Worauf Sie beim Enterprise-Einsatz von Hybrid Clouds achten sollten
Hybrid Cloud auf dem Weg zur Reife
13.02.2015 von Heinrich Seeger
Noch zu Beginn dieses Jahrzehnts kam es für IT-Verantwortliche nicht infrage, Ressourcen aus der Public Cloud zum Speichern oder Verarbeiten sensibler Daten zu nutzen. Jenseits technischer Fingerübungen mit unkritischem Content traute man nur den Ressourcen des eigenen Unternehmens. Mit Hybrid-Cloud-Lösungen ändert sich das gerade.
Sicherheitsbedenken gegenüber öffentlich verfügbaren IT-Ressourcen gibt es nach wie vor. Aber die Möglichkeit, private und öffentliche Ressourcen über sichere Verbindungen wie VPN und HTTPS gemeinsam zu steuern, kreiert die Hybrid Cloud: Kombinationen von Public und Private Cloud, wobei Letztere nicht zwingend im eigenen Rechenzentrum (RZ) betrieben werden muss, sondern auch virtuell auf der Hardware eines Cloud-Dienstleisters existieren kann, dabei aber von den (virtuellen) Servern anderer Kunden logisch getrennt ist.
Die Vorteile liegen auf der Hand: Die Hybrid Cloud bietet maximale betriebliche Flexibilität, weil sie kritische Anwendungen unter eigener Kontrolle - im eigenen RZ oder in einer Private Cloud - belässt, während für Entwicklungs- und Testaufgaben Public-Cloud-Ressourcen bei Bedarf hinzugebucht werden können. Wer risikofreudiger ist, kann außerdem Lastspitzen, etwa im Saisongeschäft oder durch unvorhergesehene Markteffekte, in die Public Cloud auslagern.
Ingolf Wittmann, IBM "Durch die aktuellen ASP/MSP/Cloud-Angebote im Markt ist ein Trend zu erkennen: Je kleiner ein Unternehmen ist und je weniger Anwendungen beziehungsweise zugehörige Daten geschäftskritisch sind, desto größer ist die Bereitschaft, diese Anwendungsbereiche in Cloud-Infrastrukturen zu bringen."
Rupert Lehner, Fujitsu "Die meisten KMUs werden auf hybride Konzepte – also eine Mischung von Eigenbetrieb und Cloud Services – setzen. In der Cloud werden dabei in erster Linie leistungsfähigere, virtualisierte Server zum Einsatz kommen."
Susan Fabian, HP "Es ist davon auszugehen, dass sich im Jahr 2015 der Trend hin zu verschiedenen Cloud-Services verstärken wird. Gründe dafür sind zum einen Kosteneinsparungen und Fachkräftemangel in Unternehmen."
Dr. David Höflmayr, Thomas-Krenn AG "Services werden 2015 nur geringe Auswirkungen auf den Server-Markt haben, der leicht wachsen wird. Cloud-Services werden zwar weiterhin stark zunehmen, kommen aber eher bei spezialisierten Anwendungen unter hohen Datenschutzauflagen zum Einsatz."
Ulrich Hamm, Cisco "Auch wenn das Cloud-Services-Angebot wächst, ist im nächsten Jahr noch keine spürbare Beeinflussung des Servermarktes zu erwarten."
Peter Dümig, Dell "Die Server-Landschaft wird sich auch 2015 weiter in Richtung Cloud-Anbieter verschieben. Damit wird eine entsprechende Abflachung des Server-Marktes einhergehen."
Fünf Anforderungen an die Hybrid Cloud
Der US-amerikanische Berater und Autor Dan Sullivan nennt fünf Anforderungen an Hybrid-Cloud-Umgebungen für den Enterprise-Einsatz.
I. Interoperabilität
Meist setzen die Anwender noch auf die eigene Cloud. Foto: Capgemini
Wohl am wichtigsten ist die Interoperabilität. Sie ist definiert als die Möglichkeit, Daten und Anwendungen (Workloads) ohne Migrationsaufwand von der privaten IT in eine Public Cloud oder in eine andere Private Cloud beziehungsweise zwischen unterschiedlichen Public Clouds zu verlagern. Interoperabilität wird entweder durch eine gemeinsame technische Plattform wie OpenStack (die unter anderem von IBM, HP und Rackspace genutzt wird) für die unterschiedlichen Clouds oder durch gemeinsame APIs sichergestellt.
Lässt sich Interoperabilität nicht herstellen oder bieten die interoperablen Clouds nicht die erforderlichen Features, werden Cloud-Management-Lösungen beziehungsweise -Services wie Rightscale oder Enstratus erforderlich, mit denen sich Hybrid-Cloud-Umgebungen über Plattformgrenzen hinweg steuern lassen.
II. Security
Sicherheit ist der zweite Punkt: Sullivan empfiehlt, das VPN auf die Hybrid-Cloud-Umgebung zu erweitern, sodass für die Kommunikation über Cloud-Grenzen hinweg verschlüsselte Kanäle verwendet werden. Außerdem hält er es für unverzichtbar, eine gemeinsame Policy für individuelle Zugriffsrechte auf alle Cloud-Umgebungen zu vereinbaren, zumindest aber sicherzustellen, dass unterschiedliche Policies einander nicht widersprechen.
9 Basisanforderungen an einen Cloud-Vertrag Die Entscheidung Cloud-Services zu nutzen, bedingt aus Sicht von IDC daher grundsätzlich, dass die Nutzung des jeweiligen Cloud-Service dem Unternehmen einen höheren Level in Bezug auf IT Sicherheit und Ausfallsicherheit bietet als vorher. Die folgenden Punkte zählt IDC zu Basisanforderungen in Vertragsverhandlungen.
1. Zugangsrechte Cloud-Services-Anbieter müssen in der Lage sein zu demonstrieren, dass die Kontrolle über Einstellungen, Aufsicht, Zugang des internen Personals jederzeit ausgeübt wird, damit Zuverlässigkeit und Integrität der internen Mitarbeiter sichergestellt ist. Ein Cloud-Anbieter sollte deshalb immer Identifikation und Zugriff mit geeigneten organisatorischen, personellen und technischen Maßnahmen absichern.
2. Gesetzliche Compliance Es bestehen nach wie vor große Unsicherheiten, welche Daten extern in welche Cloud-Variante verschoben werden dürfen. Deshalb sind "Datenspeicherung in Deutschland" (50 Prozent) sowie "Verträge nach deutschem Recht" (48 Prozent) aktuell die beiden wichtigsten Sicherheitsanforderungen der befragten IT-Entscheider an Hosted und Public Cloud-Anbieter. Obwohl schlussendlich immer der Kunde für die Einhaltung der gesetzlichen Compliance verantwortlich ist, sollte aber die Verantwortung für die Einhaltung der konsistenten Qualität der Arbeitsvorgänge seitens der Anbieter eingehalten werden. Die Verteilung der Haftung zwischen Cloud-Provider und Kunde muss eindeutig geklärt sein und in rechtlich-bindenden Verträgen festgehalten werden. Unabhängige Audits müssen beschrieben werden und die Lösung von widersprüchlichen Anforderungen muss definiert werden. Nur so erreicht man Transparenz.
3. Anwendungszertifikate Rechtsgültige Zertifikate sind ebenso eine Grundvoraussetzung für Cloud-Services, da diese bestätigen, dass das Unternehmen, welches für die Domain oder den Server verantwortlich ist, auch tatsächlich existiert. Nach Beobachtung von IDC steigt der Stellenwert von Standards und Zertifizierungen weiter stark an, denn sie schaffen Vertrauen und die Einhaltung von gesetzlichen Regularien lässt sich nachweisen.
4. Datenursprung Insbesondere in Deutschland sind die Datenschutzrechte stark ausgeprägt. Zudem werden die Cyberattacken nicht nur hartnäckiger sondern sie sind auch wesentlich raffinierter. Die Verträge müssen somit auch die Einhaltung der vielfältigen lokalen Datenschutzanforderungen sicherstellen, welchen außerdem einem konstanten Wandel unterliegen.
5. Datentrennung Da Public-Cloud-Services mandantenfähig sind und auf demselben Server oder Software-System mehrere Kunden bedienen, ist es essenziell, dass der Cloud-Hosting-Anbieter die Sicherheit zu jeder Zeit garantiert. Der Anbieter muss daher akzeptable Maßnahmen für das kontinuierliche Monitoring der Datenverarbeitung aufzeigen.
6. Datenwiederherstellung (Recovery) Für den Fall einer Störung oder Katastrophe muss der Anbieter in der Lage sein, die Daten wiederherstellen zu können. Auch dies sollte immer Vertragsbestandteil sein und sogar die maximale Ausfallzeit für verschiedene Vorfälle regeln.
7. Transfer der Applikationen Um Cloud-Services in die bestehende IT Landschaft zu integrieren und durchgängige Prozesse zu ermöglichen, sind in der Regel einige lokale Modifikationen notwendig. Dadurch können in der Regel Kosteneinsparungen erreicht werden. Gleichzeitig kann dies aber auch ein Hindernis für einen eventuellen Rücktransfer der Applikation darstellen. Es ist wichtig, vor allem auf die Interoperabilität der Lösungen auch vertraglich wert zu legen. Dies ist technisch gesehen ein anspruchsvoller Aspekt bei der Migration von Public-Cloud-Lösungen. Für die Befragten ist eine einfache Rückholung der Daten (35 Prozent) sowie die gesetzeskonforme und nachgewiesene Löschung aller Daten nach Anbieterwechsel (32 Prozent) besonders wichtig.
8. Business Continuity Unternehmen reorganisieren sich, schließen sich mit anderen zusammen und Rechenzentren werden konsolidiert. Cloud-Services Verträge sollten daher den Transfer der Daten zwischen verschiedenen Rechenzentren klar regeln, um den Betrieb auch bei großen Veränderungen jederzeit sicherzustellen.
9. Monitoring und Reporting ieser Aspekt kann insbesondere bei der Nutzung von Public-Cloud-Services komplex werden. Vor allem dann, wenn verschiedene Ansprechpartner die legale Verantwortung und die Kosten im Unternehmen dafür tragen. Die IT Abteilung sollte das Monitoring und Reporting idealerweise zentral übernehmen, um Synergien zu heben und Kosten zu senken.
III. Cloud-Management
Für eine überschaubares Cloud-Management - drittens - ist Sullivan zufolge ein System erforderlich, das einen einheitlichen Blick auf alle Rechen- und Speicherressourcen in allen öffentlichen und privaten Cloud-Segmenten ebenso gewährt wie eine vergleichbare Erfassung der Gebühren (Billing). Außerdem sei es nur mit einer solchen Konsolidierung möglich, den Überblick über alle Ressourcen und die Kosten, die sie erzeugen, zu behalten, sagt auch Bernhard Kube, Vice President Technology Consulting bei Lufthansa Systems Industry Solutions. Bereits ab zwei, spätestens ab drei unterschiedlichen Segmenten in einer Hybrid Cloud solle man nicht mehr darauf verzichten.
IV. Datenmanagement
Vierter Punkt: das Datenmanagement. Es ist einfacher, Anwendungen zu verschieben, als große Datenmengen, stellt Sullivan fest. Darum sollten Datenbestände möglichst in dem Cloud-Segment gespeichert werden, in dem sie auch verarbeitet werden.
V. Service-Level-Agreements
Fünftens: Für alle Segmente einer Hybrid Cloud sollte unbedingt eine Übersicht über die jeweils gültigen Service-Level-Agreements vorliegen, um vor dem Hintergrund der Verfügbarkeit von Rechen- und Speicherressourcen die Verteilung von Anwendungen sicher planen zu können.
Es fehlt noch an Best Practices
Noch führt die Hybrid Cloud ein Nischendasein, doch viele Anwender liebäugeln mit ihr. Foto: IDC
Noch ist es nicht so weit, dass es für wirklich erfolgskritische Hybrid Clouds im Enterprise sehr viele aussagekräftige und belastbare Praxisbeispiele gibt, auf die IT-Entscheider zurückgreifen könnten. Der Markt reift noch. Auf Angebotsseite ist die Auswahl an mehr oder weniger frei kombinierbaren Clouds beziehungsweise an Werkzeugen, die deren zentrale Verwaltung ermöglichen, freilich schon erheblich.
So gibt es etwa von Eucalyptus Systems mit der Enterprise Edition 2.0 eine Cloud, die API-kompatibel ist mit der Elasctic Compute Cloud (EC2) von Amazon. Gemanagt und damit hybrid gemacht wird die Lösung mit Tools des Eucalyptus-Partners Rightscale. Auch Oracles Nimbula Director bietet die Möglichkeit, private und öffentliche Clouds gemeinsam zu verwalten. Mithilfe einer universellen API lassen sich Private-Cloud-Anwendungen kontrolliert in die Public Cloud verlagern, auch in das EC2-Angebot von Amazon.
VMware sorgt zwar für Public und Private Cloud aus einem Guss. Die daraus resultierende Hybrid Cloud muss allerdings komplett aus dem proprietären Regal genommen werden: Der Anbieter ermöglicht den Zusammenschluss von Private Clouds, die mit der V-Cloud-API erstellt wurden, mit dem Public-Cloud-Angebot V-Cloud Express, das ebenfalls diese API verwendet. Eines der wichtigsten Kriterien für echte Hybrid Clouds ist damit bei VMware nicht gegeben: die Interoperabilität. Clouds ohne V-Cloud-Unterstützung, heißt das in diesem Fall, können nicht eingebunden werden, eine Migration aus dem VMware-Kosmos ist daher kaum mit vertretbarem Aufwand zu bewerkstelligen.
Regel 1: Verschlüsselung ist Pflicht! Einen Cloud-Anbieter ohne sichere Verschlüsselung sollten Sie unbedingt meiden. Denn werden Ihre Daten auf dem Weg zum Anbieter nicht verschlüsselt, so kann sie jeder abhören, der den Kommunikationsweg belauschen kann. Das können Geheimdienste oder polizeiliche Stellen sein, aber auch Cracker und sonstige Bösewichte. Besondere Vorsicht ist geboten, wenn Sie sich in einem öffentlichen Netzwerk befinden – etwa im Gratis-WLAN eines Cafés oder in einem Hotelnetzwerk. Hier kann schon der freundliche Herr mit dem Laptop am Nebentisch Ihre privaten Nachrichten und Bilder mitschneiden, wenn diese nicht verschlüsselt sind. <br /><br /> Verschlüsselung auf Webseiten ist leicht zu erkennen – neben der Internet-Adresse (URL) wird ein Schloss-Symbol eingeblendet und oft verfärbt sich auch die Adresszeile. So können Sie prüfen, wer sich hinter Ihrem Cloud-Provider verbirgt. <br /><br />Viele Anbieter versprechen, dass auch nach der Übertragung alle Daten verschlüsselt sind – dieses Versprechen ist aber oft irreführend. Meist reklamiert der Cloud-Provider nämlich für sich die Möglichkeit, mit einem Zweitschlüssel den Klartext Ihrer Daten zu errechnen – viele Funktionen in der Cloud wären sonst nämlich gar nicht möglich.<br />
Regel 2: Made in Germany ist das Maß aller Dinge Der deutsche Datenschutz gehört zu den strengsten Regelwerken der Welt. Und was vielen ausländischen Cloud-Anbietern Kopfschmerzen bereitet, ist für Sie als Anwender ein unschätzbarer Vorteil. Hält sich Ihr Provider nämlich an das deutsche Datenschutzgesetz, so können Sie davon ausgehen, dass Sie auch konform sind. Das ist für Heimanwender weniger wichtig als für Unternehmen, die verschiedene Aufbewahrungs- und Geheimhaltungspflichten zu beachten haben. <br /><br /> Geben Sie Ihre Daten in die Cloud, sollten Sie das bei einem deutschen Anbieter tun, der die Daten in einem deutschen Rechenzentrum ablegt. Das bringt mehr Sicherheit vor dem Zugriff durch ausländische Behörden und hat noch einen weiteren positiven Nebeneffekt: Durch die geographische Nähe Ihrer Daten zu Ihnen erhöht sich oft auch die Performance Ihrer Cloud-Anwendung.<br />
Regel 3: Anbieterbindung vermeiden Der Weg in die Cloud mag steinig sein, der Weg aus ihr heraus (oder in eine andere Wolke) ist oftmals ganz verbaut. Nicht wenige Anbieter nehmen gespeicherte Daten in eine Art Geiselhaft und machen einen Wechsel unmöglich. Diese Praxis – auch „Vendor Lock-In“ genannt – ist oft nicht einmal Absicht – es fehlen häufig Export-Routinen und vielfach (etwa bei CRM-Systemen oder anderen Enterprise-Anwendungen) sind die Daten ohne die dazugehörige Anwendungslogik schlicht unbrauchbar. <br /><br /> Bei der Auswahl eines Cloud-Anbieters sollten Sie also darauf achten, dass er Ihnen auf Anforderung Ihre Daten wieder herausgibt – idealerweise in einem standardisierten Exportformat wie etwa XML. Zusätzliche Gebühren sollte dieser Service keinesfalls kosten.<br />
Regel 4: Sicherheitskonzept prüfen! Ein guter Cloud Provider ist stolz darauf, alle notwendigen Vorkehrungen für sichere Datenübertragung und -speicherung getroffen zu haben. Er wird sein Sicherheitskonzept also nicht geheim halten. Prüfen Sie vor einem Vertragsschluss, wie der Anbieter es mit der Sicherheit hält: Besonders die verschlüsselte Datenübertragung, ausfallsichere und möglichst verschlüsselte Datenspeicherung und ein zertifiziertes Rechenzentrum für die Cloud-Server sollten selbstverständlich sein.<br /><br />Zertifizierungen wie die ISO9000-Serie zum Qualitätsmanagement oder die ISO27001-Zertifizierung für sichere Rechenzentren liefern gute Anhaltspunkte. Veröffentlicht ein Anbieter keine Übersicht über sein Sicherheitskonzept, fehlen Zertifizierungen oder wird auch auf Anfrage keine Auskunft gegeben, ist Vorsicht geboten.<br />
Regel 5: Einen "Plan B" haben Geben Sie Ihre Firmen- oder persönlichen Daten in die Cloud, geben Sie sie aus der Hand und machen sich vom Anbieter abhängig. Aufgrund der Vielzahl von Unwägbarkeiten im Cloud Computing sollten Sie also vorher einen "Plan B" aufstellen und umsetzen. Dazu gehört, immer ein aktuelles Backup der Cloud-Daten anzufertigen, wo möglich, und dieses Backup entweder auf den eigenen Computern oder bei einem anderen Cloud-Anbieter abzulegen.<br /><br /> Schließlich können Datenverluste jederzeit passieren – oder Ihr Cloud-Provider stellt den Geschäftsbetrieb im schlimmsten Fall gar ganz ein. Das ist in der Vergangenheit aus verschiedenen Gründen bereits mehrfach passiert. So hat der E-Mail-Dienstleister Lavabit aus Protest gegen NSA-Schnüffelvorhaben <a href="http://www.computerwoche.de/a/lavabit-gruender-zur-schliessung-verpflichtet,2544385" target="_blank">seinen Dienst quittiert</a> und der Linux-Anbieter Canonical hat seinen Speicherdienst „Ubuntu One“ hat aus wirtschaftlichen Gründen aufgegeben. <br /><br /> Um vorzusorgen, müssen sie also Redundanz schaffen – entweder mit einem zweiten Cloud-Anbieter oder einem lokalen Backup Ihrer Daten. Sonst geraten Sie in Schwierigkeiten, wenn die Familienfotos oder Steuerunterlagen plötzlich unwiderbringlich verloren sind.<br />
API-Kompatibilität oder Abstraktionsmodell
Stark auf Offenheit setzt auf der anderen Seite des Spektrums Cloudswitch mit einer Hybrid Cloud, die es erlaubt, Anwendungen in eine Public Cloud zu migrieren, ohne Integrations-, Netzwerk- und Security-Policies zu ändern. Auch die Überwachungs- und Verwaltungsfunktionen bleiben unangetastet. Das funktioniert mit einer Appliance in der Private Cloud, die eine virtuelle Maschine in der Public Cloud steuert und einen sicheren Datenpfad zwischen den Netzwerksegmenten kreiert. Der Vorteil: Anwendungen bleiben mit den internen Prozessen verbunden und können entsprechend gesteuert werden, einerlei, ob sie in der Private oder in der Public Cloud laufen.
IT-Entscheider, die sich mit dem Gedanken an ein Hybrid-Cloud-Engagement tragen, sollten im Idealfall auf Abstraktionsmodelle wie das von Cloudswitch setzen, um flexibel zu bleiben und dem ansonsten beinahe unausweichlichen Lock-in zu entgehen. Dazu rät Bill Claybrook von der Marktforschungsgesellschaft New River aus Massachusetts. Solange es nicht mehr offene Standards im Cloud Computing gibt, drohen nach Einschätzung von Claybrook unliebsame Effekte, wenn eine Migration zwischen unterschiedlichen Clouds, egal ob Public oder Private, erforderlich wird.
Als Alternative zu einer völlig offenen und allseits migrationsfähigen Umgebung empfiehlt Claybrook die Auswahl eines Public-Cloud-Providers, der dieselbe API unterstützt, wie sie bereits in den internen Ressourcen verwendet wird. Das dürfte in vielen Fällen auf Amazons EC2 hinauslaufen, der man die Chance einräumen darf, sich API-seitig zu einem De-facto-Standard zu entwickeln. Wer sicher ist, mit VMware glücklich zu bleiben, kann innerhalb des V-Cloud-Universums - das mittlerweile auf 1800 Partner-Anwendungen angewachsen sein soll - frei zwischen Public und Private Cloud flottieren und insofern alle Hybrid-Vorteile genießen.