Cloud-Management: Wie man Multi-Cloud-Umgebungen steuert, ohne die Kontrolle zu verlieren

Die meisten Unternehmen planen keine Multi-Cloud-Umgebungen. Sie entstehen vielmehr dadurch, dass verschiedene Teams zu unterschiedlichen Zeitpunkten unterschiedliche Entscheidungen getroffen haben. Das Marketing hat eine SaaS-Plattform auf AWS eingeführt. Die Entwicklung hat auf Azure bereitgestellt. Der ERP-Anbieter läuft auf Google Cloud. Die Backup-Infrastruktur befindet sich in der Datto Cloud. Das Ergebnis ist eine Multi-Cloud-Umgebung ohne einheitliches Governance-Modell und ohne ein einziges Team, das die Verantwortung dafür trägt.

Laut dem „Kaseya State of the MSP Report 2026“ machen Cloud- und Hosting-Dienste 34 % des MSP-Umsatzes aus, was verdeutlicht, wie zentral das Cloud-Management für das MSP-Dienstleistungsportfolio geworden ist. Der „State of the Cloud Report“ von Flexera ergab, dass über 87 % der Unternehmen mittlerweile eine Multi-Cloud-Strategie verfolgen, wobei die meisten ihre Workloads über mehrere Anbieter hinweg verwalten. Die Herausforderung besteht nicht darin, mehrere Clouds einzuführen, sondern darin, diese nach der Einführung einheitlich zu verwalten. Die Plattform von Kaseya unterstützt weltweit über 50.000 MSPs und IT-Teams bei der Verwaltung genau dieser Umgebungen.

Warum Multi-Cloud-Governance schwieriger ist als Single-Cloud-Management

Das Multi-Cloud-Management ist schwieriger als das Single-Cloud-Management – nicht, weil die einzelnen Clouds an sich komplex sind, sondern weil das Problem der übergreifenden Transparenz und Governance erheblich ist. Jeder Anbieter verfügt über eine eigene Konsole, ein eigenes Protokollierungsformat, eine eigene Abrechnungsstruktur, ein eigenes IAM-Modell und eigene Sicherheitskontrollen. Werden diese einzeln verwaltet, führt dies zu einer fragmentierten Transparenz. Eine einheitliche Verwaltung erfordert eine Governance-Ebene, die diese anbieterspezifischen Unterschiede abstrahiert.

Die Unterscheidung zwischen unbeabsichtigter und bewusster Multi-Cloud-Nutzung ist aus betrieblicher Sicht von Bedeutung. Gartner definiert unbeabsichtigte Multi-Cloud-Umgebungen als das Ergebnis unzureichender Governance, von Fusionen und Übernahmen oder von eigenständigen Entscheidungen einzelner Teams, anstatt als Ergebnis einer koordinierten Strategie. Unbeabsichtigte Multi-Cloud-Umgebungen weisen in der Regel kein einheitliches Identitätsmodell, uneinheitliche Sicherheitsstandards, nicht transparenten Kostenaufwand und undokumentierte Abhängigkeiten zwischen Workloads auf. Bewusste Multi-Cloud-Umgebungen weisen zwar dieselbe Komplexität auf, verfügen jedoch über Governance-Strukturen, die von Anfang an darauf ausgelegt sind, diese zu bewältigen.

Die meisten von MSPs betreuten KMU- und Mittelstandskunden nutzen eher zufällig mehrere Clouds. Die Governance-Maßnahmen erfolgen nachträglich. Ein MSP, der einen neuen Kunden übernimmt, muss damit rechnen, dass sich die Cloud-Workloads auf verschiedene Anbieter verteilen, ohne dass es eine einheitliche Tagging-Strategie gibt, dass es mehrere Administratorkonten mit übermäßigen Berechtigungen gibt, dass es keine anbieterübergreifende Backup-Richtlinie gibt und dass die Abrechnungen seit Monaten von niemandem mehr überprüft wurden. Das ist die Ausgangslage, nicht die Ausnahme.

Einheitliche Überwachung über Anbieter hinweg

Benachrichtigungen von AWS CloudWatch, Azure Monitor und Google Cloud Operations sind unterschiedlich formatiert, werden über verschiedene Kanäle übermittelt und verfügen über keine native Korrelationsschicht untereinander. Ein MSP, der Kunden bei allen drei Anbietern betreut, kann realistischerweise nicht für jeden Kunden die Konsole des jeweiligen Anbieters separat überwachen. Das ist betrieblich nicht machbar.

Eine einheitliche Überwachungsebene fasst die Telemetriedaten mehrerer Cloud-Anbieter sowie der lokalen Infrastruktur und Endgeräte zu einem einzigen Alarmstrom und einer einzigen Verwaltungskonsole zusammen. Kaseya Intelligence und korreliert diese Telemetriedaten und nutzt dabei automatisierte Mustererkennung, um Anomalien und Konfigurationsabweichungen in hybriden Umgebungen zu identifizieren, ohne dass ein Techniker die Ereignisse jedes einzelnen Anbieters manuell überprüfen muss.

Für MSPs ist die mandantenübergreifende Transparenz eine betriebliche Grundvoraussetzung: eine einzige Konsole, die den Alarmstatus, den Zustand der Backups und die Konformität der Konfiguration für alle Kunden und alle Cloud-Umgebungen gleichzeitig anzeigt. Ein MSP, der sich bei 30 verschiedenen AWS-Konsolen anmelden muss, um den Zustand der Cloud-Umgebungen von 30 Kunden zu überprüfen, bietet keinen skalierbaren Service an.

Identitätsmanagement in Multi-Cloud-Umgebungen

In Cloud-Umgebungen bildet die Identität die Sicherheitsgrenze, und in einer Multi-Cloud-Umgebung stellt die Identitätsverwaltung die komplexeste Sicherheitsherausforderung dar. Jeder Anbieter verfügt über ein eigenes IAM-Modell. AWS nutzt Rollen und Richtlinien. Azure setzt auf Entra ID und RBAC. Google Cloud verwendet ein eigenes IAM-System. Benutzer und Dienstkonten benötigen häufig Zugriff auf mehrere dieser Systeme, was zu einer weitläufigen Identitätslandschaft führt, in der es an zahlreichen Stellen zu Fehlkonfigurationen bei den Berechtigungen kommen kann.

Die praktischen Risiken: Benutzer mit übermäßigen Berechtigungen in der Umgebung eines Anbieters, weil diese Berechtigungen ohne Überprüfung von einem anderen Anbieter kopiert wurden. Dienstkonten mit Anmeldedaten, die nicht regelmäßig aktualisiert wurden. Administratorkonten, die für ein Projekt erstellt und nie wieder deaktiviert wurden. IAM-Konfigurationen, die in der Konsole des jeweiligen Anbieters korrekt erscheinen, in ihrer Gesamtheit jedoch mehr Zugriff gewähren, als bei einer einzelnen Überprüfung genehmigt worden wäre.

Die Verwaltung dieser Landschaft erfordert einen Überblick darüber, wer bei allen Anbietern Zugriff auf welche Ressourcen hat, sowie die automatisierte Durchsetzung von Richtlinien zum Prinzip der geringsten Berechtigungen. Kaseya 365 bietet die Identitäts- und Zugriffsverwaltungsebene für Microsoft 365 und verbundene Cloud-Umgebungen, einschließlich der Durchsetzung der Multi-Faktor-Authentifizierung und der Überwachung von Anmeldedaten mittels Dark Web ID offengelegte Anmeldedaten zu erkennen, bevor sie missbraucht werden.

Für jede verwaltete Cloud-Umgebung sollten regelmäßige IAM-Zugriffsprüfungen geplant werden: mindestens vierteljährlich, bei Umgebungen, in denen sensible Daten verarbeitet werden, monatlich. Zugriffsprüfungen sind keine Aufgaben, die von selbst erledigt werden. Sie müssen im Kalender vermerkt werden und zu einem dokumentierten Ergebnis führen.

Kostentransparenz und FinOps

Die Abrechnung in Multi-Cloud-Umgebungen ist das offensichtlichste Governance-Problem. Mehrere Anbieter, verschiedene Abrechnungsmodelle, unterschiedliche Rechnungsformate und das Fehlen einer nativen Aggregationsebene bedeuten, dass die Kostentransparenz gezielte Anstrengungen erfordert. Ohne diese Maßnahmen summieren sich die Cloud-Ausgaben auf eine Weise, die niemand vollständig nachvollziehen kann – bis eine Rechnung eintrifft, die deutlich höher ausfällt als erwartet.

FinOps bezeichnet den Ansatz, Cloud-Abrechnungsdaten zu nutzen, um Ressourcenentscheidungen in Echtzeit zu treffen, anstatt Kosten erst am Monatsende nachträglich zu überprüfen. Die Kernkompetenzen von FinOps lassen sich direkt auf die Herausforderungen des Multi-Cloud-Managements übertragen.

Tagging und Zuordnung. Ressourcen, die nicht mit Tags versehen sind, können keinem Team, Projekt oder Kunden zugeordnet werden. Eine einheitliche Tagging-Strategie, die bereits bei der Bereitstellung angewendet und durch Richtlinien durchgesetzt wird, bildet die Grundlage für Kostentransparenz über alle Anbieter hinweg. Ohne Tags sind Kostendaten lediglich eine Gesamtzahl ohne verwertbare Aufschlüsselung.

Ermittlung von Ressourcenverschwendung. Nicht zugewiesene Speicherkapazitäten, ungenutzte Recheninstanzen, verwaisten Load Balancer und vergessene Testumgebungen sind in fast jeder Multi-Cloud-Umgebung anzutreffen, die seit mehr als sechs Monaten in Betrieb ist. Eine monatliche Überprüfung der Ressourcenverschwendung über alle Anbieter hinweg ist in gut verwalteten Umgebungen gängige Praxis.

Reservierte Kapazität. On-Demand-Preise sind das teuerste Betriebsmodell für stabile Workloads. AWS Reserved Instances, Azure Reserved VM Instances und vergleichbare Angebote anderer Anbieter bieten Preisnachlässe, die an eine Nutzungszusage gebunden sind. Die Ermittlung, welche Workloads stabil genug sind, um eine solche Zusage zu machen, und der entsprechende Erwerb reservierter Kapazität ist eine wiederkehrende Beratungsdienstleistung, die MSPs im Rahmen des Cloud-Managements anbieten können.

Warnungen bei Abweichungen. Unerwartete Kostensprünge lassen sich fast immer erkennen, bevor sie auf der Rechnung erscheinen. Budgetwarnungen und die Erkennung von Abweichungen in AWS Cost Explorer und Azure Cost Management bieten eine frühzeitige Warnung, die verhindert, dass ein Fehler bei der Bereitstellung oder ein außer Kontrolle geratener Prozess zu einem erheblichen Kostenfaktor wird.

Verwaltung des Sicherheitsstatus

Die Standards für die Sicherheitskonfiguration variieren je nach Anbieter, und um in einer Multi-Cloud-Umgebung ein einheitliches Sicherheitsniveau zu gewährleisten, ist ein Richtlinienmanagement erforderlich, das den gesamten Stack umfasst. Die häufigsten Sicherheitslücken in Multi-Cloud-Umgebungen sind keine anbieterspezifischen Fehler. Es handelt sich vielmehr um Mängel in der Governance: Kontrollmechanismen, die in einer Umgebung korrekt konfiguriert sind, in einer anderen jedoch fehlen, weil es keinen einheitlichen Mechanismus zur Durchsetzung von Richtlinien gab.

Die fünf Sicherheitsgrundlagen, die in jeder Cloud-Umgebung eines verwalteten Portfolios überprüft werden sollten:

1. Audit-Protokollierung in allen Regionen aktiviert. AWS CloudTrail und Azure Monitor Activity Logs sind die maßgebliche Informationsquelle für die Untersuchung von Vorfällen. Ohne sie arbeiten Sie im Dunkeln.

2. Verschlüsselung im Ruhezustand für alle Speicherressourcen. Die Standardverschlüsselung sollte auf Konto- oder Abonnementebene aktiviert sein, damit neue Ressourcen verschlüsselt werden, sofern dies nicht ausdrücklich außer Kraft gesetzt wird.

3. Keine Sperren für den öffentlichen Zugriff deaktiviert. S3-Sperren für den öffentlichen Zugriff und die entsprechenden Azure-Einstellungen sollten auf Kontoebene aktiviert sein, um eine versehentliche Veröffentlichung zu verhindern.

4. Zwei-Faktor-Authentifizierung für alle privilegierten Konten. Für jedes Administratorkonto bei jedem Anbieter sollte die Zwei-Faktor-Authentifizierung verpflichtend sein. Keine Ausnahmen.

5. Keine zu freizügigen Sicherheitsgruppen oder Firewall-Regeln. Uneingeschränkter eingehender Zugriff (0.0.0.0/0) auf Verwaltungsports wird bei Cloud-Sicherheitsbewertungen regelmäßig festgestellt und ist durchweg vorhanden, wenn Umgebungen nicht offiziell überprüft wurden.

Kaseya SIEM erfasst Telemetriedaten von den wichtigsten Cloud-Plattformen sowie Endpunkt- und E-Mail-Daten und fasst Sicherheitsereignisse aller Anbieter in einer einzigen Erkennungsschicht zusammen. Kaseya Intelligence automatisch auf erkannte Anomalien und schließt so die Lücke zwischen Erkennung und Behebung, ohne dass ein Techniker die Situation prüfen und Maßnahmen ergreifen muss.

Backup-Governance über verschiedene Clouds hinweg

Die nativen Backup-Lösungen der einzelnen Cloud-Anbieter decken die jeweiligen Workloads innerhalb ihres eigenen Ökosystems ab. Eine anbieterübergreifende Backup-Governance, die sicherstellt, dass alle Daten in allen Clouds gesichert, überprüft und an einem unabhängigen Standort wiederherstellbar sind, erfordert eine Backup-Management-Ebene, die sich über alle Anbieter hinweg erstreckt.

Native Backup-Tools weisen in Multi-Cloud-Umgebungen drei konkrete Schwachstellen auf. Erstens bieten sie keine anbieterübergreifende Transparenz: Ein MSP kann den Backup-Status von AWS- und Azure-Workloads nicht über eine einzige Konsole einsehen. Zweitens speichern sie Backups innerhalb des Ökosystems des jeweiligen Anbieters, was bedeutet, dass ein kompromittiertes Konto oder ein Vorfall auf Anbieterseite sowohl die Primärdaten als auch das Backup beeinträchtigt. Drittens berücksichtigen sie keine SaaS-Daten, die einen separaten Schutz durch Cloud-to-Cloud-Backups erfordern.

Das Backup-Portfolio von Datto deckt alle drei Szenarien ab: Datto SIRIS Datto Endpoint Backup Disaster Recovery für lokale Workloads und Server-Workloads, die in die unabhängige Datto Cloud repliziert werden, Datto Backup for Microsoft Azure den Schutz von Azure-VMs und Azure Files außerhalb des Azure-Ökosystems sowie Datto SaaS Protection Daten in Microsoft 365 und Google Workspace. Alle sind auf der einheitlichen Backup-Statusseite des Datto Partner Portals einsehbar, sodass MSPs einen zentralen Überblick über den Backup-Status aller Workload-Typen und aller Kunden erhalten.

Eine umfassende Darstellung der Backup-Architektur für die drei Cloud-Anwendungsfälle finden Sie in „Cloud-Backup: Ein praktischer Leitfaden für IT-Teams und MSPs“.

Dokumentations- und Konfigurationsmanagement

Multi-Cloud-Umgebungen ohne Dokumentation sind betrieblich anfällig. Die Anzahl der Ressourcen, Anbieter, Konfigurationen und Abhängigkeiten in einer typischen Multi-Cloud-Umgebung eines KMU ist so groß, dass es ein erhebliches Risiko darstellt, sich auf institutionelles Wissen statt auf dokumentierte Aufzeichnungen zu verlassen. Wenn die Person, die die Umgebung aufgebaut hat, das Unternehmen verlässt oder wenn ein Vorfall um 2 Uhr morgens eine schnelle Untersuchung erfordert, entscheidet die Dokumentation darüber, ob eine strukturierte Reaktion oder bloßes Raten die Folge ist.

IT Glue die Dokumentationsinfrastruktur für Multi-Cloud-Umgebungen: Zugangsdaten der Anbieter mit kundenweiser Isolierung, Architekturdiagramme, Dokumentation der IAM-Struktur, Runbooks für gängige Wiederherstellungsszenarien sowie die Integration mit Compliance Manager GRC automatisierten Erstellung von Compliance-Nachweisen. Die gleichen Dokumentationsstandards, die für die lokale Infrastruktur gelten, gelten gleichermaßen für Cloud-Umgebungen, und das hohe Tempo der Veränderungen in Cloud-Umgebungen macht es schwieriger und wichtiger, die Dokumentation auf dem neuesten Stand zu halten.

Konfigurationsabweichungen – also die Anhäufung ungeprüfter Änderungen, die vom beabsichtigten Zustand der Umgebung abweichen – sind die eigentliche Ursache für die meisten Sicherheitsvorfälle in der Cloud. Ein Speicher-Bucket, der bei der Bereitstellung korrekt konfiguriert war und drei Monate später durch eine Änderung, die niemand dokumentiert hat, versehentlich öffentlich zugänglich gemacht wurde, ist ein reales und häufiges Szenario. Die kontinuierliche Konfigurationsüberwachung durch Kaseya Intelligence diese Abweichungen, bevor sie zu Vorfällen werden.

Wie Kaseya das Multi-Cloud-Management für MSPs unterstützt

Kaseya 365 Datto RMM erweitern die agentenbasierte Überwachung, das Patch-Management und die Automatisierung von lokal installierten Endgeräten auf cloudbasierte VMs – alles über eine einzige mandantenfähige Konsole.

Kaseya SIEM führt Sicherheitsdaten aus AWS, Azure und Google Cloud sowie Endpunkt- und E-Mail-Daten in einer einheitlichen Erkennungsschicht zusammen.

Kaseya Intelligence nutzt automatisierte Mustererkennung und Reaktion in verwalteten Cloud-Umgebungen und erkennt Konfigurationsabweichungen sowie ungewöhnliche Aktivitäten ohne manuelle Überprüfung.

Kaseya 365 bietet Identitäts- und Zugriffsmanagement für Microsoft 365 und verbundene Cloud-Umgebungen, einschließlich der Durchsetzung der Multi-Faktor-Authentifizierung (MFA) und der Überwachung Dark Web ID .

IT Glue speichert die Dokumentation der Cloud-Umgebung mit kundenweiser Isolierung, Versionshistorie und direkter Integration in Compliance Manager GRC.

Das Backup-Portfolio von Datto bietet unabhängige, unveränderliche Backups für lokale Workloads, Azure-Infrastrukturen und SaaS-Anwendungen sowie einen einheitlichen Überblick über den Backup-Status über eine einzige Konsole im Datto Partner Portal.

Entdecken Sie die Lösungen von Kaseya für den IT-Betrieb und das Cloud-Management