IT-Automatisierung bei Behörden mit Red Hat Ansible Automation Platform

Manuelle Tätigkeiten nehmen bei IT-Teams in Behörden einen Großteil der Arbeitswoche in Anspruch, zum Nachteil von Innovationen. Das Bereitstellen eines Servers oder von Storage kann 1–3 Tage pro Person in Anspruch nehmen. Nach der Provisionierung erfordern die Geräte und Anwendungen zeitaufwendige Day 2-Aktivitäten wie Neustarts, Sicherheitspatches und Konfigurationsänderungen.

Manuelle IT-Aktivitäten beeinträchtigen die Effizienz von Behörden. Gründe dafür sind:

• Zeitaufwand: Patching ist besonders aufwendig. Möglicherweise muss ein dringender Patch individuell auf die einzelnen 200 virtuellen Maschinen (VMs) angewendet werden. Neben der Patchinstallation müssen Administrationsteams auch Abhängigkeiten identifizieren und beheben, sich mit den Netzwerk- und Anwendungsteams abstimmen, Anwendungsserver nacheinander herunterfahren, um SLAs einzuhalten, und Load Balancer neu konfigurieren, um den Datenverkehr vom Server, auf dem der Patch installiert wird, umzuleiten. Es wird mehr Zeit darauf verwendet, die Kompetenzen und Tools für die einzelnen Betriebssysteme oder Anwendungen zu erlernen, die gepatcht werden sollen.
• Fehleranfälligkeit: Viele IT-Teams führen Upgrades und Patches für Systeme manuell durch und verfolgen dabei manchmal Prozesse mit Dutzenden oder Hunderten von Schritten. Wenn ein Schritt in diesen Prozessen nicht korrekt ausgeführt wird, kann dies zu Sicherheitsschwachstellen oder sogar zu einem Ausfall führen.
• Vernachlässigung: Nicht installierte Sicherheitspatches – versehentlich ausgelassen oder als taktische Entscheidung von vielbeschäftigten IT-Teams – machen Behörden anfällig für Angriffe. Laut einer Studie des Ponemon Institute hätten 57 % der Angriffe mit einem vorhandenen Sicherheitspatch verhindert werden können.¹
• Ineffizienz: IT-Fachkräfte sollten vor allem für Innovationen eingesetzt werden, die Ihre Aufgaben unterstützen, und nicht für repetitive Tätigkeiten.

Mit Automatisierung können IT-Teams diese Herausforderungen bewältigen. Die Zeit, die Sie durch Automatisieren einer manuellen Aufgabe einsparen, können Sie für die Automatisierung weiterer Aufgaben oder zum Verbessern Ihrer Software- und Infrastrukturabläufe nutzen, sodass Sie Ihre Aufgaben optimal ausführen können. 

IT-Teams in Behörden können mit Red Hat® Ansible® Automation Platform Prozesse in verschiedenen Hardware- und Softwareprodukten automatisieren und koordinieren, darunter Infrastruktur, Netzwerkgeräte, SIEM-Systeme (Security Information and Event Management), Edge-Geräte, Private und Public Clouds sowie ITSM-Systeme (IT Service Management).

Ansible Automation Platform bietet eine End-to-End-Automatisierung für IT-Prozesse und -Aufgaben, unabhängig davon, ob es um das Konfigurieren von Systemen, das Bereitstellen von Patches und anderer Software oder das Orchestrieren erweiterter Workflows geht. Die Plattform kann On-Premise oder bei den Cloud-Anbietern Ihrer Wahl bereitgestellt werden, darunter Amazon Web Services (AWS), Microsoft Azure oder Google Cloud Platform. Dabei stehen gemanagte Versionen zur Verfügung, die Deployment und Operationen weiter vereinfachen.

Ansible Content Collections gehören zur Plattform und sind Pakete mit wiederverwendbaren Modulen, Plug-ins, Playbooks und Rollen zum Automatisieren von IT-Aufgaben. Dazu gehören Datenbank-Patches oder Switch-Konfigurationen, die einer einheitlichen Struktur in einem einzelnen portierbaren Format folgen. Viele dieser Collections sind von Red Hat zertifiziert, aber IT-Organisationen können auch eigene Ansible-Inhalte schreiben, um besondere Anforderungen oder Use Cases zu erfüllen. Administrationsteams können dann Automatisierungsaufgaben in einem einzigen Schritt ausführen und die ursprüngliche Konfiguration genauso effizient wiederherstellen.

Die Automatisierungstechnologie von Red Hat wurde für komplexe Unternehmensumgebungen entwickelt und erfüllt die hohen Anforderungen der IT-Infrastruktur von Behörden. Dazu gehören:

• Niedrige Einstiegshürde: Ansible Automation Platform wird im öffentlichen und privaten Sektor verwendet, sodass qualifizierte Fachkräfte in großer Zahl verfügbar sind. Im Gegensatz zu herkömmlichem Code verwenden Ansible-Inhalte eine von Menschen lesbare Sprache, die einfach zu schreiben und zu lesen ist sowie Selbstdokumentationsfunktionen bietet. Sämtliche IT-Teams – für Computing, Storage, Networking, Betriebssysteme und Anwendungen – verwenden dieselbe Plattform und Sprache.
• Vereinfachte Sicherheit und Governance: Angesichts der Anzahl der Systeme und der Datenmenge, auf die sich Automatisierungscode auswirkt, muss unbedingt überprüft werden, ob der Code aus einer legitimen Quelle stammt. Ansible Automation Platform kann die Automatisierungsinhalte zentral speichern, unabhängig davon, ob sie intern oder von Drittanbietern entwickelt wurden. IT-Teams können die Option wählen, um Automatisierungsinhalte aus beliebigen Quellen nur dann auszuführen, wenn sie digital signiert wurden.
• Ergänzung vorhandener Automatisierungstools: Ansible Automation Platform ersetzt nicht vorhandene produktspezifische Automatisierungstools, sondern verknüpft sie, um ihren Wert zu vervielfachen. So kann beispielsweise ein Team, das Hashicorp Terraform in einem IaC-Ansatz (Infrastructure as Code) verwendet, Terraform-Workflows von Ansible Automation Platform aus aufrufen.
• Integration in gängige IT-Systeme von Behörden: Ansible Automation Platform ist mit Lösungen wie ServiceNow für ITSM, Splunk für SIEM und Dynatrace für Software-Beobachtbarkeit kompatibel und unterstützt IT-Teams beim Orchestrieren ihrer Prozesse für Beobachtung, Entscheidungsfindung, Änderungs- und Konfigurationsmanagement.
• Kontrolle für einzelne Teams über die eigenen Konfigurationen und Prozesse: Das Team, das ein Asset kontrolliert, kontrolliert auch den Zugriff auf dieses Asset und hilft, Sicherheitsrisiken wie Konfigurationsdrift oder nicht autorisierte Berechtigungserweiterung zu vermeiden. Administrationsteams, die beispielsweise einen Prozess innerhalb von Ansible Automation Platform initiieren, beispielsweise Server-Patches oder Software-Upgrades, erhalten keinen privilegierten Zugriff. Stattdessen ruft Ansible Automation Platform die Aktionen auf, die von dem Team definiert wurden, das Eigentümer des jeweiligen Assets ist.
• Ebnet den Weg zur Betriebsgenehmigung:Red Hat arbeitet mit Behörden zusammen, um Anleitungen für einen unkomplizierten Weg zur Betriebsgenehmigung bereitzustellen. Ein Security Technical Implementation Guide (STIG) für den Automation Controller der Ansible Automation Platform – die Verwaltungsschnittstelle der Plattform – steht in der STIG-Document Library im Cyber Exchange des US-Verteidigungsministeriums (DoD) zum Download zur Verfügung. 

Patching und Konfigurationsänderungen: Diese Aufgaben können mit geringem Aufwand automatisiert werden und sorgen so für einen schnellen ROI (Return on Investment).

Provisionierung von Compute- oder Storage-Ressourcen: In einer IDC-Studie nutzten 93 % der Unternehmen mehr als einen Public Cloud-Anbieter.² Als zentrales Tool zur Provisionierung von Ressourcen sowohl On-Premise als auch in Public Clouds trägt Ansible Automation Platform dazu bei, die Komplexität zu reduzieren.

VM-Management: Verwenden Sie Red Hat OpenShift® Virtualization, um VMs neben Containern auf Red Hat OpenShift auszuführen. Verwenden Sie anschließend Ansible Automation Platform, um Day 2 VM-Operationen wie Konfigurationsänderungen, Patching und Neustarts zu automatisieren. Ansible Automation Platform vereinfacht auch die Automatisierung von VMware vSphere-Operationen.

Erstellung von Services mit Selbstreparaturfunktion: Verwenden Sie Event-Driven Ansible, ein Feature von Ansible Automation Platform, um definierte Bedingungen zu überwachen und darauf mit automatisierten Aktionen zu reagieren. Wenn beispielsweise ein Knoten in einem Cluster nicht mehr reagiert, kann Ansible Automation Platform die Services automatisch neu starten.

Bereitstellung eines zeitlich begrenzten Netzwerkzugriffs: Wenn ein Auftragnehmer beispielsweise 24 Stunden lang Zugriff auf ein System benötigt, müssen Admins die Firewall-Ports nach Ablauf dieser festgelegten Zeit schließen. Wenn sie jedoch die von ihnen eingerichtete Erinnerung übersehen, bleibt der Port geöffnet, wodurch eine Sicherheitslücke entsteht. Mit Ansible Automation Platform können Administrationsteams aufgefordert werden, die Endzeit einzugeben, wenn sie einen Job einrichten. Die Ports werden dann automatisch zur angegebenen Zeit geschlossen.

Provisionierung zeitlich begrenzter Ressourcen: IT-Teams in Behörden müssen manchmal für kurze Zeit ihre Cloud-Kapazitäten erhöhen, beispielsweise zur Vorbereitung auf das zeitliche begrenzte Anmeldungsfenster für die Gesundheitsversorgung im US-Gesundheitswesen, die Steuererklärung oder Militäroperationen. Wenn Sie diese Ressourcen jedoch nicht mehr benötigen, können sich die Cloud-Kosten schnell summieren. Mit Ansible Automation Platform können Admins aufgefordert werden, die Zeit für die Freigabe von Ressourcen während der Provisionierung einzugeben.

Unterstützung von automatisierten Vorfallsreaktionen: Zurzeit beseitigen IT-Sicherheitsteams von Behörden Bedrohungen in der Regel Gerät für Gerät, indem sie einen Patch anwenden, einen Port schließen, Nutzende entfernen oder ähnliche Herangehensweisen einsetzen. Eine manuelle Reaktion auf Sicherheitsvorfälle ist jedoch arbeitsintensiv, und das letzte Gerät, das eine Fehlerbehebung durchführt, bleibt länger anfällig als das erste. Mit Ansible Automation Platform können Sicherheitsteams Maßnahmen sofort und ohne Wartezeit auf sämtliche anfälligen Geräte anwenden.

Einführung eventgesteuerter Prozesse: Wenn Ansible Automation Platform in andere Behördensysteme integriert ist, kann es Events in diesen Systemen erkennen und automatisch die entsprechenden Maßnahmen auslösen. Beispiele hierfür sind: Erfüllung einer VM-Anfrage, die über ein IT-Ticketingsystem initiiert wurde, Automatisierung der Serverbereitstellung mit IaC, Erstellung von Konten für neue Mitarbeitende auf Hardware- und Softwaresystemen oder Wiederherstellung der Konnektivität zwischen einem Anwendungsserver und einer Datenbank. 

Ein zentrales IT-Team für eine große Stadt in den USA

Vorher: Das Patchen der einzelnen 90 Oracle-HA-Server (High Availability) dauerte 2 Stunden, das Erstellen von DNS-Einträgen (Domain Name System) 8 Stunden. 2 Personen vom Oracle-Datenbankadministrationsteam und ein Linux® Engineer waren während des Änderungszeitfensters auf Abruf bereit, häufig über das Wochenende.

Mit Ansible Automation Platform: Server-Patches benötigen 81 % weniger Zeit, in der Regel jeweils weniger als 45 Minuten. Mit 90 Servern spart das IT-Team 112,5 Stunden pro Patch – das entspricht 2 Wochen Arbeitszeit eines Vollzeitbeschäftigten. Der Zeitaufwand für das Erstellen von DNS-Einträgen sank um 97 % von 8 Stunden auf 15 Minuten. Außerdem müssen die IT-Mitarbeitenden nicht mehr am Wochenende verfügbar sein.

Eine Vollzugsbehörde

Vorher: Die Behörde hat jeden Monat 25 Linux-VMs neu erstellt, wofür 1 bis 2 Tage Arbeitszeit für 4 Personen benötigt wurden.

Mit Ansible Automation Platform: Automatisierte Linux-VM-Rebuilds dauern jetzt nur noch 30 Minuten und können von eine einzelnen Person durchgeführt werden. Dadurch konnte die Behörde jährlich 1.500 Arbeitsstunden einsparen. Das Service Level hat sich verbessert, da das IT-Team die meisten Wiederherstellungsanfragen in weniger als einem Tag erfüllen kann.

Ein Systemintegrator, der für eine große Bundesbehörde arbeitet

Vorher:Der Systemintegrator erhielt täglich 3–4 Anfragen zum Neustart von VMs. Bei jeder Anfrage musste ein Admin von VMware vCenter die aktuelle Aufgabe 15 Minuten lang unterbrechen, um sich anzumelden, die VM neu zu starten und die Aktivität in das Ticketing-System einzugeben.

Mit Ansible Automation Platform: Anfragen werden automatisch bearbeitet, wodurch ein Admin täglich 45–60 Minuten Zeit einspart.

Registrieren Sie sich für eine kostenlose Testversion von Red Hat Ansible Automation Platform.