Was ist CDMC? Ein praktischer Leitfaden zum Cloud Data Management Capabilities-Framework

Cloud-Umgebungen haben das Datenmanagement verändert. Daten bewegen sich heute über Regionen hinweg, Identitäten sind föderiert, Speicher und Rechenressourcen skalieren unabhängig voneinander, und Zugriffsentscheidungen hängen zunehmend von APIs, Richtlinien und Metadaten ab, die kontinuierlich ausgewertet und nicht erst im Nachhinein überprüft werden müssen.

Das CDMC-Framework (Cloud Data Management Capabilities) hilft Unternehmen dabei, die Verwaltung und Kontrolle von Daten in Cloud-, Multi-Cloud- und Hybrid-Cloud-Umgebungen zu bewerten und zu verbessern.

CDMC ist ein Best-Practice-Bewertungs- und Zertifizierungs-Framework. Das Framework wurde von der CDMC Working Group unter Beteiligung von mehr als 300 Personen aus über 100 Unternehmen entwickelt, und die ersten CDMC-Kontrollen wurden 2021 veröffentlicht. Das Framework wird vom EDM Council unter einer kostenlosen Lizenz für die interne Nutzung zur Verfügung gestellt.

CDMC unterscheidet sich von Frameworks wie DAMA-DMBOK oder DCAM. DAMA-DMBOK ist eine Wissenssammlung für das Datenmanagement als Disziplin, während DCAM umfassendere Datenmanagement-Fähigkeiten von Unternehmen bewertet. CDMC geht davon aus, dass diese Grundlagen wichtig sind, richtet den Fokus jedoch auf die Kontrollen, die zur Verwaltung sensibler Daten in Cloud-Umgebungen erforderlich sind – wo Automatisierung, die Durchsetzung von Richtlinien und die kontinuierliche Beweiserfassung Teil des Designs sind und keine optionale, nachträglich hinzugefügte Ebene darstellen.

Im Kern ist CDMC um 14 wichtige Kontrollen und Automatisierungen herum aufgebaut, die in sechs Bereiche unterteilt sind:

Die 14 Kontrollen lassen sich leichter handhaben, wenn man sie durch die sechs operativen Bereiche betrachtet, die sie gemeinsam unterstützen:

1. Governance & Verantwortlichkeit deckt die grundlegende Kontrollebene ab: Einhaltung der Datenkontrolle, Eigentümerschaft, maßgebliche Datenquellen und Bereitstellungspunkte sowie Datensouveränität und grenzüberschreitender Datenverkehr. Ein Team sollte in der Lage sein, aufzuzeigen, wem ein sensibles Asset gehört, woher es stammt, wie die Compliance überwacht wird und ob Datenbewegungen zwischen Gerichtsbarkeiten gesteuert werden und überprüfbar sind.
2. Katalogisierung & Klassifizierung befasst sich damit, ob sensible Daten bei der Erstellung oder Erfassung automatisch katalogisiert und klassifiziert werden und ob dieser Prozess über verschiedene Umgebungen hinweg konsistent bleibt. Dies ist eines der deutlichsten Beispiele für die Cloud-Ausrichtung von CDMC, da das Framework davon ausgeht, dass der Katalog eine aktive Kontrolloberfläche und kein statisches Inventar ist.
3. Zugänglichkeit & Nutzung deckt Berechtigungen, Zugriffsstandards und den Zweck der Datennutzung ab. Der Zugriff auf sensible Daten sollte standardmäßig den Ersteller:innen und Eigentümer:innen vorbehalten sein, der Zugriff sollte nachverfolgt werden, und der Zweck der Datennutzung sollte für Data-Sharing-Vereinbarungen angegeben werden, die sensible Daten betreffen.
4. Schutz und Datenschutz umfasst angemessene Sicherheitskontrollen für sensible Daten und die automatische Auslösung von Datenschutz-Folgenabschätzungen für personenbezogene Daten je nach Gerichtsbarkeit. Hier verknüpft CDMC Governance-Anforderungen am deutlichsten mit Datenschutzmaßnahmen und -nachweisen.
5. Datenlebenszyklus deckt Aufbewahrung, Archivierung, Löschung und Messung der Datenqualität ab. Das Diagramm des EDM Council ordnet die Messung der Datenqualität hier ein und nicht in einer separaten, übergeordneten Qualitätsdomäne. Dies ist ein nützliches Signal dafür, dass Qualität als Teil der fortlaufenden Lebenszykluskontrolle behandelt wird – und nicht nur als Analytics-Thema.
6. Daten- und technische Architektur deckt Kostenmetriken und Lineage ab. CDMC erwartet von Unternehmen, dass sie Kostenmetriken im Zusammenhang mit Datennutzung, -speicherung und -bewegung im Katalog verfügbar machen und Lineage-Informationen für sensible Daten bereitstellen.

Die CDMC-Benchmark-Materialien des EDM Council verwenden ein evidenzbasiertes Bewertungsmodell und beschreiben den Reifegrad durch Assessment-Ergebnisse, die an Prozesse, Engagement und Nachweise gebunden sind. In der Praxis nutzen Unternehmen die Ergebnisse, um eine kontrollenspezifische Reifegradansicht und eine Remediation-Heatmap zu erstellen, die zeigt, wo Automatisierung, Metadaten, Richtlinienabdeckung oder Überwachung noch Verbesserungsbedarf haben.

Hier ist eine praktische Möglichkeit, sich vorzustellen, wie der gemessene Reifegrad in den sechs Bereichen aussieht:

Während CDMC anbieterneutral ist und die Implementierung je nach Unternehmen variiert, bietet Snowflake Funktionen, die viele Aspekte dieser Kontrollen unterstützen können.

Snowflake Horizon Catalog führt Metadaten, Lineage und Richtlinienkontext zusammen, während die Data Classification für sensible Daten von Snowflake systemdefinierte Tags auf Spalten anwendet, die als sensibel identifiziert wurden. Horizon kann dabei helfen, Aufbewahrungs- und Zugriffsrichtlinien umgebungsübergreifend anzuwenden, und unterstützt so die CDMC-Erwartungen, dass Katalogisierung und Klassifizierung als aktive Kontrollebene fungieren sollten.

Snowflake ermöglicht Dynamic Data Masking und Row Access Policies. Das Feature Dynamic Data Masking verwendet Maskierungsrichtlinien, um Klartextdaten in Tabellen- und Ansichtsspalten zur Abfragezeit selektiv zu maskieren, während Row Access Policies steuern, welche Zeilen in einer Tabelle oder Ansicht sichtbar sind. Zusammen können diese Kontrollen verwendet werden, um CDMC-Anforderungen in Bezug auf Sicherheitskontrollen und datenschutzsensibles Zugriffsmanagement zu unterstützen.

Snowflake bietet Time Travel von bis zu 90 Tagen und Fail-Safe innerhalb eines Zeitraums von sieben Tagen nach Ende des Time Travel-Aufbewahrungsfensters. Diese Funktionen bieten integrierte Fähigkeiten, die Anforderungen an Aufbewahrungs- und Wiederherstellungskontrollen innerhalb der Plattform unterstützen können.

Für die Kontrolle der Datenqualitätsmessung innerhalb des Datenlebenszyklus bieten die Datenqualitätsüberwachung und die Datenmetrikfunktionen von Snowflake integrierte und benutzerdefinierte Möglichkeiten zur Messung gängiger Datenqualitätsattribute. Systemdatenmetrikfunktionen können Tabellen oder Ansichten zugewiesen und für Governance- und Compliance-Anforderungen verwendet werden, was sie zu einer praktischen Lösung für CDMC-Kontrolle 11 macht.

Das Zugriffsmodell von Snowflake konzentriert sich auf rollenbasierte Zugriffskontrolle (RBAC), Eigentümerschaft und Berechtigungen, wobei zugehörige Richtlinienkontrollen darüber liegen. Dies unterstützt die Berechtigungs- und Zugriffsseite des Frameworks, während Tags und Metadaten dabei helfen, Zugriffsentscheidungen mit Sensibilität und Nutzungskontext zu verknüpfen.

Das Metadaten- und Lineage-Modell von Horizon Catalog trägt dazu bei, CDMC von einer Reihe von Kontrollanweisungen in etwas zu verwandeln, das ein Unternehmen tatsächlich bewerten kann. Das Framework geht davon aus, dass Teams ein sensibles Asset identifizieren, ihm einen Governance-Kontext zuweisen und es durch die Systeme, Transformationen und nachgelagerten Objekte verfolgen können, die davon abhängen. Metadaten machen den Kontext sichtbar – Eigentümerschaft, Klassifizierung, Tags und zugehörige Kontrollen –, während Lineage zeigt, wie sich die Daten bewegen und wo diese Kontrollen möglicherweise bestehen bleiben müssen.

Snowflake hilft bei der Etablierung des Kontrollkontexts, von dem CDMC abhängt. Das Framework fragt nicht nur, ob sensible Daten klassifiziert oder geschützt sind, sondern auch, ob ein Unternehmen nachweisen kann, wem sie gehören, welche Quelle maßgeblich ist, wie die Compliance überwacht wird und ob Bewegungen über Umgebungen oder Gerichtsbarkeiten hinweg anhand von Richtlinien überprüft werden können.

Snowflake bietet Fähigkeiten, die Unternehmen dabei helfen können, Compliance-bezogene Prozesse durch gemeinsam genutzte Metadaten, Eigentümerfelder, Tags, Richtlinienanwendung und Aktivitätssichtbarkeit zu implementieren, zu operationalisieren und zu überwachen. Dies macht Governance zu etwas, das Data Stewards und Kontrollverantwortliche tatsächlich überprüfen können.

Hier ist eine einfache Übersicht der Fähigkeiten und Funktionen:

Was CDMC auszeichnet, ist nicht die Annahme, dass Cloud-Datenmanagement Kontrollen benötigt, die automatisiert, nachgewiesen und kontinuierlich neu bewertet werden können – denn genau so funktionieren moderne Plattformen in der Praxis. Der Wert des Frameworks besteht nicht nur in der Benennung der Kontrollen, sondern auch darin, Teams dazu zu zwingen, Fragen zu stellen, z. B. wo Katalog-Metadaten befüllt werden, wie der Zugriff durchgesetzt wird, ob Qualitätsprüfungen ohne manuelles Eingreifen ablaufen und welche Beweise vorliegen, wenn ein:e Prüfer:in oder eine Aufsichtsbehörde einen Nachweis verlangt.