Datensicherheit ist angesichts der Ausspäh-Aktionen amerikanischer und britischer Geheimdienste eine der größten Herausforderungen für die Nutzung von Public-Cloud-Diensten. Der Königsweg scheint da ein hybrider Ansatz zu sein.
Grundsätzlich kommen in der Praxis zwei unterschiedliche Cloud-Modelle zum Einsatz: Die Private Cloud, bei der Unternehmen alle IT-Services, Virtualisierungstechniken und Infrastrukturen in ihren eigenen Rechenzentren betreiben, und die Public Cloud. Für Letztere nehmen Firmen Services von externen Anbietern in Anspruch, die überall auf der Welt ansässig sein können. Das ist beispielsweise der Fall, wenn Unternehmen Server-Kapazitäten von Amazon mieten oder Office 365-Applikationen von Microsoft beziehen. Der Hybrid-Cloud-Ansatz kombiniert beide Konzepte und passt sie an die jeweiligen Unternehmensanforderungen an.
Viele Varianten der Hybrid Cloud
Diese Mischform ist in zahlreichen unterschiedlichen Varianten anzutreffen. Sie reichen von der verlängerten Werkbank eigener Cloud-Services durch Infrastructure as a Service (IaaS) bis hin zu Software as a Service (SaaS), die eingekauft und in die eigene IT integriert wird. Ein typisches Beispiel für komplett ausgelagerte SaaS-Dienste ist das Customer Relationship Management-System (CRM) von Salesforce, das Unternehmen autark aus der Cloud nutzen können, ohne eigene IT-Ressourcen aufwenden zu müssen. IaaS als hybrider Cloud-Ansatz erfreut sich derzeit wachsender Beliebtheit, wenn etwa Unternehmen Server-Kapazitäten extern erweitern oder ihre eigenen Netzwerke auf Cloud-Dienste ausdehnen. Das Konzept der „virtuellen Private Cloud“ bietet Betrieben in diesem Kontext die Möglichkeit, flexibel auf Engpässe zu reagieren, ohne selbst permanent Überkapazitäten bereitstellen zu müssen.
Eines macht diese weit gefasste Begriffsdefinition der hybriden Cloud aber auch deutlich: Je vielfältiger die Möglichkeiten, desto wichtiger sind Cloud-Strategien, die exakt definieren, welches Cloud-Modell das Unternehmen benötigt und welche externen Cloud-Dienste in die eigene IT integriert werden sollen, bevor entsprechende Anbieter ausgewählt werden.
Erster Schritt: Aufbau einer Private Cloud
Der erste Schritt hin zu einem hybriden Cloud-Modell ist der Aufbau einer eigenen Wolken-IT. Eine Private Cloud kann Unternehmen vor allem mehr Flexibilität und Effizienz ihrer eigenen IT-Services bringen. Dabei kann es sich sowohl um Rechenleistung aus dem Data Center oder auch um Applikationen wie das ERP-System handeln. Realisiert wird der Private Cloud-Ansatz auf der Basis standardisierter Server-, Storage- und Netzwerk-Infrastrukturen, die dem Anwender über ein Service-Portal zur Verfügung gestellt werden. Er wird damit in die Lage versetzt, sich eigenständig aus dem Leistungskatalog entsprechend seiner Anforderungen zu bedienen.
Die Private Cloud setzt sich aus zwei Bereichen zusammen: einem funktionalen Teil, bestehend aus Servern, Storage-Lösungen, dem Netzwerk und einer Hypervisor-Technologie, sowie einem operationalen Teil: Dieser umfasst beispielsweise alle Management-Werkzeuge zur Automation und Leistungsverrechnung, einen Servicekatalog und vieles mehr. Aus diesen beiden Welten entsteht in Unternehmen eine Private Cloud, die als internes Werkzeug dazu dient, dass IT-Abteilungen Services anbieten können. Die Private Cloud legt somit zunächst die Basis dafür, dass Public-Cloud-Dienste integriert werden können. Denn erst wenn IT-Abteilungen sich im Unternehmen als Service Provider positioniert und etabliert haben, sind sie in der Lage zu entscheiden, ob sie die benötigten Services selbst erbringen, extern einkaufen oder einen hybriden Ansatz wählen.
IT als Service: Die Cloud erfordert ein Umdenken
Mit jeder Cloud-Anwendung geht ein Paradigmenwechsel einher. Gab es bislang in vielen Unternehmen einen Mitarbeiter, der für die Storage-Infrastruktur verantwortlich war, und weitere für den Webserver, für SAP oder das Netzwerk, so verändert Cloud Computing die Art und Weise, wie die IT ihre Leistungen anbietet: In der Cloud stehen IT-Services als komplette Dienste zur Verfügung, die Netzwerk- und Rechenleistung ebenso wie die Anwendung und entsprechende Lizenzen umfassen. Dieses serviceorientierte Umdenken ist die Voraussetzung für die Integration von Public Cloud-Diensten in die eigene Wolken-IT.
Mit dem Bezug von Diensten aus der Public Cloud möchten Unternehmen häufig Vorteile hinsichtlich Standardisierung und Kostensenkung erzielen: In vielen Fällen wäre es im Vergleich zu einer externen Lösung schlicht teurer, einen Service selbst anzubieten. Wenn der Nutzerkreis, zum Beispiel für ein Management-Reporting-Tool, sehr klein ist, und der Betrieb eines solchen Dienstes zudem viele IT-Ressourcen binden würde, lohnt es sich, den Service aus der Cloud zu beziehen. Darüber hinaus gibt es Fälle, in denen die geforderten Verfügbarkeiten intern nicht geleistet werden können. Die Berliner Philharmoniker mieten beispielsweise Storage- und Netzwerk-Kapazitäten, um ihren Abonnenten weltweit Mitschnitte ihrer Konzerte in hoher Qualität anbieten zu können.
Herausforderung Cloud-Integration
Eine wesentliche Herausforderung bei der Integration von Public Cloud-Diensten in die eigene Wolken-IT ist der Datenschutz, den Unternehmen in einer hybriden Cloud zumindest teilweise aus der Hand geben. Seit der öffentlichen Diskussion um Ausspäh-Aktionen durch Geheimdienste hat das Thema an Brisanz gewonnen. Doch ganz unabhängig davon gibt es Datenschutzgesetze, die es Unternehmen untersagen, bestimmte Daten an Dritte herauszugeben. Dies betrifft vor allem personenbezogene Daten und alle Informationen, die, wie etwa Entwicklungs- und Finanzdaten, die Wettbewerbsfähigkeit des Unternehmens beeinflussen. Bevor Unternehmen also Public-Cloud-Services in Anspruch nehmen, müssen sie Daten anhand der nationalen und internationalen Datenschutzgesetze daraufhin überprüfen, ob und in welcher Form sie extern bearbeitet werden dürfen.
Hierfür müssen Verträge mit Public-Cloud-Anbietern auf Vereinbarkeit unter anderem mit dem Bundesdatenschutzgesetz und mit internen Compliance-Richtlinien geprüft werden. Da dies keine rein technische Entscheidung ist, empfiehlt es sich, das Risikomanagement in die Entscheidung für einen Public-Cloud-Provider einzubeziehen. So lässt sich das Risiko einer oft sehr aufwändigen Datenrückholung aus der Cloud eindämmen. Hilfreich ist es beispielsweise, sich für einen Cloud-Service-Provider zu entscheiden, der die Datenspeicherung in Deutschland garantiert.
Datenmobilität. Reicht die Bandbreite in die Cloud?
Ein weiteres wichtiges Integrationsthema ist die Datenmobilität. So müssen sich Unternehmen die Frage stellen, ob die bestehende Netzwerkanbindung ausreicht, um die geforderte Datenverfügbarkeit trotz der Übertragung an einen externen Dienstleister gewährleisten zu können. Wenn ein Unternehmen beispielsweise SAP-Anwendungen aus der Public Cloud nutzt, müssen oft mehrere Terabyte Daten zum externen Cloud Provider und wieder zurück fließen – und das innerhalb kürzester Zeit. Oft reichen die bestehenden Netzwerkanbindungen aus Sicht der Bandbreite und Verfügbarkeit hierfür nicht aus. Investitionen in die Netzwerkinfrastrukturen müssen dann bei der Betrachtung des Return on Investment (ROI) von Hybrid-Cloud-Diensten berücksichtigt werden. Glücklicherweise sind die Kosten für Bandbreiten in den letzten Jahren kontinuierlich gefallen, sodass man heute leistungsstarke Anbindungen zu sehr attraktiven Preisen erhält. Hinsichtlich der Netzwerkverfügbarkeit ist eine Backup- oder Zwei-Provider-Strategie zu berücksichtigen.
Management-Schnittstellen für Cloud-Services
Das dritte zentrale Thema ist die wechselseitige Unterstützung von Schnittstellen zwischen den beiden Wolken. Hierfür gibt es bislang keinen einheitlichen Standard, auch wenn sich etwa für IaaS de facto VMware als einer der großen Hypervisor-Anbieter durchgesetzt hat. Viel wichtiger als die Kompatibilität auf Basis des Hypervisors sind die Abhängigkeiten der Management-Schnittstellen für das Deployment, das Monitoring und Alerting sowie das Kapazitätsmanagement. Daher empfiehlt es sich, bereits bei der Auswahl des Cloud Providers auf die Kompatibilität der Schnittstellen zu achten.
Cloud Computing: Drum prüfe, wer sich bindet
Wenn all diese Aspekte unternehmensspezifisch geprüft wurden, bleibt die Frage, wie sich das angesichts der NSA-Affäre vielerorts geschwundene Vertrauen in Public und damit auch in hybride Cloud-Anwendungen zurückgewinnen lässt. Um beurteilen zu können, ob Datenschutzrichtlinien eigehalten werden, ist es wichtig zu wissen, auf welcher rechtlichen Basis der Vertrag abgeschlossen werden kann, ob also etwa deutsches, europäisches oder US-amerikanisches Recht gilt. Unternehmen, die sich für Services eines Public-Cloud-Anbieters interessieren, sollten beispielsweise auf Service Level Agreements mit garantierten Verfügbarkeiten achten sowie auf eine erfolgreiche Teilnahme des Public-Cloud-Providers an einem Auditing oder einer Zertifizierung. Auch ein persönliches Kennenlernen des potentiellen Providers kann die Basis für eine vertrauensvolle Zusammenarbeit legen. (wh)