist effizienter.
• Die Cloud-Nutzung ist wirtschaftlicher.
• IT-Abteilungen und Sicherheitsteams können Cloud-Bereitstellungen überwachen und bei Bedarf Korrekturen vornehmen.
• Das Unternehmen minimiert das Risiko von Datenverletzungen.
• Compliance-Anforderungen aus neuen regulatorischen Rahmenwerken (etwa NIS2, DORA oder AI Act) können einfacher erfüllt und nachgewiesen werden.

Ein Cloud Governance Framework ist keine neue Reihe von Konzepten oder Praktiken, sondern lediglich die Anwendung bestehender Governance-Praktiken auf Cloud-Betriebe. Beachten Sie, dass Cloud Governance auf jede Cloud-Architektur oder jeden Strategietyp angewendet werden kann. Unabhängig davon, ob Sie nur Public Clouds wie AWS und Microsoft Azure verwenden, auf eine Private Cloud setzen oder eine Mischung aus beiden Modellen in einer hybriden Strategie einsetzen, kann Cloud Governance dazu beitragen, ein optimales Gleichgewicht zwischen den Risiken und Vorteilen der Cloud-Nutzung zu erreichen.

So implementieren Sie ein Cloud Governance Framework

Es gibt keinen einheitlichen Ansatz für die Implementierung von Cloud Governance, da die Cloud-Ressourcen, Geschäftsprozesse und Risikotoleranz jedes Unternehmens unterschiedlich sind. Dennoch lässt sich der Aufbau eines Cloud Governance Frameworks in der Regel auf die folgenden wichtigen Schritte reduzieren:

Bewertung der Cloud-Risiken

Analysieren Sie die Cloud-Ressourcen und -Konfigurationen, um festzustellen, wo die Risiken liegen.

Beispielsweise könnte eine Überprüfung der Cloud-Datenspeicherdienste sensible Datenbestände aufdecken, die das Unternehmen schützen sollte, um Datenverstöße zu verhindern. Die Überprüfung könnte auch Probleme mit der Datenqualität aufdecken, die durch Governance-Maßnahmen ebenfalls gemindert werden könnten.

Ebenso könnte die Bewertung von in der Cloud gehosteten virtuellen Maschinen (VMs) Risiken im Zusammenhang mit Netzwerkkonfigurationen oder unsicheren Betriebssystemumgebungen aufzeigen.

Es sollte auch eine Risikoanalyse für generative KI-Modelle, automatisierte Workflows und API-Integrationen Bestandteil dieser Bewertung sein, da diese zunehmend sicherheits- und Compliance-relevant sind.

Risikotoleranzstufen definieren

Nachdem Sie die Risiken identifiziert haben, entscheiden Sie, welche davon durch Cloud-Governance-Richtlinien verwaltet werden sollen.

Wichtig ist, dass sich dieser Prozess darauf konzentriert, ein Gleichgewicht zwischen akzeptablen Risiken und realisierbaren Governance-Praktiken herzustellen. Unternehmen sollten damit rechnen, dass sie gewisse Risiken tolerieren müssen, da sie diese nicht vollständig vermeiden können. Ein effektives Cloud Governance Framework kann jedoch die Risiken in den für das Unternehmen wichtigsten Bereichen minimieren. Insbesondere bei KI-basierten Anwendungen ist es wichtig zu definieren, welche Risiken (etwa Bias, Modell-Drift oder unkontrollierte Datenweitergabe) akzeptabel sind und welche nicht.

Cloud-Governance-Richtlinien definieren

Als Nächstes sollten Governance-Richtlinien formuliert werden. Governance-Richtlinien sind formale Beschreibungen der Ziele, die das Unternehmen in Bereichen wie Effizienz, Kosteneffizienz und Sicherheit erreichen möchte.

In der Regel konzentrieren sich Governance-Richtlinien auf das gewünschte Governance-Ergebnis, ohne jedoch genau zu beschreiben, wie dieses Ergebnis erreicht werden soll (dies ist der Zweck von Verfahren, auf die hier noch eingegangen wird). Eine Richtlinie zur Data Governance in der Cloud könnte beispielsweise besagen, dass das Unternehmen die Speicherung sensibler Daten ohne Verschlüsselung vermeiden wird. Sie beschreibt jedoch nicht, wie sensible Daten gefunden oder welche Tools zu ihrer Verschlüsselung verwendet werden sollen.

Die Trennung von Richtlinien und Verfahren ist sinnvoll, da übergeordnete Governance-Ziele in der Regel unverändert bleiben, sich Technologien jedoch schnell ändern. In Richtlinien definieren Sie Ziele, während Sie in Verfahren die spezifischen Technologien beschreiben, mit denen diese Ziele erreicht werden sollen.

In vielen Fällen verfügen Unternehmen bereits über Governance-Richtlinien, die sie zur Verwaltung lokaler Ressourcen implementiert haben. In diesem Fall können diese Richtlinien möglicherweise auch auf die Cloud ausgeweitet werden.

Wenn die bestehenden Richtlinien jedoch nicht gut auf die besonderen Herausforderungen der Cloud abgestimmt sind – wie beispielsweise die Verwaltung hochkomplexer Cloud-Rechnungen oder die Leistung von Workloads, die auf einer Infrastruktur gehostet werden, die jemand anderem gehört –, sollten Sie ihre Richtlinien von Grund auf neu erstellen. Berücksichtigen Sie dabei auch Anforderungen aus NIS2, DORA oder dem AI Act, um Richtlinien konform zu gestalten.

Festlegen von Governance-Verfahren

Als Nächstes erstellen Sie Governance-Verfahren, um die Tools und Praktiken zu definieren, die zur Erreichung der in den Governance-Richtlinien festgelegten Ziele erforderlich sind.

Eine Richtlinie zur Cloud-Daten-Governance könnte beispielsweise die Datenermittlungs-Tools und -prozesse beschreiben, die ein Unternehmen zur Verfolgung sensibler Daten verwenden sollte, sowie die Art und Weise, wie diese Daten verschlüsselt werden.

Heute werden Governance-Prozesse zunehmend mit Policy-as-Code-Ansätzen automatisiert. Dabei werden Richtlinien maschinenlesbar implementiert und kontinuierlich überprüft, zum Beispiel mit Tools wie Open Policy Agent (OPA), Terraform Sentinel oder AWS Config Rules.

Überprüfen und aktualisieren der Richtlinien

Um sicherzustellen, dass Governance-Richtlinien und -Verfahren angesichts sich ändernder Risiken, Prioritäten und Technologien auf dem neuesten Stand bleiben, sollten Sie diese regelmäßig überprüfen. Im Allgemeinen sollten Governance-Überprüfungen mindestens einmal jährlich stattfinden, obwohl einige Unternehmen sie sogar vierteljährlich durchführen.

Aufgrund der schnellen Entwicklung neuer Cloud-Dienste, KI-Funktionen und gesetzlicher Anforderungen ist heute eine häufigere Überprüfung (beispielsweise vierteljährlich) empfehlenswert.

Was sind die Grundsätze der Cloud Governance?

Eine Cloud-Management-Strategie muss mehrere wichtige Aspekte der Cloud Governance berücksichtigen, die für die Einrichtung geeigneter Kontrollen und die Optimierung der Cloud-Nutzung unerlässlich sind.

Zu den wichtigsten Grundsätzen der Cloud Governance gehören:

• Sicherheits- und Compliance-Management
• Finanzmanagement
• Betriebsmanagement
• Datenmanagement
• Leistungsmanagement
• Asset- und Konfigurationsmanagement
• KI- und Modell-Governance
• Nachhaltigkeits- und Energieeffizienzmanagement

Diese Ziele sind nicht isoliert und unabhängig voneinander, sondern beeinflussen und schränken sich in einigen Fällen gegenseitig ein. Datenmanagement und Sicherheit sind miteinander verflochten. Betriebsmanagement und Kostenkontrolle überschneiden sich und beeinflussen sich gegenseitig, während das Betriebsmanagement auch dazu beiträgt, die Umsetzung von Richtlinien zum Data Lifecycle Management in einem Unternehmen zu gestalten. Entwickler und Produktmanager können einen speziellen Dienst zum Schutz vor Datenverlust wählen, um die Sicherheit zu erhöhen, aber dieser kann unter Umständen unerwartet teuer sein.

Darüber hinaus beeinflussen neue Faktoren wie Energieeffizienz oder Nachhaltigkeitsziele zunehmend Governance-Entscheidungen: etwa, ob Workloads in Rechenzentren mit erneuerbarer Energie betrieben oder KI-Modelle energieoptimiert trainiert werden sollen.

Lassen Sie uns die einzelnen Aspekte eines Cloud Governance Frameworks und deren Umsetzung durchgehen.

1. Sicherheits- und Compliance-Management

Cloud Governance umfasst dieselben Sicherheitsthemen wie alle anderen Sicherheitsmaßnahmen in Unternehmen: Risikobewertung, Identitäts- und Zugriffsmanagement (IAM), Datenverschlüsselung und Schlüsselverwaltung, Anwendungssicherheit, Notfallplanung und viele andere Bereiche. Aus Sicht der Governance bestimmen Geschäftsziele und Vorschriften die Ziele der Informationssicherheitspraktiken.

Viele Organisationen setzen zusätzlich auf Zero-Trust-Architekturen, bei denen keinem Benutzer, Gerät oder Dienst standardmäßig vertraut wird, selbst innerhalb des eigenen Netzwerks. Dieses Prinzip wird inzwischen auch von Anbietern wie Microsoft, Google oder AWS aktiv unterstützt und gilt als Best Practice für Cloud-Sicherheit.

Wenn Sie Informationssicherheitspraktiken formulieren, sollten Sie sich darüber im Klaren sein, dass Sie Kompromisse zwischen geschäftlicher Zweckmäßigkeit und Sicherheitsrisiken eingehen müssen. Sie können beispielsweise versuchen, alle mittleren und schweren Schwachstellen in Ihren Anwendungen zu beseitigen, müssen dann aber IT-Ressourcen von der Entwicklung neuer Funktionen auf die Behebung von Codeschwachstellen verlagern. Bringen Sie die Produktentwicklung und andere geschäftliche Überlegungen mit den für Ihr Unternehmen geltenden behördlichen und sicherheitsrelevanten Vorschriften in Einklang.

Ein Governance-Modell sollte auf bestehenden Governance-Richtlinien und -Frameworks aufbauen, einschließlich Cybersicherheit, Datenschutz und Risikomanagement. Beispielsweise verweisen die Cybersicherheitsressourcen des National Institute of Standards and Technology (NIST) auf Frameworks für diese drei Bereiche. Nutzen Sie außerdem die spezialisierten Sicherheitsdienste Ihres Public-Cloud-Anbieters, um das Risiko von Datenlecks, Denial-of-Service-Angriffen und anderen häufigen Bedrohungen zu mindern.

Berücksichtigen Sie auch neue gesetzliche Anforderungen wie die EU-Richtlinie NIS2 (erweiterte Meldepflichten und Sicherheitsmaßnahmen für kritische Dienste), den DORA (für Finanzdienstleister) oder den AI Act (regelt insbesondere den Umgang mit KI-Systemen und Trainingsdaten). Diese Vorgaben müssen integraler Bestandteil der Cloud-Sicherheitsstrategie sein.

2. Finanzmanagement

Eine unwillkommene Bewährungsprobe in der Unternehmens-IT ist es, die erste zu hohe Cloud-Computing-Rechnung zu überstehen. Cloud-Dienstleister und Befürworter argumentieren zu Recht, dass Cloud-Dienste finanziell sinnvoller sind als der Kauf und die Verwaltung einer eigenen Infrastruktur. Das ist richtig, aber nur, wenn Sie Ihre Cloud-Kosten mit sorgfältigen Richtlinien und Berichten effektiv kontrollieren.

Hier setzt sich zunehmend der Ansatz des FinOps (Financial Operations) durch: eine Kombination aus Prozessen, Tools und interdisziplinärer Zusammenarbeit, um Cloud-Ausgaben transparent, vorhersagbar und optimiert zu gestalten. FinOps-Teams arbeiten dabei meist funktionsübergreifend zwischen IT, Controlling, Produktmanagement und DevOps.

Finanzmanagementrichtlinien bieten einen Rahmen für geschäftliche Entscheidungen über Cloud-Ressourcen. Beispielsweise könnte ein Unternehmen so weit wie möglich Managed Services nutzen, um die Betriebskosten zu senken. Ein anderes Unternehmen könnte eine Checkliste mit Kostenmanagementschritten erstellen, die vor der Bereitstellung eines neuen Dienstes in einer Public Cloud zu befolgen sind.

Im Zusammenhang mit der Budgetierung kann es schwierig sein, die Cloud-Kosten zu schätzen, da die benötigten detaillierten Informationen oft auf mehrere Dienste verteilt sind. Beispielsweise kann eine Abrechnungsübersicht Zwischensummen für das Objekt-Storage enthalten, aber Details zu den in diesen Systemen gespeicherten Inhalten sind möglicherweise nur über den Speicherdienst selbst verfügbar. Um die Gesamtkosten zu berechnen, muss ein Unternehmen möglicherweise verschiedene Regionen, Konten und Cloud-Dienste durchsuchen.

Ergänzend zum klassischen Kostenmanagement sollten Governance-Richtlinien auch Nachhaltigkeitskennzahlen berücksichtigen wie den CO2-Ausstoß oder den Energieverbrauch pro Workload. Diese Werte werden zunehmend Teil von ESG-Berichtspflichten (Environmental, Social, Governance) und können bei der Auswahl von Regionen oder Diensten entscheidend sein.

Entwickeln Sie einen Plan zur Sammlung von Informationen, um Budgets zu erstellen und zu verfolgen. Die meisten Cloud-Anbieter stellen Tools zur Kostenberichterstattung zur Verfügung. Wenn diese Ihren Anforderungen nicht entsprechen, sollten Sie sich nach Drittanbieterdiensten umsehen, um die Lücke zu schließen.

Richten Sie realistische Richtlinien für Kostenwarnungen ein. Wenn Ihre Cloud-Umgebung bereits wenige Tage nach Monatsbeginn 50 Prozent ihres Budgets überschreitet, gibt Ihnen eine Warnung Zeit, Ihre Infrastruktur und die Nutzung von Diensten anzupassen. Viele Warnmeldungen spiegeln die Nutzung und Ausgaben in Echtzeit wider, andere werden jedoch möglicherweise erst angezeigt, nachdem Sie einen Ausgabeschwellenwert überschritten haben. Erstellen Sie daher ein Budget und Richtlinien, die Ihnen zusätzliche Flexibilität bieten.

3. Betriebsmanagement

Das Betriebsmanagement steuert, wie Cloud-Ressourcen Dienste bereitstellen. Berücksichtigen Sie die folgenden Maßnahmen:

• Definieren Sie Regeln und Prozesse, die steuern, wie neue Anwendungen oder Workloads erstellt werden, die in der Cloud ausgeführt werden.
• Legen Sie Service Level Agreements (SLAs) fest, um Ressourcen zuzuweisen.
• Stellen Sie Anwendungscode in verschiedenen Umgebungen bereit, insbesondere in Produktionsumgebungen.
• Überwachen Sie den Status der Dienste, um sicherzustellen, dass die SLAs eingehalten werden.

Automatisierung spielt hier eine noch größere Rolle: Viele Unternehmen setzen auf KI-gestützte Monitoring-Lösungen, die Anomalien in Echtzeit erkennen, bevor es zu Ausfällen kommt. Tools wie AWS CloudWatch mit ML-Erkennung oder Azure Monitor mit KI-Analysen helfen dabei, Betriebsvorfälle frühzeitig zu vermeiden.

Vielleicht fragt ein Entwickler oder Produktmanager, wie eine neue Anwendung am besten an Kunden geliefert werden kann. Die Antwort sollte in einer klar definierten Betriebsrichtlinie zu finden sein, die Folgendes vorsieht:

• Koordination mit dem Betriebsteam
• Festlegung der IAM-Anforderungen
• Schätzung der Anforderungen an Rechenleistung, Storage und Netzwerk
• Erfüllung der Anforderungen an Überwachung und Protokollierung

Darüber hinaus ist eine klare, gut definierte Betriebsmanagementpraxis eine der besten Möglichkeiten, um zu verhindern, dass sich Schatten-IT in Ihre Cloud-Umgebung einschleicht. Eine gute Kosten- und Leistungsüberwachung kann ebenfalls dabei helfen, zu erkennen, wenn Cloud-Ressourcen außerhalb der normalen Betriebsabläufe bereitgestellt werden.

4. Datenmanagement

Mit der zunehmenden Fähigkeit, Daten zu sammeln, zu speichern und zu analysieren, steigt auch die Schwierigkeit, diese Daten effektiv zu verwalten. Ihre Governance-Strategie und -Praktiken sollten klare Leitlinien für die Verwaltung des gesamten Lebenszyklus von Daten in Ihrem Unternehmen enthalten.

Beginnen Sie mit einem Datenklassifizierungsschema. Nicht alle Daten sind gleich wertvoll oder erfordern ein vergleichbares Maß an Sicherheit. Sensible und vertrauliche Daten erfordern mehr Sicherheitskontrollen als öffentliche Informationen. Die beste Vorgehensweise für Daten in der Cloud ist die Verschlüsselung aller Daten während der Übertragung (Data in Flight) und im Ruhezustand (Data at Rest), was als Standardverhalten angesehen werden sollte. Andere Kontrollen, etwa wer auf bestimmte Datentypen zugreifen oder diese aktualisieren darf, variieren je nach Datenklassifizierung und funktionalen Anforderungen hinsichtlich der Verwendung der Daten.

Governance-Richtlinien helfen Datenbesitzern, Produktmanagern und Anwendungsentwicklern zu verstehen, wie Daten basierend auf ihrer Klassifizierung geschützt werden können. Dazu gehören auch Leitlinien zum Management des Datenlebenszyklus, zum Beispiel wie lange Daten gespeichert werden sollen und wann Daten von leistungsstarken (und kostspieligen) Speichersystemen auf kostengünstigere Archivierungssysteme übertragen werden sollen. Das manuelle Management des Datenlebenszyklus ist nicht gut skalierbar und fehleranfällig. Nutzen Sie die Datenmanagement-Tools der Cloud Service Provider, um Daten automatisch auf verschiedene Speichersysteme zu migrieren oder nicht mehr benötigte Daten zu löschen.

5. Leistungsmanagement

Das Leistungsmanagement im Cloud Computing konzentriert sich auf die Überwachung von Anwendungen und Infrastrukturressourcen, um sicherzustellen, dass Sie das erwartete Niveau an IT-Services und eine effiziente Nutzung der Cloud-Infrastruktur gewährleisten.

Die Metriken für die Anwendungsleistung variieren je nach Anwendung. Einige gängige Metriken sind:

• Latenz beim Abrufen von Daten, Laden von Webseiten oder Aufrufen von API-Funktionen
• Anzahl der Datenbanktransaktionen pro Zeitraum
• Anzahl der verbundenen Benutzer

Erstellen Sie außerdem Warnmeldungen, die Anwendungsmanager und Support-Teams benachrichtigen, wenn ein Dienst nicht wie erwartet funktioniert.

Die Überwachung der Infrastruktur ist besonders wichtig für die Kontrolle der Cloud-Kosten. Ein wesentlicher Vorteil der Cloud ist die Möglichkeit, Ressourcen entsprechend der Auslastung zu skalieren und anzupassen. Sie sollten jederzeit über genügend Rechen- und Speicherressourcen verfügen, um die vorhandene Auslastung zu bewältigen und gleichzeitig ungenutzte Ressourcen zu minimieren. Mit Überwachungs-Tools und den Auto-Scaling-Funktionen des Cloud-Anbieters können Sie Cloud-Ressourcen dynamisch und effizient zuweisen.

Aktuelle Best Practices umfassen KI-basierte Kapazitätsprognosen, die Lastspitzen vorhersagen und automatisch Ressourcen anpassen. Plattformen wie Azure Autoscale oder Google Cloud Recommender unterstützen diese dynamische Optimierung.

6. Asset- und Konfigurationsmanagement

Eine große Herausforderung für Unternehmen besteht darin, eine dynamische Anordnung von Cloud-Infrastrukturressourcen innerhalb der Grenzen ihrer erwarteten Bereitstellung aufrechtzuerhalten. Wenn Entwickler und Cloud-Ingenieure manuell eine VM für einen Ad-hoc-Bedarf bereitstellen und vergessen, sie herunterzufahren, ist das kein großes Problem, aber Teams sollten sich auf kontrollierte Prozesse verlassen, um große Cluster bereitzustellen oder kostenintensive Cloud-Dienste zu nutzen.

Eine Möglichkeit zur Verwaltung der Infrastruktur ist die Verwendung von Infrastructure as Code (IaC). Anstatt Cloud-Ingenieure Ressourcen starten und stoppen zu lassen, legt IaC fest, was in Ihrer Umgebung ausgeführt oder bereitgestellt werden soll, um die Anwendung zu unterstützen. Die IaC-Anwendung kann dann den Zustand der Infrastruktur überwachen, der sich vom Konfigurationszustand unterscheidet. Wenn er vom gewünschten Zustand abweicht – beispielsweise wenn einige VMs ausfallen –, kann sie Ihre Infrastruktur automatisch wieder in den gewünschten Zustand versetzen.

Das Konfigurationsmanagement hilft einem Unternehmen auch dabei, die Verwendung und Speicherung von sensiblen Daten wie Anmeldedaten und Verschlüsselungsschlüsseln zu kontrollieren. Verwenden Sie zentralisierte Repositorys zur Speicherung dieser Informationen, anstatt unsichere Praktiken wie Anmeldedaten in Skripten oder Programmen zu verwenden, die für jeden sichtbar sein können, der Zugriff auf das Skript hat.

Cloud-Governance-Modelle und -Standards

Es gibt mehrere Governance-Modelle und -Standards, die für Cloud-Computing-Standards relevant sind, obwohl keines davon spezifisch für die Cloud ist. Bei Governance-Modellen und -Standards geht es weniger um bestimmte Technologien als vielmehr um Menschen und Prozesse.

• COBIT ist ein Governance-Standard, der von der Information Systems Audit and Control Association entwickelt wurde, um Unternehmen und anderen Organisationen bei der Verwaltung ihrer IT-Abläufe zu helfen. Das Modell umfasst ein Rahmenwerk aus Prozessen und Praktiken, Prozessbeschreibungen, Kontrollzielen, Managementrichtlinien und Reifegradmodellen. COBIT ist ein generischer Governance-Ansatz, der sich gut mit anderen Standards wie ITIL kombinieren lässt.
• ITIL ist ein Rahmenwerk mit detaillierten Prozessbeschreibungen, das Unternehmen dabei hilft, die Auswahl, Bereitstellung und Wartung von IT-Services zu standardisieren und neue Technologieinitiativen strategisch zu planen.
• ISO/IEC 38500 ist ein internationaler Standard für die IT-Governance in Unternehmen, der Prozesse, Kommunikation und Entscheidungsfindung abdeckt. Der Standard befasst sich mit der Definition von Verantwortlichkeiten, der Unterstützung des IT-Betriebs, der Technologie und damit verbundenen Anschaffungen, der Überwachung der Leistung und der Einhaltung von Richtlinien. Außerdem hilft er Unternehmen dabei, zu verstehen, wie Benutzer mit Anwendungen und Systemen interagieren, und zu vermeiden, dass Anreize für Benutzer geschaffen werden, Richtlinien und Verfahren zu umgehen.
• NIST Cybersecurity Framework (CSF) bietet Leitlinien für das Management von Cybersicherheitsrisiken in der Cloud und darüber hinaus. Da sich CSF auf Cybersicherheit konzentriert, bietet es keine umfassenden Leitlinien zu anderen Aspekten der Cloud-Governance, wie etwa der Kostenkontrolle. Dennoch ist CSF ein guter Ausgangspunkt für die Definition bestimmter Aspekte des Cloud-Risikomanagements. NIST bietet auch ein ähnliches Framework namens Risk Management Framework (RMF) an.

Was sind die Vorteile von Cloud Governance?

Die Umsetzung einer effektiven Cloud-Governance-Strategie ist entscheidend für die optimale Nutzung der Cloud. Bei richtiger Umsetzung bietet Cloud Governance unter anderem folgende Vorteile:

• geringere Kosten: Cloud Governance kann dazu beitragen, Probleme wie Schatten-IT zu vermeiden. Auf diese Weise können die Cloud-Kosten gesenkt werden.
• geringeres Risiko von Datenverletzungen: Governance-Richtlinien und -Verfahren, die zum Schutz vor Cyberangriffen beitragen, verringern die Wahrscheinlichkeit von Datenverletzungen.
• bessere Compliance-Ergebnisse: Eine effektive Cloud Governance reduziert Risiken, die zu Verstößen gegen Compliance-Rahmenwerke führen könnten. Außerdem bietet sie eine Möglichkeit, Auditoren und Aufsichtsbehörden zu zeigen, dass das Unternehmen Cloud-Risiken verantwortungsbewusst handhabt.
• verbessertes Erlebnis für Geschäftsanwender: Gut verwaltete Cloud-Ressourcen führen oft zu weniger Störungen, wie beispielsweise falsch konfigurierten Anwendungen oder Datenverlusten, die Mitarbeiter daran hindern, so produktiv wie möglich zu sein.
• besseres Erlebnis für IT-Mitarbeiter: Eine gute Cloud Governance erleichtert IT-Mitarbeitern das Leben, da sie die Fehler reduziert, die sie manuell beheben müssen.
• Nachhaltigkeit: GreenOps und energieeffiziente Workloads verbessern ESG-Kennzahlen und können regulatorische Anforderungen an CO2-Emissionen erfüllen.

Was sind die Herausforderungen der Cloud Governance?

Eine große Herausforderung der Cloud Governance ist die Breite der zu behandelnden Themen. Daher ist es praktischer, ein umfassendes Governance Framework schrittweise einzuführen, anstatt in einem einzigen Schritt. Beginnen Sie mit den für Ihr Unternehmen wichtigsten Punkten. In streng regulierten Branchen wie dem Finanzwesen haben beispielsweise Compliance und Sicherheit oft höchste Priorität. Wenn Ihre Cloud-Ausgaben übermäßig hoch und nicht nachhaltig sind, konzentrieren Sie sich frühzeitig auf das Kostenmanagement.

Automatisierung ist für die Governance unerlässlich. Cloud-Umgebungen sind dynamisch und können auf zahlreiche Ressourcen, Komponenten und Dienste skaliert werden. Nutzen Sie Cloud-Service-Funktionen, die die Governance unterstützen, wie etwa Richtlinien für das Datenlebenszyklusmanagement, die dazu beitragen können, dass Daten in geeigneten Speicherdiensten gespeichert und nach einem festgelegten Zeitplan gelöscht werden. Verwenden Sie Tools von Drittanbietern, wie zum Beispiel Vulnerability Scanner, um den Inhalt von Code-Repositories zu überprüfen und Schwachstellen in Ihren Anwendungen zu identifizieren.

Denken Sie schließlich daran, dass Governance ein fortlaufender Prozess mit mehreren Schritten ist. Governance Frameworks wie NIST sind nützliche Ausgangspunkte, um die Governance-Praktiken Ihres Unternehmens zu steuern.