Verwaltung von Cloud-Infrastrukturen: Ein Leitfaden für IT-Teams und MSPs

Die Verwaltung von Cloud-Infrastrukturen ist eine vollzeitbeschäftigende operative Aufgabe. Die Vorteile der Cloud (Ressourcen auf Abruf, elastische Skalierung, keine Hardwarewartung) sind real, doch sie machen den Verwaltungsaufwand nicht überflüssig. Vielmehr verändert sich die Art dieser Arbeit: Der Schwerpunkt verlagert sich von der Hardwarewartung hin zu Konfigurationsmanagement, Kostenkontrolle, Sicherheitsüberwachung und Kapazitätsplanung – und das in Umgebungen, die sich schneller verändern als es bei lokalen Infrastrukturen jemals der Fall war.

Laut dem „Kaseya State of the MSP Report 2026“ geben 83 % der MSPs an, dass ihre IT-Management-Tools die betriebliche Effizienz erheblich steigern. Diese Effizienz macht sich zunehmend auch in Cloud-Umgebungen bemerkbar, da die Infrastruktur der Kunden zunehmend aus den lokalen Räumlichkeiten verlagert wird. Die Plattform von Kaseya verwaltet Endpunkte und Cloud-Workloads für mehr als 50.000 MSPs und IT-Teams weltweit und verschafft uns so einen klaren Überblick darüber, wo das Management der Cloud-Infrastruktur erfolgreich ist und wo Teams auf Schwierigkeiten stoßen.

Was das Management von Cloud-Infrastrukturen eigentlich umfasst

Das Management der Cloud-Infrastruktur umfasst die laufenden betrieblichen Maßnahmen, die dafür sorgen, dass Cloud-Umgebungen nach der anfänglichen Migration sicher, leistungsfähig und kosteneffizient bleiben. Es handelt sich dabei nicht um ein einmaliges Projekt. Es ist auch nicht etwas, das der Cloud-Anbieter übernimmt, sobald die Workloads laufen. Vielmehr ist es eine kontinuierliche betriebliche Aufgabe, die eine durchdachte Tool-Auswahl, festgelegte Prozesse und klare Zuständigkeiten erfordert.

Die sechs Kernbereiche sind Konfigurationsmanagement, Patch-Management, Kostenkontrolle, Sicherheitsüberwachung, Datensicherung und Dokumentation. Keiner dieser Bereiche wird an den Cloud-Anbieter übertragen. Sie alle verbleiben in der Verantwortung des Kunden oder seines MSP.

Der entscheidende operative Unterschied zur lokalen Verwaltung liegt im Tempo. In Cloud-Umgebungen können täglich neue Ressourcen bereitgestellt und wieder freigegeben werden. Konfigurationen ändern sich häufig, ohne dass dabei die Reibungsverluste auftreten, die ein lokales Änderungsmanagement mit sich bringen würde. Die Abrechnung läuft kontinuierlich, unabhängig davon, ob Ressourcen produktiv genutzt werden oder im Leerlauf sind. Manuelle Verwaltungsmethoden, die für stabile lokale Umgebungen ausreichend sind, lassen sich auf diese Dynamik nicht übertragen. Ein MSP, der 30 Kunden mit jeweils einer Mischung aus lokalen und Cloud-Workloads verwaltet, kann den Konfigurationsstatus und die Kostenbelastung in diesen Umgebungen nicht manuell nachverfolgen. Tools und Automatisierung sind bei dieser Größenordnung unverzichtbar.

Konfigurationsmanagement und Abweichungen

Konfigurationsabweichungen entstehen durch die Anhäufung manueller Änderungen, die vom beabsichtigten Zustand einer Umgebung abweichen. Sie sind die Ursache für die meisten Sicherheitsvorfälle in der Cloud. Ein Techniker öffnet eine Sicherheitsgruppe, um ein Problem zu beheben, und vergisst, sie wieder zu schließen. Eine neue VM wird ohne aktivierte Verschlüsselung bereitgestellt. Ein Speicher-Bucket wird durch eine nicht aktualisierte IaC-Vorlage falsch konfiguriert. Keine dieser Änderungen löst standardmäßig Warnmeldungen aus. Sie häufen sich unbemerkt an.

Infrastructure-as-Code (IaC)-Ansätze lösen dieses Problem auf der Bereitstellungsebene. Durch die Definition von Infrastrukturkonfigurationen in Code mithilfe von Tools wie Terraform oder Azure Resource Manager-Vorlagen werden Änderungen versionsverwaltet, einer Peer-Review unterzogen und einheitlich angewendet, anstatt manuell über eine Konsole vorgenommen zu werden. Abweichungen vom definierten Zustand lassen sich erkennen.

Für MSPs, die Cloud-Umgebungen ihrer Kunden verwalten, ist IaC nicht immer für jeden Kunden realisierbar. Die praktische Alternative ist die kontinuierliche Überwachung von Konfigurationsänderungen. Kaseya Intelligence Mustererkennung in den verwalteten Umgebungen Kaseya Intelligence , um Konfigurationsänderungen zu identifizieren, die von der Baseline abweichen, und Abweichungen aufzudecken, bevor sie zu einem Sicherheitsvorfall oder einem Verfügbarkeitsproblem führen.

Patch-Management für Cloud-VMs

In der Cloud gehostete virtuelle Maschinen unter Windows oder Linux erfordern genau dasselbe Patch-Management wie lokale Server. Der Cloud-Anbieter ist für den Hypervisor und die physische Infrastruktur verantwortlich. Das Gastbetriebssystem, die installierten Anwendungen und die gesamte Software oberhalb der Hypervisor-Ebene liegen weiterhin in der Verantwortung des Kunden.

Dies ist einer der am häufigsten missverstandenen Aspekte des Modells der geteilten Verantwortung in der Cloud. Eine EC2-Instanz oder Azure-VM, auf der ein nicht gepatchtes Betriebssystem läuft, ist genauso anfällig wie ein lokaler Server im gleichen Zustand. Der Cloud-Anbieter wird sie nicht patchen.

Sowohl VSA als auch Datto RMM erweitern das automatisierte Patch-Management auf Cloud-gehostete Endgeräte, wobei sie dieselbe agentenbasierte Bereitstellung und richtliniengesteuerte Automatisierung nutzen, die auch für lokale Server zum Einsatz kommt. Cloud-VMs werden zusammen mit lokalen Endgeräten registriert, über dieselbe Konsole verwaltet und unterliegen denselben Patch-Richtlinien. Ein MSP benötigt für das Patchen keinen separaten Cloud-Management-Workflow.

Ein praktisches Beispiel: Ein MSP, der das Patch-Management für 500 lokale Endgeräte durchführt, kann dieselben Richtlinien auf 50 Azure-VMs ausweiten, die ein Kunde für eine neue Anwendung eingerichtet hat – und zwar ohne zusätzliche Tools oder Arbeitsabläufe –, indem er den Datto RMM- oder VSA-Agenten während des Bereitstellungsprozesses der VMs installiert.

Kostensteuerung

Die Abrechnung von Cloud-Diensten ist komplex, dynamisch und ohne aktives Management schwer zu prognostizieren. Im Gegensatz zu einer lokalen Infrastruktur, bei der die Kosten weitgehend feststehen, sind Cloud-Kosten naturgemäß variabel. Diese Variabilität wirkt sich zu Ihrem Vorteil aus, wenn sich die Arbeitslasten verringern. Sie wirkt sich jedoch nachteilig aus, wenn sich ungenutzte Ressourcen, überdimensionierte Instanzen und vergessene Testumgebungen unbemerkt ansammeln.

Die vier Maßnahmen zur Kostenkontrolle, die verhindern, dass die unkontrollierte Ausweitung der Cloud die Kostenvorteile untergräbt, die ursprünglich für ihre Einführung ausschlaggebend waren:

Optimierung der Instanzgrößen. Instanzen, die für Spitzenauslastungen bereitgestellt und nach dem Spitzenbedarf nie wieder verkleinert werden, sind eine häufige Ursache für Verschwendung. Regelmäßige Überprüfungen zur Optimierung der Instanzgrößen, gestützt auf Metriken von CloudWatch oder Azure Monitor, identifizieren Instanzen, die deutlich unter ihrer bereitgestellten Kapazität laufen, und empfehlen kleinere Instanztypen.

Reservierte Kapazität. On-Demand-Preise sind die teuerste Variante für den Betrieb stabiler Workloads. AWS Reserved Instances und Azure Reserved VM Instances bieten Preisnachlässe von bis zu 72 % bei einer Laufzeit von einem oder drei Jahren. Workloads mit vorhersehbaren, stabilen Nutzungsmustern sollten auf Basis reservierter Preise und nicht im On-Demand-Modell betrieben werden.

Bereinigung nicht genutzter Ressourcen. Nicht zugewiesene EBS-Volumes, ungenutzte Elastic IPs, verwaist gewordene Load Balancer und vergessene Speicher-Buckets verursachen Kosten, ohne einen Mehrwert zu bieten. Eine monatliche Überprüfung nicht genutzter Ressourcen ist ein fester Bestandteil der Cloud-Kostenverwaltung.

Budgetwarnungen. Unerwartete Kostensprünge lassen sich fast immer erkennen, bevor sie auf der Rechnung erscheinen. Durch das Einrichten von Budgetwarnungen in AWS Cost Explorer oder Azure Cost Management erhalten Sie eine frühzeitige Warnung, bevor ein Fehler bei der Bereitstellung oder ein außer Kontrolle geratener Prozess zu einem erheblichen Kostenfaktor wird.

Für MSPs ist Kostenmanagement auch eine Chance, neue Einnahmen zu generieren. Wenn Sie vermeidbare Cloud-Kosten in Höhe von 400 Dollar pro Monat aufdecken und einsparen, werden Sie zum vertrauenswürdigen Berater. Wenn Sie dies versäumen, sind Sie derjenige, der den Kunden Geld verschwenden lässt.

Sicherheitsüberwachung

Cloud-Umgebungen generieren umfangreiche Sicherheitstelemetriedaten: IAM-Aktivitätsprotokolle, Netzwerkflussprotokolle, API-Aufrufe, Konfigurationsänderungen und Authentifizierungsereignisse. Die Herausforderung für MSPs, die hybride Umgebungen verwalten, besteht darin, diese Telemetriedaten zusammen mit Endpunkt- und E-Mail-Daten zu einem einheitlichen Sicherheitsüberblick zu verdichten. Sich für jeden Kunden separat bei AWS CloudTrail und Azure Monitor anzumelden, um Sicherheitsereignisse zu überprüfen, ist kein skalierbares Betriebsmodell.

Kaseya SIEM erfasst Telemetriedaten von den wichtigsten Cloud-Plattformen sowie Endgeräte-, Netzwerk- und E-Mail-Daten und bietet so über eine einzige Konsole einen einheitlichen Überblick über die Sicherheit in hybriden Umgebungen. Kaseya Intelligence automatisierte Mustererkennung auf diese Telemetriedaten Kaseya Intelligence , um Anomalien zu identifizieren, die bei einer regelbasierten Überwachung übersehen würden, und führt Gegenmaßnahmen durch, ohne darauf zu warten, dass ein Techniker die Situation überprüft und handelt.

Drei grundlegende Sicherheitsüberwachungsmaßnahmen, die in jeder verwalteten Cloud-Umgebung vorhanden sein sollten:

1. Cloud-Auditprotokollierung in allen Regionen aktiviert. AWS CloudTrail und Azure Monitor Activity Logs sind die verlässliche Quelle dafür, wer in der Cloud-Umgebung welche Aktionen durchgeführt hat. Ohne sie gleicht die Untersuchung von Vorfällen einem Blindflug.

2. Warnmeldungen bei privilegierten Aktionen. Änderungen an IAM-Richtlinien, die Einrichtung neuer Administratorkonten und Änderungen an Sicherheitsgruppen sollten sofortige Warnmeldungen auslösen. Dies sind die Aktionen, die den meisten Sicherheitsverletzungen in Cloud-Umgebungen vorausgehen.

3. Erkennung von Konfigurationsänderungen. Änderungen an sicherheitsrelevanten Ressourcen, Verschlüsselungseinstellungen, Netzwerksteuerungen und Konfigurationen für den öffentlichen Zugriff sollten erkannt und überprüft werden und nicht erst im Rahmen eines vierteljährlichen Audits entdeckt werden.

Sicherung für Cloud-Infrastruktur

Cloud-native Backup-Tools wie AWS Backup und Azure Backup bieten Funktionen zur Wiederherstellung des Betriebs innerhalb des Ökosystems des Anbieters. Was sie jedoch nicht bieten, ist Unabhängigkeit von diesem Ökosystem. Ein kompromittiertes Cloud-Konto, ein Ransomware-Angriff, bei dem Cloud-Zugangsdaten in die Hände von Angreifern gelangen, oder ein Vorfall auf Anbieterseite kann sowohl die primären Workloads als auch die Backups desselben Kontos gleichzeitig beeinträchtigen.

Ein unabhängiges, unveränderliches Backup, das außerhalb der Infrastruktur des Anbieters gespeichert wird, bildet die zusätzliche Schutzebene gegen solche Szenarien. Datto Backup for Microsoft Azure Azure-VMs und Azure Files in die Datto Cloud – außerhalb des Azure-Ökosystems – und bietet dabei unveränderlichen Speicher, stündliche Replikation sowie eine Pauschalpreisgestaltung, die die Unvorhersehbarkeit von Datenausgangskosten beseitigt.

Einen umfassenden Überblick über Cloud-Backups, einschließlich der Sicherung von lokalen Daten in die Cloud über Datto SIRIS der SaaS-Datensicherung über Datto SaaS Protection, finden Sie in unserem Leitfaden zum Thema Cloud-Backups.

Dokumentation

Cloud-Umgebungen ohne Dokumentation sind im Betrieb anfällig. Das Wissen darüber, welche Ressourcen vorhanden sind, warum sie vorhanden sind, wie sie konfiguriert sind und wie sie miteinander verbunden sind, ist für die Reaktion auf Vorfälle, die Einarbeitung neuer Teammitglieder, Sicherheitsüberprüfungen und den Nachweis der Compliance unerlässlich.

Das rasante Tempo des Wandels in Cloud-Umgebungen macht die Dokumentation schwieriger als in lokalen Umgebungen – und umso wichtiger. Eine virtuelle Maschine, die vor sechs Monaten für ein inzwischen abgeschlossenes Projekt bereitgestellt wurde, nie mit Tags versehen oder dokumentiert wurde, auf Kostenbasis läuft und keinen Verantwortlichen hat, ist ein echtes und weit verbreitetes Problem. Eine undokumentierte Sicherheitsgruppenregel, die jemand während eines nächtlichen Vorfalls hinzugefügt hat, stellt ein Sicherheitsrisiko dar, das erst dann zutage tritt, wenn ein Prüfer oder ein Sicherheitsvorfall es sichtbar macht.

IT Glue die Dokumentationsinfrastruktur für Cloud-Umgebungen: VPC-Architekturdiagramme, IAM-Struktur, Konfigurationen von Sicherheitsgruppen, Runbooks für die Notfallwiederherstellung sowie Zugangsdaten – alles gespeichert mit kundenweiser Isolierung und kontrolliertem Zugriff. Compliance Manager GRC in IT Glue Compliance Manager GRC , IT Glue Compliance-Nachweise direkt in die Kundendokumentation zu übernehmen, wodurch sich der manuelle Aufwand bei der Vorbereitung von Audits verringert.

Wie Kaseya 365 das Management von Cloud-Infrastrukturen Kaseya 365

VSA und Datto RMM erweitern das agentenbasierte Patch-Management, die Überwachung und die Automatisierung von lokal installierten Endgeräten auf cloudgehostete Windows- und Linux-VMs – alles über eine einzige Konsole.

Kaseya SIEM erfasst neben Endpunkt- und E-Mail-Daten auch Telemetriedaten aus der Cloud-Plattform und bietet so einen einheitlichen Überblick über die Sicherheit in hybriden Umgebungen.

Kaseya Intelligence nutzt automatisierte Mustererkennung und Reaktion in verwalteten Umgebungen und erkennt Konfigurationsabweichungen sowie ungewöhnliche Aktivitäten, ohne dass jedes Ereignis manuell überprüft werden muss.

Datto Backup for Microsoft Azure bietet unabhängige, unveränderliche Backups für Azure-Workloads außerhalb des Azure-Ökosystems, mit stündlicher Replikation und einer Pauschalpreisgestaltung.

IT Glue speichert Dokumentation für Cloud-Umgebungen mit kundenweiser Isolierung, Versionshistorie und direkter Integration mit Compliance Manager GRC Erstellung von Prüfungsnachweisen.

Entdecken Sie Kaseya 365 die Verwaltung von Cloud- und Hybridumgebungen