Governance-Modell für die End-to-End-Automatisierung in der Cloud: Sichere Anwendungsentwicklung mit der Power Platform
Die Microsoft Power Platform ermöglicht es Mitarbeitern ohne Programmierkenntnisse, eigene Anwendungen zu erstellen. Doch ohne klare Regeln und IT-Überwachung droht eine unkontrollierte Schatten-IT. Ein durchdachtes mehrstufiges Governance-Modell ist daher unerlässlich.
In der modernen Geschäftswelt ist die zunehmende Verlagerung von Prozessen in die Cloud unübersehbar. Diese Entwicklung hat zu einer Revolution in der Art und Weise geführt, wie Unternehmen ihre Abläufe automatisieren und optimieren. Die Microsoft Power Platform ist ein weit verbreitetes Werkzeug bei dieser Transformation hin zur End-to-End-Automatisierung in der Cloud.
Als integraler Bestandteil des Microsoft Office-365-Ökosystems bietet die Power Platform Unternehmen eine Grundlage für die Entwicklung von Geschäftsanwendungen und die Automatisierung von Prozessen durch Low-Code/No-Code-Lösungen. Dieser Ansatz ermöglicht es Nicht-Programmierern, sogenannten Citizen-Developern, aktiv an der Digitalisierung und Automatisierung von Geschäftsprozessen mitzuwirken.
Die Microsoft Power Platform ist ein Anwendungsentwicklungsset. Sie setzt sich aus fünf Hauptkomponenten zusammen, die alle auf der gemeinsamen Dataverse-Plattform von Microsoft
aufbauen:
- Power BI ist ein Tool zur Geschäftsanalyse, das es Nutzern ermöglicht, Daten aus einer Vielzahl von Quellen zu visualisieren und zu analysieren.
- Power Apps ermöglicht es, sowohl einfache als auch komplexe Anwendungen mit wenig oder keinem Code zu entwerfen.
- Power Automate ist ein Tool zur Automatisierung von Workflows zwischen verschiedenen Anwendungen und Diensten.
- Power Virtual Agents (Copilot Studio) ermöglicht die Erstellung intelligenter Chatbots, die mit den Benutzern interagieren.
- Power Pages ist zur Erstellung von interaktiven datengesteuerten Geschäftswebsites gedacht.
Die Power Platform ist eng mit anderen Microsoft-Diensten wie Office 365, Dynamics 365 und Azure verknüpft. Die cloudbasierte Datenplattform Dataverse spielt dabei eine zentrale Rolle, da sie eine einheitliche Datenbank bietet, die eine konsistente Datennutzung über alle Komponenten der Plattform hinweg ermöglicht.
Ein entscheidendes Merkmal der Power Platform ist ihre Einfachheit: Die Low-Code- beziehungsweise No-Code-Funktionalität ermöglicht es Anwendern, ihre eigenen Lösungen zu erstellen und anzupassen, ohne auf die IT-Abteilung angewiesen zu sein. Der Aufbau und Einsatz solcher sogenannter Citizen-Developer bietet Unternehmen somit die Option, die digitale Transformation voranzutreiben.
Eine der größten Chancen hierbei ist die Beschleunigung der Anwendungsentwicklung: Indem Fachkräfte, die direkt mit den Geschäftsprozessen vertraut sind, eigene Lösungen erstellen können, wird die Abhängigkeit von IT-Abteilungen reduziert und die Umsetzungsgeschwindigkeit erhöht. Das fördert eine agile Arbeitsweise und damit eine schnelle Reaktion auf sich ändernde Geschäftsanforderungen. Allerdings benötigen Unternehmen dafür auch ein durchdachtes Governance- und Sicherheitskonzept.
Herausforderungen für die Sicherheit
Die Implementierung von cloudbasierten Automatisierungslösungen wie der Microsoft Power Platform bringt Herausforderungen im Bereich der Informationssicherheit mit sich. Dazu gehört die Sicherstellung der Datenintegrität und -vertraulichkeit in einer Umgebung, in der möglicherweise sensible Unternehmensdaten in der Cloud gespeichert und verarbeitet werden.
Die Integration der Power Platform in bestehende IT-Infrastrukturen und Datenbanken muss sicher erfolgen, um potenzielle Schwachstellen zu minimieren. Ebenso wichtig ist es, die Zugriffskontrolle zu gewährleisten und unberechtigten Zugriff auf sensible Daten zu verhindern.
Die Einhaltung von Datenschutzvorschriften und Compliance-Richtlinien stellt eine weitere große Herausforderung dar, besonders in Branchen mit strengen Compliance-Anforderungen wie dem Gesundheitswesen, dem Finanzwesen und der Regierung.
Darüber hinaus birgt die Befähigung von Citizen-Developern durch Low-Code/No-Code-Plattformen das Risiko von Schatten-IT, also von unkontrollierten IT-Projekten innerhalb einer Organisation. Solche Projekte entstehen außerhalb der IT-Abteilung und entziehen sich oft den etablierten Sicherheits- und Compliance-Standards, da den Entwicklern beispielsweise das nötige Sicherheitsbewusstsein fehlt und sie Schwierigkeiten haben, den Überblick über alle erstellten Anwendungen und deren Zugriffsrechte zu behalten.
Die Herausforderung besteht darin, die Innovationskraft von Citizen-Developern zu nutzen und gleichzeitig Sicherheitsrisiken zu minimieren sowie Governance-Standards einzuhalten. Eine proaktive Sicherheitsstrategie, die sowohl technische als auch organisatorische Maßnahmen umfasst, ist daher unerlässlich.
Best Practices: Mehrstufiges Governancemodell
Um den Herausforderungen der Informationssicherheit bei der Nutzung von Cloud-Plattformen wie der Microsoft Power Platform zu bewältigen, ist ein effektives Governance-Modell entscheidend. Ein solches mehrstufiges Modell bietet einen strukturierten Ansatz, um sicherzustellen, dass die Verwendung der Power Platform den Unternehmensrichtlinien entspricht.
Dazu gehören die Definition von Rollen und Verantwortlichkeiten, die Einrichtung von Richtlinien für die Anwendungsentwicklung und -nutzung sowie die Überwachung und Kontrolle von Datenzugriffen und -flüssen. Das Governance-Modell für die Microsoft Power Platform umfasst fünf Stufen (siehe auch Abbildung 1):
Abbildung 1: Fünfstufiges Governance-Modell zur Microsoft Power Platform (Bild: Almato AG)
1. Mandantenzugriff (Zugang und Isolation auf Tenant-Ebene)
Die Sicherheit beginnt auf der obersten Ebene des Tenants. Hier werden die Richtlinien festgelegt, die für alle Umgebungen und Ressourcen innerhalb des Tenants gelten. Diese Ebene ist entscheidend, um sicherzustellen, dass der Datenfluss zwischen verschiedenen Organisationen sicher ist. In der Power Platform ist ein Mandant eine dedizierte Instanz der Plattform, die für eine bestimmte Organisation eingerichtet wird. Der Zugriff auf einen Mandanten wird durch Azure Active Directory (Entra ID) gesteuert.
Die Power Platform bietet verschiedene Mechanismen, um die Isolation auf Mandantenebene zu gewährleisten:
- Datenbankisolation: Die Daten jedes Mandanten werden in einer separaten Datenbank gespeichert.
- Berechtigungsgrenzen: Berechtigungen können auf Mandantenebene zugewiesen werden.
- Sicherheitskonfiguration: Die Sicherheitskonfiguration der Power Platform kann auf Mandantenebene angepasst werden.
2. Umgebungsstrategie (Environment Access & Strategy)
Umgebungen sind Container, die Administratoren nutzen können, um Apps, Workflows, Verbindungen und andere Assets zu verwalten. Umgebungen sind an einen geografischen Standort
gebunden und können für verschiedene Zielgruppen oder Zwecke wie Entwicklung, Test und Produktion verwendet werden. Es gibt sieben Arten von Umgebungen (siehe Tabelle 1).
Tabelle 1: Arten von Umgebungen
Der Zugriff auf Umgebungen wird durch Berechtigungen gesteuert, die Benutzern und Teams zugewiesen werden können. Bei der Festlegung sollte das Prinzip des geringsten Privilegs (Least-
Privilege-Prinzip) angewendet werden.
3. Ressourcenzugriff (Resource Permissions)
Diese Ebene bezieht sich auf die Berechtigungen, die Benutzern für den Zugriff auf bestimmte Ressourcen innerhalb einer Umgebung gewährt werden. Es gibt verschiedene Arten von Berechtigungen, zum Beispiel Lesen, Schreiben, Löschen, Teilen und Verwalten. Die richtige Zuweisung von Ressourcenberechtigungen ist entscheidend, um eine sichere und effektive Governance zu gewährleisten.
4. Konnektoren und Datenverlustrichtlinien (Connector Access and Data Loss Policies)
Auf dieser Ebene werden Richtlinien definiert, die den Zugriff auf Konnektoren steuern und Datenverlust verhindern. Konnektoren sind die Schnittstellen, die die Kommunikation zwischen den Power-Platform-Diensten und externen Diensten ermöglichen. Es ist wichtig, Konnektoren in unterschiedliche Risikogruppen zu kategorisieren, um ungewünschten Datenverlust zu vermeiden (siehe Abbildung 2). Für jede Kategorie sollten entsprechende Data-Loss-Prevention-(DLP)-Richtlinien gelten.
Abbildung 2: Konnektoren ermöglichen die Kommunikation zwischen den Power-Platform-Diensten und externen Diensten. Für den Zugriff auf die Konnektoren sollten DLP-Richtlinien definiert werden.
5. On-Premises Data Gateway
Diese Komponente sichert die Datenübertragung zwischen lokalen Quellen und Cloud-Diensten wie Power BI, Power Automate, Logic Apps und Power Apps. Updates für das lokale Daten-Gateway müssen manuell installiert werden, daher sollte man die Gateway-Version stets aktuell halten.
Zukunftstrends
Die Informationstechnologie entwickelt sich ständig weiter, besonders im Bereich der Cloud-Plattformen und der Automatisierung. Diese Dynamik bringt sowohl neue Herausforderungen als auch Chancen mit sich, die im Kontext der Informationssicherheit zu betrachten sind.
Die Cloud-Technologie wird weiter an Bedeutung gewinnen, wobei der Schwerpunkt auf Sicherheit, Skalierbarkeit und Flexibilität liegen wird. Technologische Fortschritte, wie verbesserte künstliche Intelligenz und Automatisierungsfunktionen, eröffnen zudem neue Möglichkeiten für Unternehmen, ihre Prozesse zu optimieren und zu personalisieren. Gleichzeitig stellen diese Entwicklungen Unternehmen vor neue Sicherheitsherausforderungen, insbesondere im Bereich des Datenmanagements und Datenschutzes.
Künstliche Intelligenz (KI) wird eine zunehmend wichtige Rolle in der Informationssicherheit spielen. KI-basierte Systeme können dabei helfen, Sicherheitsbedrohungen proaktiv zu erkennen und darauf zu reagieren, indem sie Muster im Datenverkehr und Nutzerverhalten analysieren. Diese Technologien könnten die Effizienz von Sicherheitsmaßnahmen steigern und neue Standards setzen.
In einer sich schnell verändernden IT-Welt ist die kontinuierliche Anpassungsfähigkeit von Unternehmen entscheidend. Dazu gehört die regelmäßige Aktualisierung von Sicherheitssystemen, die Anpassung von Geschäftsprozessen an neue Technologien und die fortlaufende Schulung der Mitarbeiter. Die zukünftige Landschaft der Informationstechnologie und Automatisierung wird zweifellos von Innovationen und Weiterentwicklungen geprägt sein, die sowohl Chancen als auch Herausforderungen für die Informationssicherheit darstellen. Unternehmen, die proaktiv auf diese Trends reagieren und ihre Strategien entsprechend anpassen, werden am besten in der Lage sein, um von diesen Entwicklungen zu profitieren.
Michael Arns ist Director Process Automation bei der Almato AG – ein Unternehmen der DATAGROUP.