Grundlegendes zu den Aufgaben eines zentralen IT-Teams
Wenn die Cloudeinführung skaliert wird, reichen Cloudgovernancefunktionen allein möglicherweise nicht mehr aus, um das gesamte Einführungsprojekt zu regulieren. Wenn diese Einführung schrittweise erfolgt, entwickeln Teams meist nach und nach die Fertigkeiten und Prozesse, die sie für die Arbeit in der Cloud benötigen.
Wenn aber ein Cloudeinführungsteam die Cloud nutzt, um ein wichtiges und prestigeträchtiges Geschäftsergebnis zu erzielen, ist eine sukzessive Einführung selten der Fall. Erfolg zieht Erfolg nach sich. Dies gilt auch für die Cloudeinführung, dann aber im Maßstab der Cloud. Wenn mehrere Teams diesem einen Team relativ schnell bei der Cloudeinführung folgen, benötigt die Organisation mehr Unterstützung durch vorhandene IT-Mitarbeiter. Diese Mitarbeiter verfügen jedoch möglicherweise nicht über die Kenntnisse und Erfahrung, um die Cloud mit cloudnativen Tools zu unterstützen. Aufgrund dieser Lücke bei Schulungen und Erfahrungen wird häufig ein zentrales IT-Team gebildet, das die Cloudnutzung steuert.
Achtung
Die Einrichtung eines zentralen IT-Teams ist zwar ein übliches Zeichen für Reife, wenn es aber nicht effektiv verwaltet wird, kann es zu einem hohen Risiko für die Einführung werden und möglicherweise Innovationen und Migrationsaufgaben blockieren. Weiter unten im Abschnitt Risiken bei zentralen IT-Teams erfahren Sie, wie Sie das Risiko minimieren, dass die Zentralisierung ein kulturelles Antimuster wird.
Die folgenden Disziplinen und Strukturen decken die Anforderungen für die Einrichtung zentraler IT-Funktionen ab:
- Ein vorhandenes zentrales IT-Team
- Unternehmensarchitekten
- IT-Abläufe
- IT-Governance
- IT-Infrastruktur
- Netzwerk
- Identity
- Virtualisierung
- Business Continuity & Disaster Recovery
- Anwendungsbesitzer im IT-Bereich
Warnung
Zentralisierte IT sollte nur dann in der Cloud zum Einsatz kommen, wenn die bestehende Bereitstellung vor Ort auf einem Modell mit einem zentralen IT-Team basiert. Wenn das aktuelle lokale Modell auf delegierter Steuerung basiert, ziehen Sie ein Cloudkompetenzzentrum in Betracht, das eine besser für die Cloud geeignete Alternative darstellen kann.
Wichtige Zuständigkeiten
Passen Sie vorhandene IT-Verfahren an, um sicherzustellen, dass ein Cloudeinführungsprojekt zu sorgfältig regulierten und verwalteten Umgebungen in der Cloud führt.
In der Regel führt Ihr Team regelmäßig die folgenden Aufgaben aus:
Strategische Aufgaben
- Überprüfung:
- Überwachung von Einführungplänen und Fortschritten anhand des priorisierten Migrationsbacklogs.
- Identifizieren und priorisieren Sie erforderliche Plattformänderungen, die das Migrationsbacklog unterstützen.
- Agieren Sie als Vermittler zwischen den Anforderungen einer Cloudeinführung und den vorhandenen IT-Teams.
- Nutzen Sie die Fähigkeiten vorhandener IT-Teams, um Plattformfunktionen schneller umzusetzen und die Einführung zu ermöglichen.
Technische Aufgaben
- Erstellen und Warten der Cloudplattform zur Unterstützung von Lösungen.
- Definieren und Implementieren der Plattformarchitektur.
- Betreiben und Verwalten der Cloudplattform.
- Kontinuierliches Verbessern der Plattform.
- Auf dem Laufenden bleiben mit neuen Innovationen in der Cloudplattform.
- Bereitstellen neuer Cloudfunktionen zur Unterstützung der Wertschöpfung im Unternehmen.
- Empfehlen von Self-Service-Lösungen
- Sicherstellen, dass Lösungen die bestehenden Governance- und Complianceanforderungen erfüllen.
- Erstellen und Validieren der Bereitstellung der Plattformarchitektur
- Überprüfen der Releasepläne für Quellen neuer Plattformanforderungen
Rhythmus von Besprechungen
Das Know-how des zentralen IT-Teams stammt in der Regel aus einem bestehenden Arbeitsteam. Instruieren Sie die Beteiligten, dass sie einen Großteil ihrer täglichen Arbeitszeit der Ausrichtung widmen müssen. Beiträge sind nicht auf Besprechungen und Feedbackzyklen beschränkt.
Risiken bei zentralen IT-Teams
Stellen Sie jeder Cloudfunktion und allen Phasen der Organisationsreife das Wort „Cloud“ voran. Die einzige Ausnahme ist das zentrale IT-Team. Die zentralisierte IT-Verwaltung war die vorherrschende Herangehensweise, als alle IT-Ressourcen an einigen wenigen Standorten untergebracht, von wenigen Teams verwaltet und über eine einzige Plattform zur Betriebsverwaltung gesteuert werden konnten. Durch die Globalisierung und die digitale Wirtschaft wurde die Anzahl von Instanzen solcher zentral verwalteten Umgebungen drastisch reduziert.
Aus moderner Sicht sind IT-Ressourcen global verteilt. Zuständigkeiten werden delegiert. Das Betriebsmanagement wird durch eine Mischung aus internem Personal, verwalteten Dienstanbietern und Cloudanbietern bereitgestellt. In der digitalen Wirtschaft werden IT-Verwaltungsfunktionen langsam durch ein Modell mit self-service-basierten und delegierten Steuerungsfunktionen ersetzt, das klare Leitlinien für die Durchsetzung von Governance aufweist. Ein zentrales IT-Team kann einen wertvollen Beitrag zur Cloudeinführung leisten, indem es zum Cloudbroker und Partner für Innovationen und geschäftliche Agilität wird.
Ein zentrales IT-Team ist gut aufgestellt, um wertvolle Kenntnisse und Vorgehensweisen aus den vorhandenen lokalen Modellen zu extrahieren und auf die Cloudbereitstellung zu übertragen. Aber dieser Prozess erfordert Änderungen. Um die Cloudeinführung im großen Stil zu unterstützen, sind neue Prozesse, neue Fähigkeiten und neue Tools erforderlich. Wenn sich ein zentrales IT-Team an diese Anforderungen anpassen kann, wird es bei einem Cloudeinführungsprojekt zu einem wichtigen Partner. Wenn das zentrale IT-Team diese Anpassung nicht schafft oder versucht, die Cloud als Katalysator für eine sehr differenzierte Steuerung zu nutzen, wird es schnell zu einem Hindernis für die Einführung, Innovation und Migration.
Dieses Risiko lässt sich anhand von Geschwindigkeit und Flexibilität ermessen. Die Cloud vereinfacht die schnelle Einführung neuer Technologien. Wenn neue Cloudfunktionen innerhalb weniger Minuten bereitgestellt werden können, aber das zentrale IT-Team Wochen oder sogar Monate benötigt, um diese zu prüfen, blockieren diese zentralisierten Prozesse den Geschäftserfolg. Wenn dieser Indikator auftritt, sollten Sie alternative Strategien zur IT-Bereitstellung in Betracht ziehen.
Ausnahmen
In vielen Branchen ist eine strikte Einhaltung von Complianceanforderungen von dritter Seite erforderlich. Für einige dieser Anforderungen ist weiterhin eine zentralisierte IT-Steuerung notwendig. Die Erfüllung dieser Compliancevorgaben kann den Bereitstellungsprozess verlängern, insbesondere dann, wenn neue Technologien ins Spiel kommen, die noch nicht flächendeckend eingesetzt werden. In solchen Szenarien müssen Sie in den Frühphasen der Einführung mit Verzögerungen der Bereitstellung rechnen. Ähnliche Situationen können bei Unternehmen auftreten, die vertrauliche Kundendaten verarbeiten, aber möglicherweise keine Complianceanforderungen einer dritten Seite erfüllen müssen.
Arbeiten innerhalb der Ausnahmen
Wenn zentrale IT-Prozesse erforderlich sind und zu zusätzlichen Prüfpunkten bei der Einführung neuer Technologien führen, können diese Prüfpunkte dennoch schnell umgesetzt werden. Governance- und Complianceanforderungen sind dafür konzipiert, vertrauliche Aspekte zu schützen, sie sollen keinen Rundumschutz für alles und jedes bieten. Die Cloud bietet einfache Mechanismen zum Erwerben und Bereitstellen isolierter Ressourcen bei gleichzeitiger Einhaltung der jeweils geltenden Leitlinien.
Ein ausgereiftes zentrales IT-Team behält die notwendigen Schutzmaßnahmen bei, handelt aber Verfahren aus, die Innovationen ermöglichen. Um einen solchen Reifegrad zu demonstrieren, ist eine ordnungsgemäße Klassifizierung und Isolierung von Ressourcen erforderlich.
Beispiel für einen IT-Betrieb in Ausnahmesituationen zur Unterstützung der Cloudeinführung
Dieser Beispielbericht veranschaulicht den Ansatz, den ein erfahrenes zentrales IT-Team beim fiktiven Unternehmen Contoso gewählt hat, um die Einführung zu realisieren.
Contoso führt ein Modell mit einem zentralen Team für die Unterstützung der Cloudressourcen des Unternehmens ein. Um dieses Modell bereitzustellen, implementiert das Unternehmen strikte Kontrollen für verschiedene gemeinsam genutzte Dienste wie eingehende Netzwerkverbindungen. Dank dieses klugen Schachzugs senkt Contoso die Risiken für die Cloudumgebung und stellt ein einzelnes Gerät bereit, das beim Auftreten einer Sicherheitsverletzung sämtlichen Datenverkehr blockiert. Die Sicherheitsbaselinerichtlinen des Unternehmens geben vor, dass sämtlicher eingehender Datenverkehr durch ein freigegebenes Gerät fließen muss, das vom zentralen IT-Team verwaltet wird.
Nun benötigt aber eins der Cloudeinführungsteams eine Umgebung mit einer dedizierten und speziell konfigurierten eingehenden Netzwerkverbindung, um eine bestimmte Cloudtechnologie zu nutzen. Ein unerfahrenes zentrales IT-Team, würde diese Anforderung einfach ablehnen und die vorhandenen Prozesse über die Einführungsanforderungen stellen. Davon unterscheidet sich das zentrale IT-Team von Contoso. Das Team findet schnell eine einfache, vierteilige Lösung für dieses Dilemma:
Klassifizierung: Da das Cloudeinführungsteam sich in der Frühphase der neuen Lösung befindet und keine vertraulichen Daten oder unternehmenskritischen Anforderungen vorhanden sind, werden die Ressourcen in der Umgebung als risikoarm und nicht kritisch eingestuft. Eine effektive Klassifizierung zeigt den Reifegrad eines zentralen IT-Teams. Wenn alle Ressourcen und Umgebungen klassifiziert werden, können klarere Richtlinien eingerichtet werden.
Verhandlung: Eine Klassifizierung allein ist nicht ausreichend. Das Unternehmen implementiert gemeinsam genutzte Dienste, um vertrauliche und unternehmenskritische Ressourcen konsistent betreiben zu können. Eine Änderung der Regeln gefährdet die Governance- und Compliancerichtlinien, die für diejenigen Ressourcen eingerichtet wurden, die einen höheren Schutz benötigen. Die Unterstützung einer Cloudeinführung darf nicht auf Kosten der Stabilität, Sicherheit oder Governance erfolgen. Dies führt zu Verhandlungen mit dem Einführungsteam, um bestimmte Fragen zu beantworten. Kann ein unternehmensgeführtes DevOps-Team die betriebliche Verwaltung für diese Umgebung übernehmen? Erfordert diese Lösung direkten Zugriff auf andere interne Ressourcen? Wenn das Cloudeinführungsteam mit den Kompromissen einverstanden ist, kann eingehender Datenverkehr möglich sein.
Isolierung: Da die geschäftliche Seite selbst eine fortlaufende Betriebsverwaltung bereitstellt und weil die Lösung nicht von direktem Datenverkehr zu anderen internen Ressourcen abhängig ist, wird die Lösung dann in einem neuen, getrennten Abonnement eingerichtet. Dieses Abonnement wird auch einem separaten Knoten der neuen Verwaltungsgruppenhierarchie hinzugefügt.
Automatisierung: Automatisierungsprinzipien sind ein weiteres Zeichen für den Grad der Ausgereiftheit in diesem Team. Das Team nutzt Azure Policy, um die Richtliniendurchsetzung zu automatisieren. Es verwendet auch Infrastructure-as-Code (IaC), um die Bereitstellung allgemeiner Plattformkomponenten zu automatisieren und die Einhaltung der definierten Identitätsbaseline zu erzwingen. Für dieses und alle übrigen Abonnements in der neuen Verwaltungsgruppe gelten geringfügig andere Richtlinien und Vorlagen. Richtlinien, die die Eingangsbandbreite blockieren, werden aufgehoben. Die Richtlinien werden dann durch Anforderungen ersetzt, den Datenverkehr – wie eingehenden Datenverkehr – durch ein Abonnement mit gemeinsam genutzten Diensten zu leiten, um eine Datenverkehrsisolierung zu erzwingen. Da die lokalen Tools für die Betriebsverwaltung nicht auf dieses Abonnement zugreifen können, werden auch keine Agents für diese Tools mehr benötigt. Alle weiteren Governanceleitlinien, die von anderen Abonnements in der Verwaltungsgruppenhierarchie benötigt werden, gelten weiterhin und bieten ausreichenden Schutz.
Der ausgereifte, kreative Ansatz des zentralen IT-Teams von Contoso sorgt für eine Lösung, die weder Governance noch Compliance gefährdet und dennoch die Einführung fördert. Dieser Ansatz, die zentralisierte IT eher in Form von Brokerdiensten als durch Besitz cloudnativer Funktionen zu gestalten, ist der erste Schritt auf dem Weg zu einem Cloudkompetenzzentrum (CCoE). Auf diese Weise können vorhandene Richtlinien schnell weiterentwickelt werden, sodass je nach Bedarf eine zentralisierte Kontrolle ausgeübt werden kann oder – wenn mehr Flexibilität akzeptabel ist – Governanceleitlinien zur Anwendung kommen. Indem diese beiden Überlegungen sorgfältig gegeneinander abgewogen werden, lassen sich die Risiken minimieren, die mit einer zentralisierten IT-Verwaltung in der Cloud einhergehen.
Nächste Schritte
- Wenn ein zentrales IT-Team in der Cloud einen gewissen Reifegrad erreicht hat, besteht der nächste Schritt im Prozess typischerweise in einer lockeren Kopplung von Cloudvorgängen. Die Verfügbarkeit von cloudnativen Tools für die Betriebsverwaltung und die geringeren Betriebskosten für PaaS-zentrierte Lösungen führen häufig dazu, dass Geschäftsteams (genauer gesagt DevOps-Teams auf geschäftlicher Seite) die Verantwortung für Cloudvorgänge übernehmen.
Weitere Informationen: