ITSM und Discovery
Der folgende Beitrag zeigt, wie eine IT-Management-Plattform mit modernen Discovery-Funktionen dabei hilft, die IT-Leistungserbringung inklusive Multi-Cloud-Management zu optimieren, und gleichzeitig dazu beiträgt, die Sicherheit der IT-Landschaft zu steigern. Dazu stellen wir Kriterien zur Auswahl einer passenden Lösung vor.
Mit ITSM und Discovery den IT-Betrieb optimieren
Trotz aller Bemühungen für einen standardisierten und automatisierten IT-Betrieb erleben viele IT-Manager, wie die Komplexität in ihrem Rechenzentrum durch die fortschreitende Digitalisierung beständig zunimmt. Ein Treiber ist beispielsweise die Integration von Cloud-Services, die von unterschiedlichen Anbietern bezogen und für alle Ebenen verwendet werden, von der Infrastruktur (IaaS) bis zu Software-Applikationen (SaaS). Die administrative und technologische Verwaltung einer solchen Multi-Cloud-Infrastruktur stellt neue Anforderungen an das IT-Service-Management, wie zum Beispiel eine nutzergerechnete Abrechnung. Auch Technologien wie das Internet der Dinge werden in Branchen wie Logistik und Fertigung zu einem Bestandteil zentraler Geschäftsprozesse. Plötzlich muss die IT eine hohe Zahl weiterer IT-Komponenten in Fabriken oder Warenhäusern verwalten und zusätzlich ein echtzeitfähiges Mobilfunknetzwerk ausfallsicher betreiben.
Ein Beispiel aus dem Handel zeigt ebenfalls anschaulich, wie sich IT-Landschaften verändern: So müssen heute die Kundenansprache und der Service über eine Vielzahl an Kanälen erfolgen, vom Smartphone über Social Media bis zum Telefonsystem mit Sprachsteuerung und speziellen Service-Anwendungen wie Chatbots. Diese Omnichannel-Kommunikation über alle Touchpoints hinweg erfordert den Einsatz zusätzlicher und neuer Technologien auch direkt vor Ort in den Verkaufsstellen. Auch hier liegt die Herausforderung darin, sämtliche Komponenten zentral und effizient verwalten zu können.
Diese kontinuierliche Innovationsspirale zu beherrschen, wird für IT-Organisationen zur Herausforderung, da das Tempo ständig zunimmt. Gleichzeitig steigt die Gefahr durch Cyber-Attacken, da mehr und mehr Anwendungen als Web-Applikationen über das Internet verfügbar sind und somit die Angriffsfläche steigt. Um den Spagat aus Innovationsdruck, neuen Anforderungen aus den Fachbereichen sowie höchster IT-Sicherheit zu meistern, ist ein wichtiger Schritt die Implementierung einer zentralen Plattform für das IT-Service-Management.
Die Situation im Rechenzentrum
Zwei Funktionsbereiche innerhalb der IT-Organisation stehen an der Frontlinie, wenn es darum geht, Herausforderungen wie Innovationen, Sicherheit, Management und Betrieb der IT zu lösen. Auf der einen Seite ist es das ITSM, das in den klassischen Disziplinen wie zum Beispiel Incident, Problem und Change Management arbeitet und eine CMDB bereitstellt, um sämtliche Komponenten der IT-Systemlandschaft zu verwalten. Hier sind auch Leistungen wie Service-Design, Service-Entwicklung und Testing direkt angedockt. Auf der anderen Seite geht es um Monitoring, Ausfallsicherheit und IT-Security: Das IT-Team aus diesem Bereich überwacht die Server, die Netze und die Anwendungen und sorgt unter anderem über Firewalls für die IT-Sicherheit.
In der Praxis erleben es die Berater*innen von Materna häufig, dass sich innerhalb der IT-Organisation für genau diese zwei Bereiche getrennte Welten mit jeweils eigenen Tools und unterschiedlichen Methoden entwickelt haben.
Barrieren überwinden
Kommt nun eine Fachabteilung mit neuen Anforderungen, muss die IT häufig auch neue Technologien und Anwendungen implementieren sowie ihre IT-Services anpassen. Dies führt innerhalb der IT-Organisation zu Veränderungen der Abläufe, die sich über ITSM-Lösungen zwar komfortabel planen und durchführen lassen – aus Sicht der IT-Administration sind solche Änderungen jedoch kontraproduktiv, da diese zunächst einmal für Mehraufwand sorgen.
Um die Agilität der IT-Organisation zu steigern, müssen CIOs daher neue Wege finden, die Silos von ITSM und IT-Betrieb zu überwinden. Hierbei helfen Plattformen für das Lifecycle IT-Service-Management, das passende Mindset der IT-Mitarbeiter*innen sowie eine Organisationsform der IT-Abteilung, die an eine kontinuierliche Veränderung der IT-Systeme angepasst ist.
Ein wichtiges Werkzeug innerhalb der ITSM-Umgebung ist ein Discovery-Tool. Diese Software schafft eine gemeinsame akkurate und aktuelle Datengrundlage über die gesamte bestehende IT-Infrastruktur und nimmt somit die erste Hürde bei der Überwindung der Silogrenzen. Ein solches Tool muss in der Lage sein, über alle Assets und Technologien hinweg zu arbeiten. Ganz klassisch erkennt die Software Netzwerkgeräte sowie virtuelle und physikalische Server, identifiziert jedoch auch die gesamte Software, Middleware, Datenbanken, Storage-Architektur, Hypervisor oder ganze Infrastrukturtechnologien wie Container Environments und Kubernetes-Cluster inklusive der Cloud-Ressourcen. Gibt es nicht, sagen Sie? Dann lesen Sie weiter.
Auf Entdeckungsreise gehen
Wichtig ist, zunächst festzustellen, dass es schon seit vielen Jahren Discovery-Werkzeuge gibt. Wer sich also mit der Einführung einer solchen Lösung von einem der großen Hersteller beschäftigt, kann sicher sein, dass die Technologie ausgereift ist.
Ganz oben auf der Liste der benötigten Funktionen: ein Abgleich der im eigenen Rechenzentrum verwendeten Technologien mit den Fähigkeiten des Discovery-Tools. Ebenfalls notwendig ist die Möglichkeit, die Beziehung der Komponenten untereinander automatisch zu erkennen und abzubilden. Dafür haben moderne Discovery-Tools eine Art Mustererkennung integriert. Das heißt, über die Mustererkennung wird die Architektur einer Applikationsinstanz aus den entsprechenden Registry-Einträgen bzw. Konfigurationsdateien ausgelesen und nachfolgend abgebildet. So lässt sich feststellen, welche Anwendungen, Server oder Services mit welchen Komponenten zusammenarbeiten. IT-Administrator*innen erhalten damit ein visuell abstrahiertes Modell ihrer Anwendungslandschaft und können beispielsweise einzelne Applikationsinstanzen im Detail abbilden. So lassen sich getrennt für Entwicklungs-, Produktions- oder produktive Systeme alle benötigten IT-Komponenten aufzeigen, verwalten und abrechnen. Eine solche getrennte Darstellung kann auch sinnvoll sein, um die Ausfallsicherheit der Instanzen mit einer unterschiedlichen Risikobewertung zu versehen. Diese so gewonnenen Informationen und Daten sollten sich aus dem Discovery-Tool in eine CMDB und andere IT-Tools für die Administration überführen lassen, um allen IT-Bereichen einen gemeinsamen Stand der Infrastruktur aufzuzeigen und gemeinsame Prozesse zu ermöglichen, die dazu führen, dass getrennte Silos aufgelöst werden.
Wo jedoch beginnt die Reise?
Ideal ist es, wenn sich ein Discovery-Werkzeug automatisch und eigenständig durch die Infrastruktur arbeitet, ohne dass ein spezieller Startpunkt, wie beispielsweise das initiale Mapping des Netzwerkes, notwendig ist. Manche Tools starten mit der URL einer Anwendung und die Software verfolgt einen Top-Down-Ansatz. Von der obersten Anwendungsschicht ausgehend werden die Kommunikationswege über den Load Balancer auf die Web- und Applikationsserver bis zu den Datenbanken ermittelt. Hierbei kann es jedoch zu Blind Spots auf der Ebene der unteren Infrastruktur kommen, was dann zu gefährlichen Sicherheitslücken führen kann.
Daher sollte das Discovery-Tool beliebige Startpunkte innerhalb der Infrastruktur erlauben und eigenständig alle Netzwerk- und Applikationsebenen analysieren. Wichtig hierbei: der Hersteller des Tools muss eine Aktualisierung der unterstützten Technologien und Produkte anbieten, damit auch neue IT-Komponenten korrekt erkannt werden. Dies gilt vor allem für den sich schnell verändernden Markt der Cloud-Services.
Dem Himmel so nah
Moderne Discovery-Werkzeuge sollten in der Lage sein, Multi-Cloud-Umgebungen zu analysieren, sowie als Discovery-as-a-Service aus der Cloud verfügbar sein. Für IT- Administrator*innen wird somit ein skalierbares Werkzeug schnell verfügbar, das üblicherweise auch sehr einfach in die eigene Infrastruktur integrierbar ist.
Sind alle im Unternehmen konsumierten Cloud-Services als Inventar erfasst, kann die IT-Organisation weitergehende Kapazitätsplanungen durchführen, die Cloud-Nutzung gezielter überwachen und sie bekommt mehr Transparenz in die Kostenkontrolle. Informationen über die Cloud-Nutzung sind beispielsweise für Rollen wie einen Cloud-Architekten oder einen Kapazitätsmanager für die Planung zukünftiger Infrastrukturen wichtig.
Mehr Sicherheit für den IT-Betrieb
Eine zentrale Discovery-Lösung kann der Startpunkt für viele IT-Vorhaben sein, da hier die Informationen für die gesamte IT-Landschaft vorliegen. Da ist es naheliegend, diese Daten zu nutzen, um die IT-Security zu verbessern. Hilfreich ist ein Discovery-Tool vor allem bei der Blind-Spot-Detection, also bei der Erkennung von IT-Komponenten, die bei den üblichen Management-Tools durch das Raster fallen. Das können bei der Nutzung neuer Cloud-Services spezielle Technologien sein, die bislang noch gar nicht im eigenen Rechenzentrum zum Einsatz kamen und daher nicht in den Monitoring-Werkzeugen erfasst sind. Weiterhin werden bei der Entwicklung neuer Anwendungen häufig Proof-of-Concept-Systeme aufgesetzt, die ebenfalls neue Technologien enthalten können. Oder diese Systeme werden nach dem Test einfach vergessen und laufen unbemerkt weiter. Hacker finden solche Lücken mit automatisierten Tools recht schnell und können in die Systeme eindringen, wenn diese unzureichend gesichert sind. Eine automatisierte Erkennung durch Blind-Spot-Detection schafft somit mehr Sicherheit im IT-Betrieb.
Agile Entwicklung unterstützen
Ideal ist zudem, wenn sich die Discovery-Lösung über eine REST API ansprechen lässt. Hier haben Software-Entwickler*innen dann die Möglichkeit, im Rahmen ihres kontinuierlichen CI/CD-Prozesses (Continuous Integration und Continuous Development) ein Rediscovery anzustoßen, sodass transparent wird, welche Veränderungen sich durch die gerade entwickelten IT-Komponenten oder Services ergeben. Durch die Integration der Discovery in die Deployment-Prozesse bleibt so das gesamte Modell der erfassten IT-Landschaft stets aktuell. Neben einer verbesserten Effizienz der Entwicklung steigert dies auch die IT-Security, da alle neu entwickelten Komponenten stets sichtbar sind.
Eine solche API ermöglicht es zudem, die Konfigurationsparameter der IT-Infrastruktur an ein vorhandenes Kontrollsystem zu übertragen. Dort kann ein Vergleich der Ist-Daten mit den hinterlegten Konfigurationsvorgaben (Soll-Daten) erfolgen. Ein Beispiel hierzu wäre die Überwachung von Betriebssystemen der Server auf die jeweils aktuellen Patch-Stände.
Reifegrad des IT-Betriebs steigern
Ausgehend von dieser Vielzahl an Funktionen können Unternehmen im nächsten Schritt das Thema Vulnerability Management angehen, um mögliche Schwächen der IT zu erkennen. Sinnvoll ist es, wenn das Discovery-Tool sich dazu auch Daten aus der National Vulnerability Database, einer Datensammlung der US-Regierung, holen kann. Die hierbei gewonnen Informationen fließen dann in das übergeordnete Schwachstellen-Management ein und helfen dabei, den Reifegrad des IT-Betriebs zu steigern und Prioritäten für das Patchen und Absichern der IT-Systeme zu identifizieren.
Von der Theorie in die Praxis
Die hier beschriebenen Funktionen und Anforderungen finden sich beispielsweise in der ITSM-Plattform BMC Helix sowie dem dort integrierten Discovery-Tool wieder. Materna ist langjähriger Elite-Partner von BMC und konnte bereits viele Hundert Kundenprojekte erfolgreich mit den Service-Management-Lösungen von BMC realisieren.
Weitere Informationen unter: www.materna.de/bmc