Man frage einen beliebigen technischen Leiter in einem beliebigen Unternehmen zur Migration von Software-Systemen in die Cloud: Das Thema Sicherheit wird ganz oben auf der Prioritätenliste stehen. Studien sagen, dass moderne Cloud-Lösungen längst sicherer sind als klassische Server-Instanzen, aber Sicherheit "passiert" nicht aus Versehen. Vielmehr sind sorgsame Planung, Aufmerksamkeit und ein genaues Verständnis des Status quo erforderlich. Hier sind zehn Tipps zum Umstieg von On-Premise-Systemen auf Atlassian Cloud.
Den Umfang des Projekts verstehen
Einem Team, das zum ersten Mal eine Migration zu Atlassian Cloud durchführt, kann es leicht passieren, dass der Umfang des Projekts unterschätzt wird. Das Team hofft, dass ein Knopfdruck genügt und dann alles läuft. Die Realität ist allerdings meist vielschichtiger.
In der Tat sind manche Migrationen einfach und gradlinig. Andere sind wiederum komplex und erfordern viel Planung und Arbeit - beispielsweise wenn mehrere Instanzen in einem Cloud-System konsolidiert werden sollen. Bevor das Team mit dem Management Zeitpläne und Budgets festzurrt, muss es den Umfang des Projekts evaluieren und verstehen - inklusive der Zeit und des Budgets für die technischen Aufgaben und Sicherheitsfragen.
Stack-Analyse
Wo "beginnt" der Umfang einer Migration? Aus der Sicherheitsperspektive ist die Antwort die Analyse der bestehenden Tools. Wie wird heute zum Beispiel der Nutzerzugang verwaltet? Wenn das Team nicht versteht, wie das funktioniert, stehen die Chancen gut, dass wichtige Schritte ausgelassen oder Sicherheitsrisiken übersehen werden.
Nutzer evaluieren
Vorsicht: Die Migration der User kann ein spezielles Sicherheits-Minenfeld sein, auf dem gefährliche Risiken lauern. Deshalb sollte das Team an dieser Stelle besonnen und achtsam vorgehen.
Doch es ist nicht so, dass die User-Migration Sicherheitslücken erschafft. Das Problem besteht darin, dass Unternehmen sich nicht die Zeit nehmen, vor der Migration ihre Nutzerlisten zu evaluieren. Und so werden inaktive User, Anwender mit zu vielen Rechten und Nutzer mit zu wenig Berechtigungen ohne Prüfung eins zu eins in die Cloud umgezogen, was häufig Einfallstore für Risiken eröffnet.
Die Antwort auf dieses hohe Risiko ist die individuelle Evaluation aller User und (wo nötig) die Zugriffsanpassung vor der Evaluation. Manche User brauchen weniger Zugriffsrechte, andere benötigen ungehinderten Zugang zu wichtigen Inhalten. Und diejenigen, die inaktiv sind, sollten endgültig entfernt werden, um potenzielle Angriffsflächen zu vermeiden.
Zu viel Zugriff (also inaktive User und Leute mit zu weitgefassten Berechtigungen) ist ein Sicherheitsrisiko; zu wenig Zugriff, wo Mitarbeiter nicht in Systeme kommen, die sich brauchen, ist wiederum ein Produktivitätsrisiko. Deshalb ist es sinnvoll investierte Zeit, vor der Migration die passende Balance zu finden, um Sicherheit und Produktivität zu gewährleisten, wenn der Umstieg in die Cloud vollzogen ist.
Im Sinne einer erfolgreichen Migration sollte das Unternehmen nicht nur die User und ihre Zugriffsebenen prüfen, sondern auch seine Richtlinien im Hinblick auf den Nutzerzugriff evaluieren. Brauchen die Leute tatsächlich die Zugriffsebenen, die sie haben? Warum? Was passiert, wenn sie sie nicht haben? Dies ist die Zeit, den Prozess zu erkunden, zu hinterfragen und zu aktualisieren und den neuen Prozess zu dokumentieren, zu unterstützen und zu kommunizieren.
Übrigens geht es hier nicht allein um Sicherheit und Produktivität, sondern auch um Geld: Vor allem große Unternehmen können durch das Entfernen inaktiver Nutzer vor der Migration reichlich Kosten sparen.
Die Daten kennen
Was wird gemanagt? Wie wird es geschützt? Womit wird es geschützt? Wenn in der Server-Instanz Datenchaos herrscht, wird auch in der Cloud Datenchaos herrschen. Deshalb ist es auch hier sinnvoll, innezuhalten und die Dinge gründlich zu prüfen. Das Team muss das Nutzermanagement und das Daten-Setup verstehen und wissen, wie sich das Datenmanagement in der Cloud verändert.
Einschätzung und Dokumentation der Kontrollen und Prozesse
In vielen Organisationen sind die Kontrollen und Prozesse zum Schutz der Daten nicht besonders gut dokumentiert sind. Die Prä-Migration ist die perfekte Zeit, um dieses Problem zu beheben, indem das Team die Kontrollen und Prozesse prüft und dokumentiert - inklusive aller Änderungen, die es in der Cloud geben soll.
Ein guter Ausgangspunkt ist die Frage nach den Geschäftsgründen hinter jeder einzelnen Kontrolle. Manchmal ist die Begründung vernünftig und der Prozess kann beibehalten werden. Manchmal ist ein Grund, der einst sinnvoll war, heute überholt, beispielsweise weil Technologien sich weiterentwickelt oder Prozesse geändert haben.
Und manchmal brauchen Probleme einfach schnell Lösungen und es ist Zeit, eine bessere Sicherheitslösung zu finden. Gerade die letzten beiden Punkte bieten erneut das Potenzial, nicht nur die Sicherheitsinfrastruktur zu modernisieren, sondern auch die Produktivität zu verbessern.
Wenn das Team weiß, welche Prozesse und Kontrollen einen zweiten Blick benötigen, ist es an der Zeit für einige schwierige Fragen: Gibt es Differenzen zwischen dem, was eine Kontrolle tun soll, und dem, was sie tatsächlich tut? Gibt es Prozesse, die verbessert werden sollten, bevor der Wechsel in die Cloud stattfindet? Wo liegen Risiken in den Kontrollen und wie lassen sie sich beheben?
Und nachdem das Migrationsteam alle Kontrollen geprüft und gegebenenfalls angepasst hat, bildet die ausführliche Dokumentation den Folgeschritt - von Passwortrichtlinien bis zu technischen Absicherungen.
Regulatorische Anforderungen verstehen
Unter welche Datenschutzgesetze fällt das Unternehmen? Existiert geistiges Eigentum, das zu schützen ist? Ist die Durchführung von Audits vorgeschrieben? Es ist wichtig, diese Anforderungen zu verstehen, um angemessene Entscheidungen dahingehend zu treffen, was wie migriert werden kann und wo vielleicht eine hybride Umgebung zunächst die geeignete Lösung ist.
Von Atlassian Access profitieren
Atlassian Access ermöglicht es, die Cloud-Instanz an einen bestehenden Identity Provider anzubinden. Dadurch entsteht keine Hürde in Form einer operativen Lernkurve im Nutzermanagement. Falls der eingesetzte Identitätsdienst nicht direkt unterstützt wird, gibt es andere Optionen wie die Verbindung über APIs, denn Atlassian entspricht dem Standard-SCIM-Protokoll für die Nutzerprovisionierung.
Das Gesamtbild im Blick behalten
Bei der Migration geht es darum, sich für die Zukunft zu wappnen. Die digitale Transformation, die Cloud und die Remote-Zusammenarbeit haben eine starke Beschleunigung erlebt und sind wichtiger als je zuvor. Und Organisationen, die den Absprung nicht wagen, drohen schnell zurückzufallen.
Aber eine bloße Migration ist nicht genug. Echte langfristige Gewinne entstehen erst, wenn das Unternehmen das große Ganze betrachtet und nicht nur fragt, was heute funktioniert, sondern was auch in fünf oder zehn Jahren und darüber hinaus funktionieren wird. Je mehr langfristige Lösungen jetzt priorisiert werden können (selbst wenn sie länger brauchen und mehr kosten), desto mehr zahlen sie sich langfristig aus.
Einen guten Partner finden
Eine Migration lässt sich durchaus in Eigenregie ohne externe Hilfe stemmen - aber was man nicht weiß, weiß man eben nicht. Deshalb kann die Hilfe eines Partners sehr wertvoll sein, vor allem, wenn sich abzeichnet, dass der Umstieg komplexer wird.
Ein erfahrener Partner mit starkem Security-Hintergrund kann helfen, Lücken und Schritte zu identifizieren, die ein rein internes Team womöglich übersieht oder nicht bedenkt.
Dem gewählten Partner muss klar sein, wie wichtig die Vorabplanung ist und welche Rolle sie im Hinblick auf die Sicherheit spielt. Und dieser Partner muss transparent sein und klare Informationen und Lösungsmöglichkeiten anbieten, aber keine Lösungen ohne Hintergründe diktieren.
Planung regelmäßiger Health-Checks
Schlussendlich ist die Migration eine Möglichkeit zur kontinuierlichen Evaluation und Verbesserung der Sicherheit. Es ist sinnvoll, regelmäßige Checks des Zugriffs, der Prozesse und der Regulierungen als feste Bestandteile einer ständigen "Sicherheitspolitik" zu begreifen. Schließlich kann es nicht gewünscht sein, beispielsweise irgendwann wieder 100 inaktive User mit aktiven Accounts zu finden, die seit Monaten Geld verbrennen und potenzielle Sicherheitslücken eröffnen.
Eines der größten Sicherheitsrisiken der Migration besteht darin, keine Ordnung zu schaffen und die Weichenstellungen halbherzig anzugehen. Und bei alldem sollte das Team anstreben, die Balance zwischen dem Schutz der Daten und der Zugänglichkeit, damit die Leute ihre Arbeit erledigen können.
Haben Sie Fragen zu Atlassian Cloud und zur Migration von Jira, Confluence und Bitbucket? Als Atlassian Platinum Solution Partner mit Erfahrungen aus tausenden Atlassian-Projekten helfen wir Ihnen gerne bei der Evaluation Ihres Projekts und beim Umzug Ihrer Bestandssysteme. Melden Sie sich bei uns!
Weiterführende Infos
Kundenerfahrungen mit der Migration zu Atlassian Cloud
Datensicherheit für Enterprise-Unternehmen in Pandemiezeiten: Nutzerprovisionierung und MDM
Skalierung von Atlassian-Produkten in Konzernen mit hohen Sicherheitsanforderungen
Fragen zur Cloud-Sicherheit, die Unternehmen stellen sollten
