Microsoft Azure – Welche Strukturen muss ich für mein Audit kennen?

Profilbild von Stefan Jackmuth Stefan Jackmuth

Cloud Computing ist Realität und diese Realität wird auch nicht so schnell wieder weg gehen. Also ist es höchste Zeit in die Aktivitäten des eigenen Unternehmens einen Blick zu werfen. Doch wie ist Microsoft Azure grundsätzlich aufgebaut?

Kurz zur Abgrenzung: In diesem Artikel geht es um Microsoft Azure, nicht um Microsoft 365 bzw. Office 365. Was ist der Unterschied? Microsoft 365 beschreibt die Zusammensetzung von verschiedenen Apps und Diensten, wie den bekannten Office-Produkten, Teams aber auch Sharepoint Online. Diese Komponenten nutzen Dienste und Infrastruktur der Azure, lassen sich aber in Azure nur zu einem geringen Anteil verwalten.

Für eine Komponente stimmt das obenstehende nicht: Das Azure AD oder Azure Active Directory. Es bildet den zentralen Verzeichnisdienst mit Benutzern, Gruppen und weiteren Verwaltungseinheiten in der Cloud – übergreifend für Azure und Microsoft 365. Da es sich um die zentrale Komponente zur Authentifizierung und Autorisierung handelt, werde ich diese ein andermal getrennt betrachten.

VALUFY - Prüfung von Cloud Computing

Prüfung von Cloud Computing
Sie möchten auf einen Schlag geballtes Wissen tanken, das Ihr nächstes Audit von 0 auf 100 bringt?

Hier anmelden!

Service- und Bereitstellungsmodelle

Kurz zur Theorie: In der Cloud werden oft Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) unterschieden. Sehr verkürzt: Von der Buchung eines Servers, bei dem ich selbst die Wartung übernehme, bis zur Buchung eines Dienstes pro Benutzer, den ich über eine Website nutze, ohne mir Gedanken über die Wartung zu machen.

Das zentrale Merkmal des Cloud Computings ist für mich, dass der Kunde die „genutzten Dienste und seine Ressourcen einfach über Web-Oberflächen oder passende Schnittstellen administrieren“ kann – um das Bundesamt für Sicherheit in der Informationstechnologie (BSI) zu zitieren. Das kann bei einem Dienstleister im Rahmen einer Public Cloud (viele Unternehmen teilen sich eine gemeinsame Infrastruktur) bis hin zur Private Cloud auf den eigenen Ressourcen im eigenen Rechenzentrum passieren.

Für einen umfassenden Überblick über die theoretischen Arten der Cloud (und als Inspiration/Kopierhilfe für Berichte) kann ich diesen Artikel des BSI empfehlen.

Dienste in Microsoft Azure

Wir nähern uns zwangsläufig der Frage, was ich in Microsoft Azure prüfen sollte und könnte. Diese ist leider sehr leicht mit der fälligen Gegenfrage zu beantworten: Was wird denn in Azure alles genutzt?

In meinem Azure Portal habe ich Zugriff auf 615 (Stand August 2021) verschiedene Dienste bzw. Ressourcen. In dieser Zahl sind auch Verwaltungsdienste oder gewisse Dopplungen enthalten.

Ausschnitt aus dem Microsoft Azure Portal
Ausschnitt aus dem Microsoft Azure Portal

Zum Glück gibt es für diesen Dschungel aus Diensten und Ressourcen in der Praxis eine potenziell handelbare Struktur. Potenziell daher, da es dem eigenen Unternehmen obliegt diese Struktur vernünftig auszufüllen.

Strukturen in Microsoft Azure

Die höchste Ebene bildet dabei der Tenant, bzw. die Stammverwaltungsgruppe. Diese kann wiederum mehrere Verwaltungsgruppen beinhalten. Verwaltungsgruppen dienen der Bündelung von mehreren Abonnements und weiteren Verwaltungsgruppen. Kurz gesagt: Dadurch lässt sich die Unternehmensstruktur in der Azure abbilden und Zugriffe/Verantwortlichkeiten steuern.

Prüffragen zur Verwaltungsgruppen

  • In welcher Form ist das eigene Unternehmen abgebildet?
  • Ist die Abbildung bedarfsgerecht, beispielsweise, weil sie sich an Konzernunternehmen oder Verwaltungsclustern orientiert?
  • Sind die Zuschnitte zu groß definiert und ist dadurch eine Trennung der Verantwortlichkeiten erschwert bzw. die Transparenz gefährdet?

Die nächste Ebene bilden die Abonnements. Ganz verkürzt gesagt wird hier definiert, wer (juristische) die Dienste wie (Rechnung/Kreditkarte/Guthaben) bezahlt und ob Sondervereinbarungen (Support) mit Microsoft bestehen. In diesen werden die eigentlichen Ressourcen bzw. Dienste gebündelt. Es gibt verschiedene Arten, wie Dev/Test-Abonnements oder entsprechende Abonnements für produktive Workflows.

Was wird alles genutzt?
Abonnements sind für uns, da sie Dreh- und Angelpunkt der Abrechnung sind, der Punkt an dem wir einen vollständigen Überblick über die verwendeten Dienste und Ressourcen erhalten können. Auch Microsoft verzichtet sicherlich ungern auf eine Abrechnung der genutzten Dienstleistungen.

Übersicht über die hierarchische Struktur - Bildquelle: https://docs.microsoft.com/de-de/azure/cloud-adoption-framework/decision-guides/subscriptions/
Übersicht über die hierarchische Struktur - Bildquelle: https://docs.microsoft.com/de-de/azure/cloud-adoption-framework/decision-guides/subscriptions/

Prüffragen zu Abonnements

  • Findet innerhalb eines Abonnements eine Verrechnung für verschiedene juristische Personen statt?
  • Sind produktive Workflows über die Abonnements mit einem Supportvertrag ausgestattet?
  • Werden Dev/Test-Abonnements nur für diese Zwecke verwendet oder findet eine produktive Nutzung und dadurch, neben dem Verstoß gegen Nutzungsbedingungen, ein Betrieb ohne entsprechende Supportverträge statt?

Die letzte Struktur, die ich in diesem Artikel ansprechen möchte, sind die Ressourcengruppen. In diesen werden die einzelnen Ressourcen, wie zum Beispiel ein Server gruppiert – mit den zugehörigen Komponenten. Wenn ich eine virtuelle Maschine über das Portal buche, treffe ich Einstellungen zu den verwendeten Festplatten, dem Netzwerk etc. Diese einzelnen Bestandteile befinden sich gebündelt in einer Ressourcengruppe.

Um die Übersicht zu behalten, welcher Zweck jeweils mit den Ressourcengruppen erfüllt werden soll, ist eine vernünftige Nomenklatur unumgänglich. Ich möchte auf folgenden Artikel von Microsoft verweisen, der mir in der Praxis schon häufiger als Ausgangspunkt für die unternehmenseigene Nomenklatur begegnet ist.

Zwischenfazit

Mit diesem Eintrag möchte ich die Grundzüge der Microsoft Azure beschreiben. In den folgenden Posts wird es um einzelne Ressourcen, wie das Azure AD, Netzwerkkomponenten und vor allem auch Aspekte der Governance gehen. Getrieben von zwei (Teil-)Fragen: Wer hat eigentlich wofür die Verantwortung und wie kann er diese überhaupt wahrnehmen?

Oder anders formuliert: Damit die Antwort auf die Frage „Was ist der Wertbeitrag dieses Audits?“ nicht Installation eines Bitcoin-Miners lautet.

Sie haben immer noch nicht genug
von Prüfung von Cloud Computing?

Mit unserem Newsletter erhalten Sie alle zwei Wochen

  • aktuelle Artikel und Whitepaper,
  • unsere Kategorien "schon gewusst?" und "was uns gerade inspiriert"
  • und die aktuellen Termine unserer Audinare.

Was erhalten wir dafür?

  • Die Chance Sie von uns und unserem Know-how zu überzeugen.