These 5: Die Cloud braucht noch Zeit
Cloud Computing ist der nächste folgerichtige Evolutionsschritt der Virtualisierung in der Unternehmens-IT. Cloud Computing wird dabei häufig irrigerweise synonym mit Virtualisierung verwendet, meint aber vor allem die automatisierte und standardisierte Bereitstellung abstrahierter IT-Infrastrukturen wie zum Beispiel Rechenkapazität, Datenspeicher, fertige Programmpakete, die ein Anbieter dynamisch an den Bedarf angepasst auf Basis von Virtualisierungstechnologien über ein Netzwerk zur Verfügung stellt. Die Abrechnung erfolgt dabei meist nutzungsabhängig.
- Datenschutz und Datensicherheit
Saugatuck hat einen Fragenkatalog zur Security im Cloud Computing zusammen gestellt, den Interessenten Ihrem potenziellen Cloud-Provider vorlegen sollten. - Fachliche Anforderungen
Wie kann der Kunde auf seine Daten zugreifen oder diese wiederherzustellen? - Fachliche Anforderungen
Wie wird Sicherung der Daten einschließlich Disaster Recovery gewährleistet? - Fachliche Anforderungen
Wie, in welchem Format und nach welchen Umständen oder Bedingungen werden bei Vertragsende die Daten des Kunden an ihn übergeben? - Die Technik für Datenschutz und -sicherheit
Sind die Rechenzentren uneingeschränkt, rund um die Uhr, physikalisch und auch nach Mehr-Personen-Prinzip gesichert? - Die Technik für Datenschutz und -sicherheit
Ist es sichergestellt, dass das Personal des Providers weder Zugang zu den Benutzerpasswörtern und Berechtigungen des Anwenders hat noch diese einsehen kann? - Die Technik für Datenschutz und -sicherheit
Werden die Vorschriften zu Passwortrichtlinien, Zugriffsbeschränkungen, Anmeldeprotokollierungen, Datenzugriffsmodellen sowie zum Feldebenenzugriff dokumentiert? - Die Technik für Datenschutz und -sicherheit
Werden alle Passwörter verschlüsselt übertragen? - Die Technik für Datenschutz und -sicherheit
Gibt es ein sicheres Session-Key-Management und besteht eine Multi-Tenant-Datenzugriffskontrolle? - Die Technik für Datenschutz und -sicherheit
Werden Sicherheitsverstöße überwacht? Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Transaktionen im Internet
Gibt es eine 128-bit SSL-Verschlüsselung für jede Transaktion? - Transaktionen im Internet
Liegen Verisign-Zertifikate vor? - Transaktionen im Internet
Werden Perimeter und Firewalls ständig überwacht? Sind Intrusion Detection sowie vorausschauendes Log-File-Monitoring Standardverfahren? - Sicherheitsmonitoring
Werden erfolgreiche und fehlgeschlagene Logins dokumentiert? - Sicherheitsmonitoring
Werden Eindringversuche (Intrusion Detection) und sicherheitsrelevante Vorfälle (Security-Event-Management) dokumentiert? - Interoperabilität mit On-Premise-Anwendungen
Welchen Einfluss haben Security-Architekturen und -Praktiken des Cloud-Providers auf die lokalen Installationen des Anwenders? - Interoperabilität mit On-Premise-Anwendungen
Legt der Betreiber der Multi-Tenancy- und Cloud-Plattform die verwendeten Techniken und Abläufe für das Data-Partitioning offen und dokumentiert sie? - Gesetzliche Anforderungen
Ist bei Speicherung von personenbezogenen Daten außerhalb der Grenzen des Europäischen Wirtschaftsraumes ein angemessenes Schutzniveau gewährleistet, wie es das Bundesdatenschutzgesetz vorschreibt (Paragraf 4b Absatz 2 Satz 2 BDSG)? - Gesetzliche Anforderungen
Ist es sichergestellt, dass ausschließlich solche Anwender auf Anwendung und deren Daten zugreifen können, die auch dazu berechtigt sind? - Gesetzliche Anforderungen
Können personenbezogenen Daten bei der Verarbeitung, Nutzung und nach Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden? - Gesetzliche Anforderungen
Lässt sich nachträglich prüfen und feststellen, ob und von wem personenbezogene Daten in Anwendungssystemen eingegeben, verändert oder entfernt worden sind? - Gesetzliche Anforderungen
Können zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden?
Ausprägungen der Cloud
Beim Cloud Computing unterscheidet man im Wesentlichen zwischen drei Ausprägungen:
IaaS (Infrastructure as a Service): Die automatisierte Bereitstellung von Applikations-Clustern wie bei Amazon EC2 oder RightScale.
PaaS (Platform as a Service): Die automatisierte Bereitstellung von Programmierumgebungen wie bei Googles App-Engine.
SaaS (Software as a Service): Die automatisierte Bereitstellung von Programmen wie bei Salesforce oder GoogleMail.
Cloud-IT ist ein Megatrend, weil sich auf Basis der darunter liegenden weit entwickelten Virtualisierungstechniken erstmals ein wirklich praktikabler Ansatz eröffnet, IT als Service im Unternehmen zu etablieren. Die Grundidee dabei ist, nur tatsächlich genutzte Dienste auf Basis von SLAs abzurechnen und eine höchstmöglicher Kostentransparenz zu bieten. Zudem ergeben sich nennenswerte Einsparpotenziale, weil nur noch Dienste in Rechnung gestellt werden, die tatsächlich genutzt wurden, weil Nutzer keine eigene Server-Hardware anschaffen müssen und weil die Kosten für Softwarelizenzen sowie das Management sinken. Ein weiterer wesentlicher Vorteil ist die nahtlose Skalierbarkeit der Umgebung in der Cloud.
Doch dem Cloud Computing stehen auch viele Hürden im Wege: so sehen 60 Prozent der in einer Studie von Deloitte befragten Unternehmen Sicherheitsprobleme sowie datenschutzrechtliche Hindernisse, und meiden daher noch die Cloud. Außerdem sind noch nicht überall ausreichende Mechanismen zum Monitoring, Messen und Abrechnen der Services vorhanden.
Unterschiedliche Anbieter sowohl von Betriebssystemen als auch Infrastruktur-orientierten Plattformen bieten inzwischen ihre Lösungen für Cloud Computing an. Jedoch mangelt es bislang gerade für mittelständische Unternehmen an handhabbaren Systemen besonders für den Aufbau privater Clouds. Bislang zeichnet sich als Trend ab, dass im wesentlichen Großunternehmen auf Private Clouds setzen, während KMU sich eher externer Dienste bedienen.
Fazit: Die Server-Virtualisierung ist reif
Die Zeit für Server-Virtualisierung ist auch bei mittelständischen Unternehmen inzwischen mehr als reif. Bei entsprechenden Projekten sollten unbedingt auch Aspekte der Storage-Virtualisierung mit einbezogen werden.
Im Rahmen anstehender Migrationen auf Windows 7 sollten Unternehmen die Chancen und Risiken der Desktop-Virtualisierung analysieren und sich der Langfristigkeit eines solchen Projekts bewusst sein. Für kleine und mittelständische Unternehmen sind inzwischen leichtgewichtige und kostengünstigere Lösung am Markt, um zumindest bestimmten Anwendergruppen flexible Lösungen bereitstellen zu können.
Unternehmen sind in jedem Fall gut beraten, für eine durchgängige Virtualisierung mit automatisierten Prozessen und modularen Desktops zu sorgen, um im Hinblick auf Cloud-Computing-Strategien gut aufgestellt zu sein. (jha)
Weitere Informationen
Ericom PowerTerm WebConnect 5.7: Citrix-Alternative für KMUs
Desktop-Virtualisierung mit Microsoft: die Technologien im Überblick
NetApp-Studie zur Virtualisierung
Zenoss-Studie zur Virtualisierung in Unternehmen
Rechenbeispiel Kosteneinsparung durch Virtualisierung