Bundesamt für Sicherheit in der Informationstechnik

M 2.521 Geregelte Provisionierung und De-Provisionierung von Cloud-Diensten

Verantwortlich für Initiierung: Leiter IT

Verantwortlich für Umsetzung: Administrator, Fachverantwortliche

Die Elastizität im Cloud Computing ermöglicht eine zeitnahe Bereitstellung von Cloud-Ressourcen für die Cloud-Anwender. Hierzu ist eine geregelte Provisionierung und De-Provisionierung von Cloud-Diensten notwendig.

Als Provisionierung wird die Zuweisung eines Cloud-Dienstes an einen Cloud-Anwender und die damit verbundene Bereitstellung der hierfür notwendigen Cloud-Ressourcen sowie deren Konfiguration bezeichnet. Cloud-Ressourcen sind CPU , Arbeitsspeicher, Datenspeicher (Storage), virtuelle Netze usw. Die Provisionierung erfolgt über Vorlagen mit den hinterlegten Informationen zu Cloud-Ressourcen und Konfigurationen. Die Vorlagen werden Cloud-Diensteprofile genannt.

Als De-Provisionierung, dem Gegenstück zur Provisionierung, wird die Rücknahme der Zuweisung von Cloud-Ressourcen eines bestimmten Cloud-Dienstes zu einem bestimmten Mandanten (Cloud-Anwender) bezeichnet. Provisionierung steht am Anfang der Nutzung eines Cloud-Dienstes durch einen Cloud-Anwender, De-Provisionierung am Ende.

Es müssen für alle Phasen der Verwaltung eines Cloud-Dienstes definierte Prozesse und Arbeitsabläufe etabliert und gepflegt werden. Für eine geregelte Provisionierung und De-Provisionierung von Cloud-Diensten muss ein Prozess mit Verantwortlichen hinterlegt und dokumentiert werden, der den kompletten Lebenszyklus eines Cloud-Dienstes berücksichtigen muss.

Der Prozess für Provisionierung und De-Provisionierung von Cloud-Diensten richtet sich nach den folgenden Phasen aus:

Vorbereitung: Planung von Cloud-Diensten

Die Cloud-Dienste müssen geplant und die vom Cloud-Diensteanbieter ermittelten Anforderungen aufgenommen werden. Hierzu ist die Maßnahme M 4.437 Planung von Cloud-Diensteprofilen umzusetzen. Ergebnis dieser Planung ist die Referenzarchitektur (oft engl. Blueprint) eines Cloud-Dienstes. Hierzu gehören die benötigten Cloud-Ressourcen ( CPU , Arbeitsspeicher, Netzanbindung und Netztrennung, Netz-Speicher) und deren Mengengerüste je Cloud-Benutzer.

Planung und Umsetzung der Provisionierung

Der Cloud-Diensteanbieter muss die Bereitstellung der Cloud-Dienste gemäß der aktuellen Nachfrage steuern können. Die Arbeitsschritte für die Provisionierung müssen vorbereitet werden. Der Satz an Informationen von Eigenschaften und Ausprägungen des Cloud-Dienstes und die damit verbundenen Angaben zur Dienstgüte werden in einem Cloud-Dienste-Katalog des Cloud-Diensteanbieters hinterlegt. Der Dienste-Katalog enthält darüber hinaus die Information, welche Cloud-Anwender zu welchen Konditionen ausgewählte Cloud-Dienste nutzen dürfen.

Wird der Cloud-Dienst über ein Portal (ein sogenanntes Self-Service-Portal) angeboten, muss für die Provisionierung berücksichtigt werden, dass, je nach Cloud-Dienst, der Cloud-Anwender direkten Einfluss auf die einzurichtende Konfiguration erhält. Entsprechend müssen für das Portal und für die Cloud-Diensteprofile logische Grenzen für die Ressourcenzuordnungen gesetzt werden. In solchen Fällen wäre die Anfrage eines Cloud-Anwenders über das Portal Initiator für den Provisionierungsprozess. Der Cloud-Diensteanbieter muss automatische oder manuelle Prüf- und Genehmigungsschritte vor der automatisierten Bereitstellung von Cloud-Diensten einrichten.

Die Provisionierung und De-Provisionierung mit Cloud-Diensteprofilen ermöglicht Administratoren, die Entwicklung komplexer Automatisierungsaufgaben in Prozessabläufen abzubilden. Anschließend können die Prozessabläufe schnell direkt über die Verwaltungssoftware der Cloud oder über verschiedene Auslösemechanismen aufgerufen und gestartet werden. Die manuellen Arbeitsschritte für die Cloud-Administratoren müssen in Form von Arbeitsanweisungen definiert und dokumentiert sein und Verantwortliche für die Arbeitsschritte festgelegt und bekannt gegeben werden.

Die korrekte Umsetzung der Konfigurationen auf Basis der Cloud-Diensteprofile muss für die automatisiert bereitgestellten Cloud-Dienste getestet werden. Zudem muss auf Basis von Stichproben die Konfiguration überprüft oder mittels der Cloud-Verwaltungslösung nachvollzogen werden, dass die Cloud-Dienste korrekt und anforderungsgemäß bereitgestellt werden.

Auch die Umsetzung der Konfigurationen und Sicherheitsmaßnahmen muss auf allen betroffenen Schichten der Cloud-Infrastruktur sichergestellt werden. Daher sind die Konfigurationseinstellungen in den Cloud-Diensteprofilen und in den provisionierten Cloud-Diensten zu kontrollieren. Insbesondere muss der Cloud-Diensteanbieter darauf achten, dass die Kommunikation zwischen Cloud-Verwaltungssoftware und den Cloud-Elementen oder deren Verwaltungssystemen (Element Manager) störungsfrei und korrekt verläuft.

Beendigung von Cloud-Diensten: De-Provisionierung

Kündigt der Cloud-Anwender den genutzten Cloud-Dienst oder läuft der Vertrag aus, muss eine geregelte Beendigung der Cloud-Dienste gewährleistet sein.

Mit der De-Provisionierung im Rahmen der Außerbetriebnahme von Cloud-Diensten muss die Konfiguration aus dem Provisionierungsprozess rückgängig gemacht werden. Der Cloud-Diensteanbieter muss sicherstellen, dass die Cloud-Ressourcen wieder freigegeben werden und die Cloud-Dienste mitsamt der Konten und Berechtigungen der Cloud-Benutzer nicht mehr aktiv sind. Die Administratoren des Cloud-Diensteanbieters müssen über die Cloud-Verwaltungssoftware nachvollziehen und überprüfen, dass die Cloud-Ressourcen (Speicher, VLAN s, virtuelle Maschinen) freigegeben worden sind. Je nach Cloud-Infrastruktur muss die Freigabe der Cloud-Ressourcen auch an den Verwaltungskomponenten (Element Managern) kontrolliert werden.

Prüffragen:

  • Wurden Verantwortliche für die Provisionierung und De-Provisionierung von Cloud-Diensten festgelegt und hinreichend kommuniziert?

  • Sind die manuellen Arbeitsschritte der Cloud-Administratoren für die Provisionierung von Cloud-Diensten dokumentiert?

  • Richtet sich die Planung der Cloud-Dienste nach den Anforderungen der Cloud-Anwender?

  • Werden automatisch provisionierte Cloud-Dienste in der korrekten Umsetzung geprüft und die anforderungsgemäße Konfiguration der Cloud-Dienste nachvollzogen?

  • Wie wird sichergestellt, dass nach Beendigung eines Cloud-Dienstes die zugehörigen Ressourcen und Berechtigungen entzogen werden?

  • Führt die Planung zu Referenzarchitekturen für die Cloud-Dienste, die die Anforderungen widerspiegeln?

Stand: 14. EL Stand 2014