Oder: Warum „Einfach“ nicht immer besser ist
Die Testumgebung
Wer IT-Umgebungen sicher (Hier sowohl als safety & security zu verstehen) betreiben will, kommt an einer Testumgebung nicht vorbei. Eine Testumgebung ist sowohl für neue Produkte wie auch bei Änderungen an bestehenden Systemen von enormer Bedeutung. Letztendlich habe ich nur so eine Chance die Auswirkungen meiner Änderungen zu entdecken bevor ich sie am produktiven Systemen umsetzen muss.
Notwendige Bedingung
Damit ich aber Rückschlüsse von meiner Testumgebung auf mein produktives System ziehen kann, muss eine Bedingung zwingend erfüllt sein: Das Testsystem muss dem Produktivsystem in den wesentlichen Aspekten so gleich wie möglich sein.
Diese Voraussetzung ist in der Realität so gut wie nie zu 100 Prozent erfüllbar, aber dennoch sollte man Abweichungen so gering wie möglich halten.
Die Realität
Leider findet man in wirklichen Leben oft einen anderen Zustand. Hier wird vereinfacht wo es nur geht da man mit dem Produktivsystem ja schon genug zu tun hat. Typische Vereinfachungen sind:
- lokale Firewalls deaktiviert
- alle Nutzer haben Domänen-Admin-Rechte
- Dienste laufen mit Domänen-Admin-Rechten
- Alle benutzen sowieso den selben Account, der auch noch Domänen-Admin ist
- Alle Server befinden sich im gleichen Netzsegment
- Freigaben und NTFS Rechte lauten „Jeder“ hat „Vollzugriff“
Den Tester freut dieses Vorgehen da er/sie nie auf natürliche Hindernisse stößt und somit fröhlich testen kann. Die Ergebnisse eines solchen Tests haben aber meist keine Aussagekraft für das Produktivsystem. Der arme Admin, der nun den Auftrag hat, die Änderung in der Produktivumgebung einzurichten, wird nun mit Problemen überschüttet, von denen im Vorfeld nie die Rede war.
Typische Fehlersituationen:
- Dienste können nicht auf den Fileserver zugreifen, weil sie dort keine Lese/Schreibrechte haben oder den Fileserver wegen einer Firewall gar nicht erst erreichen.
- Nutzer können Anwendungen nicht starten wegen fehlender Rechte
- Dienste und Nutzer können nicht auf die Datenbank zugreifen, weil sie dort kein Login haben oder die Berechtigungen nicht stimmen.
- …
Die Liste ließe sich noch beliebig fortsetzen.
Entspricht meine Testumgebung so gar nicht der Produktivumgebung, dann werde ich bei dem Live-System auf einmal viele Probleme haben welche im Test-System nie aufgetreten sind. Hier muss man ganz schnell irgendwelche Lösungen finden welche einem später das Leben unnötig schwermachen können.
Fazit
Auch wenn es mehr Arbeit macht, sollte man gerade bei einer Testumgebung auch so arbeiten wie es dem (späteren) Live-System entspricht. Nur so kann ich sehen ob irgendwelche Berechtigungen fehlen oder mir eine Firewall den Weg versperrt.
http://faq-o-matic.net/?p=8004