Eine Atlassian Cloud Umgebung ist schnell aufgesetzt, wenige Klicks und man kann anfangen zu arbeiten. Dies ist der typische Ansatz von Cloud (SaaS) Lösungen und entspricht dem Wunsch vieler Anwender.
Hierbei werden allerdings häufig wichtige Schritte in der Einrichtung vernachlässigt und generelle Betriebsfragen unberücksichtigt gelassen.
Die nachfolgende Checkliste soll dabei helfen, die Ersteinrichtung einer Atlassian Cloud Umgebung hinsichtlich Betrieb, Sicherheit und Konfiguration sauber durchzuführen. Die Checkliste hat keinen Anspruch auf Vollständigkeit, stellt aber eine gute Ausgangslage für weitere Punkte dar.
Vorab bietet sich ein Einstieg in das generelle Thema über die Atlassian Seite Atlassian Cloud-Architektur und betriebliche Praktiken an.
Checkliste Atlassian Cloud Setup
Die nachfolgende Liste ist keine Schritt-für-Schritt Anleitung, sondern weißt auf Faktoren hin, die neben dem Einrichtungsassistenten Berücksichtigung finden sollten.
Pre-Setup
Produktauswahl
Die Auswahl der benötigten Produkte klingt banal, kann aber im Detail betrachtet gar nicht so einfach sein. Gerade wenn es um Jira geht, stellt sich die Frage, welche Use Cases ich denn eigentlich abbilden möchte und ob für mich Jira Work Management ausreichend ist oder ob ich Jira Service Management oder Jira Software lizenzieren muss.
Lizenzierung
Die Entscheidung, welche Lizenz für mich die richtige ist, lässt sich relativ schnell treffen, wenn man sich den Lizenzvergleich auf der Seite von Atlassian ansieht, hier z.B. Anhang des Jira Service Management. Ich empfehle den Blick auf Funktionen wie AI, Audit Protokolle, Datenresidenz, IP-Positivlisten, Sandbox und Releaseprogramme.Für eine Gesamtübersicht, welche Kosten auf mich zukommen, kann ich den Preiskalkulator von Atlassian empfehlen.
Atlassian Organisation und Site
Durch die Anlage des ersten Produktes in der Atlassian Cloud wird gleichzeitig eine entsprechende Organisation sowie Site erstellt, hier ist auf die Namensgebung zu achten, da eine Änderung der Site im Nachgang nicht ohne die Mithilfe von Atlassian durchzuführen ist. Weitere Informationen sind diesbezüglich stellt Atlassian hier zur Verfügung.
Setup
Unternehmensdomäne verifizieren
Die Verifizierung der eigenen Unternehmensdomäne innerhalb der Atlassian Cloud gehört zu den ersten Schritten und ist zwingend notwendig, um weitere Funktionen wie z.B. die Anbindung eines zentralen Verzeichnisdienstes zu nutzen. Die Domäne wird via TXT Record in der Domänenverwaltung verifiziert. Hinweis: Nach der Verifizierung werden alle Accounts dieser Domäne, welche bereits innerhalb des Atlassian Universums existieren, zu "Verwalteten Konten". Dies kann zu Nebeneffekten führen, da z.B. die Lizenzierung von Atlassian Access hierdurch beeinflusst werden kann (je nach Use Case).
Benutzer & Gruppen
Woher kommen meine Benutzer und Gruppen? Arbeiten die Personen mit bestehenden Atlassian Accounts? Soll ein Verzeichnisdienst (z.b. Azure) angebunden werden? Sollen Benutzer und Gruppen oder nur Benutzer synchronisiert werden? Wo und wie steuere ich den Zugriff auf die Atlassian Cloud und die weiteren Produkte innerhalb dieser? Gibt es ggfs. Benutzer, welche migriert werden müssen?
Identitätsanbieter
Soll ein Identitätsanbieter an die Atlassian Cloud angebunden werden, gibt es hierzu entsprechende Anleitungen bei Atlassian oder häufig auch den Identitätsanbietern selbst (wie Microsoft). Hierfür ist das Produkt Atlassian Access notwendig, welches entsprechend kostenpflichtig ab dem 1. Benutzer ist. Die technische Anbindung ist trivial, organisatorisch sollte allerdings berücksichtigt werden, wen ich über welche Gruppenmitgliedschaft in Richtung Atlassian synchronisiere und wie später die Authentifizierung (2-Faktor etc.) stattfinden soll, dies gilt es bereits bei der Einrichtung zu berücksichtigen.
Datenresidenz (Speicherort der Anwendungsdaten)
Nach der Ersteinrichtung meiner Atlassian Cloud ist der Standard Speicherort meiner Daten in Amerika, auch, wenn ich das Cloud Setup aus Deutschland vornehme. Dies bedeutet, dass ich mich aktiv dazu entscheiden muss, den Speicherort zu ändern und den Datentransfer (z.B. von Amerika nach Deutschland) durchführen zu lassen. Es bietet sich entsprechend an, dies direkt am Anfang zu tun, damit die Daten gar nicht erst das Land verlassen.
Zugriff auf die Cloud via IP-Positivliste
Grundsätzlich ist Atlassian Cloud von jedem und überall aus erreichbar. So kann auch beispielsweise jeder eine "Anfrage auf Zugriff" stellen, sofern dies nicht deaktiviert wurde. Genehmigt dies nun ein Administrator (und sei es aus Versehen), haben Externe Zugriff auf die Cloud. Dieses Risiko gilt es zu bewerten. Eine deutliche Sicherheitsoptimierung ist es, die IP-Positivlisten zu nutzen und explizit die Netze freizugeben, aus denen die Benutzer zugreifen.
Zugriff via Smartphone App und Sicherheitsoptionen
Der Zugriff via App in die Atlassian Cloud ist eine Standardfunktion. Dies birgt allerdings Risiken, da z.B. über kompromittierte Geräte u.U. ein Vollzugriff auf die Unternehmensdaten möglich ist. Hierfür gibt es auf Seiten der Atlassian Cloud App-Richtlinien, welche die Sicherheit und den Umgang via App optimieren.
Datensicherheit
Datensicherheitsrichtlinien verfolgen einen inhaltsbasierten Ansatz, um zu regeln, wie Ihre Daten in Atlassian-Produkten verwendet werden können. Dies unterscheidet sich von einem benutzerbasierten Ansatz, der auf der Erteilung oder dem Entzug bestimmter Berechtigungen beruht, die es Benutzern oder Anwendungen ermöglichen, bestimmte Aktionen durchzuführen.Datensicherheitsrichtlinien sind nur mit Atlassian Access verfügbar.
Abrechnung
Die Abrechnung der Atlassian Cloud ist weitestgehend selbsterklärend. Ein Punkt sei hier allerdings zu erwähnen: Die Abrechnung der Produkte erfolgt nicht immer über die gleiche Methode. So unterscheidet sich beispielsweise die Abrechnung von Jira und Confluence zu der von Atlassian Access. Beide müssen getrennt konfiguriert werden und es werden auch getrennte Rechnungen erzeugt.
Mailing
Das Thema E-Mail wird i.d.R. unterschieden zwischen eingehenden und ausgehenden E-Mails. Zu dem Thema eingehende E-Mails gibt es hier weiterführende Informationen von uns Eingehende E-Mails in der Atlassian Jira Cloud. Ausgehende E-Mails funktionieren out-of-the-box, allerdings von der Atlassian eigenen Domain. Wird gewünscht, dass der Absender der E-Mails aus den Atlassian Produkten via Unternehmensdomäne ist, muss dies explizit konfiguriert werden.
Kontakte aus externen Apps
Als Administrator können Sie Personen in Ihrer Organisation die Möglichkeit geben, Drittanbieterkontakte zu verbinden. Kontakte von Drittanbietern sind Kontakte aus einer App oder einem Tool außerhalb von Atlassian. Diese Funktion ist im Standard aktiviert, wird aber i.d.R. nicht gewünscht und sollte entsprechend geprüft werden.
Atlassian Intelligence
Atlassian bringt mit Atlassian Intelligence eine AI in die Tools, welche das tägliche Arbeiten unterstützt. Diese Funktion sollte dediziert hinsichtlich Datensicherheit geprüft werden. Weitere Informationen diesbezüglich finden Sie hier.
Erste Konfigurationsschritte (Beispiel Jira)
Die Einrichtung des ersten Projektes erfolgt i.d.R. direkt durch den Atlassian Ersteinrichtungsassistenten. Wenn man berücksichtigt, dass die Anwendung einer homogenen, strukturierten und namentlich einheitlichen Linie folgen soll, empfiehlt es sich, hierbei genau darauf zu achten, wie ich die Projekte anlege. Hierfür hilft es zu verstehen, wie Jira grundsätzlich aufgebaut ist, dies haben wir in dem Blog Post Jira Strukturaufbau beschrieben. "Einfach drauf los" ist eine Methode, die für den ersten Moment funktionieren wird, der Konfigurationsunterbau wird dadurch aber keiner einheitlichen Namensgebung folgen und später zu einer Vielzahl an redundanten Feldern, Workflows und Schemes führen. Hier sei der Hinweis erlaubt: Weniger ist mehr, sinnvolle Namen und geteilte Schemes bringen Klarheit. Workflows sollten unternehmensweit einheitlichen Strukturen folgen.
Ein weiterer Themenkomplex ist das Rollen & Rechtesystem, welches mit einer für mein Unternehmen passenden Struktur einheitlich implementiert werden sollte. Nur so ist gewährleistet, dass Daten geschützt werden und Konzepte zum Off-Boarding von Mitarbeitern sauber funktionieren.
Post-Setup
Einsatz von Apps (Atlassian Marketplace)
Apps erweitern den Funktionsumfang der Atlassian Produkte, teilweise sogar enorm. Wir kennen kaum ein System, was ohne Apps auskommt, wenngleich mittlerweile die Möglichkeiten im Standard bereits sehr weitreichend sind. Bei einem Einsatz von Apps gilt immer zu prüfen, ob diese den Anforderungen an Sicherheit, Datenschutz, Datenresidenz, Support, Dokumentation und Release-Strategien gerecht werden.
Backup & Restore
Wir empfehlen die 3-2-1 Backup Regel:
Daten sollten in drei Kopien bestehen (inkl. dem Original)
Die Daten sollten sich auf mindestens zwei unterschiedlichen Medien befinden
Eine Kopie sollte sich „off-site“, also ausser Haus befinden
Dies bedeutet auch, dass Daten aus der Cloud in einem geeigneten Offline-Medium gesichert werden müssen. Hierfür gibt es ein paar Dinge zu berücksichtigen, beispielsweise, dass ein Backup aus der Atlassian Cloud (je nach Produkt) nur alle 48 Stunden erfolgen kann. Oder auch, dass es derzeit lediglich per Script möglich ist, die Daten aus der Atlassian Cloud auf eigene Server/Medien zu sichern und es hier keine nativen Integrationen in Richtung Offline-Backups gibt. Für kleinere und mittlere Unternehmen haben wir hier eine pragmatische Lösung via Synology NAS dokumentiert. So oder so gilt es, zu prüfen, wie die Backup Strategie für die Atlassian Cloud aussieht.
Monitoring, Abhängigkeit & Verfügbarkeit
Steht die Atlassian Cloud, die jeweiligen Produkte - und wichtig - die u.U. eingesetzten Apps aktuell jedem meiner Mitarbeiter zur Verfügung? Und was tue ich, wenn dies nicht der Fall ist? Wann und wie informiere ich meine Mitarbeiter und wie sehen die weiteren Schritte in solch einem Fall aus?
SaaS Lösungen suggerieren, dass die Produkte immer und überall zur Verfügung stehen - dies ist auch i.d.R. der Fall, eine 100%tige Garantie hierfür gibt es aber nicht. Man ist bei einer SaaS Lösung eben abhängig von dem jeweiligen Hersteller. Sollten also Unternehmenskritische Inhalte in der Atlassian Cloud liegen, auf welche ich unter allen Umständen immer zugreifen können muss, gilt es zu evaluieren, wie dies erreicht werden kann. Hier können offline gespiegelte Systeme oder ggfs. sogar ausgedruckte Informationen eine mögliche Lösung sein.
Release-Strategie von Atlassian
SaaS bedeutet i.d.R. auch, immer die neusten Funktionen zu nutzen. Es bedeutet u.U. aber auch, immer die neusten Bugs des Herstellers zu testen. Möchte man dies verhindern, gilt es einen Blick auf die möglichen Release-Einstellungen innerhalb der Atlassian Cloud zu werfen (Hinweis: deutlicher Unterschied je Lizenz).
Release-Strategie von eigenen Changes
Auch in der Cloud ist es sinnvoll, Changes zu testen, bevor diese produktiv gehen. Innerhalb der Atlassian Cloud gibt es die Möglichkeit, eine Sandbox als Testumgebung zu nutzen - jedenfalls dann, wenn ich die Premium Lizenz besitze. Wenn ich dies nicht tue und Änderungen direkt in der Produktivumgebung durchführe, empfehlen wir als Mindestmaßnahme eine detaillierte Dokumentation der durchgeführten Änderungen, um diese 1. bei Bedarf rückgängig zu machen und 2. nachfolgenden Mitarbeitern Einblick in die Änderungen gewähren.
Betriebshandbuch
Ein Betriebshandbuch für Atlassian Cloud bietet Informationen zu der Konfiguration, Richtlinien, Berechtigungsstrukturen, Verfahrensweisen bei Problemen und Fehlern, Notfallpläne (z.B. Disaster Recovery) sowie Compliance und Auditierung. Ein gut durchdachtes Betriebshandbuch ist also ein wesentliches Instrument, um die Kontinuität und Effizienz der Geschäftsprozesse zu gewährleisten.
Wachstum und Skalierung
Planen Sie voraus für Wachstum. Atlassian Cloud-Produkte skalieren gut, aber es ist wichtig, die Auswirkungen auf Kosten und Leistung bei steigender Benutzerzahl zu verstehen.
Abschließend ist zu sagen, dass die (saubere) Einrichtung einer SaaS Lösung - wie der Atlassian Cloud - mehr bedarf, als den Einrichtungsassistenten durchzugehen. Dies ist wichtig zu verstehen, um dem eigenen Anspruch an Datenschutz, Sicherheit und Betrieb gerecht zu werden.
Comments