Cloud-Services

Standards für das Cloud Computing

Wollen IT-Verantwortliche unterschiedliche Cloud-Services in ihrem Unternehmen einsetzen, sollten sie auf entsprechende Standards sowie Interoperabilität achten, um in Zukunft nicht böse abzustürzen.

Heißluftballon, Bildquelle: Thinkstock/iStock

Mit Vollgas in die Wolken

Es ist ruhiger geworden um den Hype-Begriff der vergangenen Jahre. Vielleicht liegt es daran, dass insbesondere der Begriff "Private Cloud" häufig nichts anderes meint als das Betreiben der eigenen IT auf Basis virtueller Infrastrukturen. Doch über die eigene virtualisierte IT hinaus trifft man bei Großunternehmen nicht selten auf sogenannte hybride Cloud-Strukturen. Dabei handelt es sich in der Regel um On-Premise-Installationen, die um öffentliche Cloud-Services ergänzt und im nächsten Schritt parallel betrieben werden.

Genau an dieser Stelle kristallisiert sich für die IT-Verantwortlichen ein wichtiger Knackpunkt heraus: Die Frage nach vorhandenen Standards. Denn die Private- und Public-Welt müssen nicht nur miteinander kommunizieren, sondern auch automatisiert Daten austauschen können. Zudem sollte für Anwenderunternehmen jederzeit ein problemloser Umstieg von der einen zur anderen Welt möglich sein. Können Cloud-Lösungen dies nicht gewährleisten, ist die Angst bei vielen Anwendern groß, in die Fänge eines einzigen Anbieters zu geraten, aus denen es dann kein Entrinnen mehr gibt. In Fachkreisen spricht man hier von einem sogenannten Vendor-Lock-In. Um solche Abhängigkeiten zu vermeiden, suchen die IT-Verantwortlichen bevorzugt nach Lösungen, "die einen Wechsel des Anbieters ermöglichen, wenn dessen Leistung nicht zufriedenstellend ist", betont Alessandro Perilli, General Manager bei Red Hat. Naturgemäß gewährleisten dabei insbesondere standardisierte, offene und interoperable Cloud-Services einen schnellen Umstieg. Hinzu kommt der Sicherheitsaspekt, wie Gary Calcott, Technical Marketing Manager bei Progress Software, betont: "Unternehmen wollen vor allem Transparenz bei allen verfügbaren Cloud-Diensten, um sie sinnvoll vergleichen zu können. Desweiteren wollen sie die Sicherheit, dass ihre Daten entsprechend der deutschen Gesetzgebung sicher aufbewahrt werden. Sie verlangen nach einer durchgängigen Datenverschlüsselung und verbindlichen Service Level Agreements (SLAs), die ihre Bedürfnisse wirkungsvoll abdecken."

Warum Cloud-Standards?

Aufgrund des hohen Stellenwerts allgemeingültiger Standards könnte man meinen, dass die Anwender beim Cloud Computing bereits aus dem Vollen schöpfen können. Doch weit gefehlt. Nicht wenige Branchenkenner attestieren den Standardisierungsbemühungen von Anbietern und staatlichen Institutionen noch deutlichen Nachholbedarf. "Eine flächendeckende Etablierung von echten Standards für Cloud-Services ist derzeit nicht zu beobachten", betont Volker Genetzky, Regierungsdirektor im Bundesministerium für Wirtschaft und Energie. Allerdings zeige die Praxis, dass beispielsweise Openstack als Architekturansatz oder das XML-Framework Security Assertion Markup Language (SAML) als Authentifizierungsframework in vielen Anwendungsfällen zum Einsatz gelangen, sodass man laut Genetzky von einer aktuellen Tendenz zu Quasi-Standards sprechen kann.

Vor dem Hintergrund notwendiger Standardisierungsmaßnahmen will sich die Bundesregierung nicht aus der Verantwortung stehlen. Insbesondere das Technologieprogramm „Trusted Cloud“ des Bundesministeriums für Wirtschaft und Energie soll Anwenderunternehmen klare rechtliche Rahmenbedingungen und Zusicherungen im Hinblick auf Funktionalität, Sicherheit und Interoperabilität von Cloud-Services an die Hand geben. Das Programm dient als Nukleus des derzeit entstehenden „Kompetenznetzwerks Trusted Cloud“. "In diesem Netzwerk werden Anwender und Anbieter einerseits ein Regelwerk für vertrauenswürdige Cloud-Dienste erarbeiten und andererseits Orientierungswissen zu diesen Fragestellungen speziell für den Mittelstand publizieren", beleuchtet Volker Genetzky den Hintergrund der Initiative.

Darüber hinaus verweist Gary Calcott auf die Aktivitäten von Eurocloud Deutschland. Der Verband mit seinen 750 Mitgliedern aus dem Cloud-Umfeld will sowohl das Vertrauen in Cloud-Dienste als auch die Transparenz für die Kunden verbessern. So hat beispielsweise die European Telecommunications Standard Institute (ETSI) Ende 2013 unter aktiver Beteiligung des Verbands einen umfangreichen Bericht zu Cloud-Standards veröffentlicht.

Zudem werben wie in anderen IT-Bereichen – etwa bei Sicherheitslösungen – einige hiesige Anbieter verstärkt mit dem Motto "Cloud-Services made in Germany". Zu den Kriterien zählen dabei u.a., dass der Cloud-Service-Provider seinen Hauptsitz in Deutschland hat, seine Verträge und Service Level Agreements (SLA) nach deutschem Recht abschließt, die Datenhaltung hierzulande erfolgt oder der Gerichtsstand für alle vertraglichen Angelegenheiten in Deutschland liegt. „Cloud-Service made in Germany sind jedoch erst dann sinnvoll, wenn sichergestellt ist, dass der Netzwerkverkehr zwischen Unternehmen und Cloud-Service-Provider regional und hochverschlüsselt ablaufen kann – Stichwort Schengen-Routing", betont Matthias Zastrow, Director Consulting bei EMC Deutschland. Vor diesem Hintergrund sei das Konzept insbesondere für internationale Großkunden kaum relevant, da hier eine globale Verfügbarkeit der Daten bzw. des Datenaustauschs gewährleistet werden muss.

Nicht zuletzt ist in diesem Zusammenhang die Ende September 2014 publik gewordene Initiative der Technologieunternehmen Dell, Emerson Network Power, HP und Intel zu nennen. Dabei gaben die Anbieter die Schaffung von Redfish bekannt, eines noch in der Entwicklungsphase befindlichen neuen Standards für Rechenzentrums- und Systemmanagement, der umfassende Funktionen, Skalierbarkeit und Sicherheit bieten soll. Laut der Initiative kommt hierbei eine Netzwerkschnittstelle zum Einsatz, die den Zugriff auf Daten mithilfe einfacher, skriptbasierter Programmiermethoden ermöglicht. Die Lösung soll die Skalierbarkeit verbessern sowie die Datenzugriffs- und Analysemöglichkeiten erweitern, zur Kostensenkung beitragen und die Fernverwaltung von Infrastrukturen mit einem hohen Funktionsumfang ermöglichen – und dies selbstredend auch innerhalb von Cloud-Umgebungen.

Die Open-Source-Initiativen

Standardisierung ist oftmals eng verbunden mit Offenheit. So können beispielsweise Open-Source-Initiativen vielen Anwendern die Angst vor der bereits erwähnten Abhängigkeit von einem Cloud-Anbieter nehmen. Denn hier ist nicht nur ein Hersteller, sondern eine ganze Community für die Weiterentwicklung der Cloud-Services zuständig. Zu der bekanntesten quelloffenen Bewegung im Cloud-Umfeld zählt wohl Openstack (siehe Kasten). "Dieser Standard wird bereits von zahlreichen Anbietern in ihren Cloud-Offerten verwendet", berichtet Andreas Weiss, Direktor bei Eurocloud Deutschland Eco e. V. Darüber hinaus biete auch die Open Source Community über Apache Delta Cloud konkrete Lösungen und weitere vielversprechende Standardisierungsinitativen im Bereich von Infrastructure as a Service (DMTF IFV) und Software as a Services (Oasis Tosca). Nicht zuletzt verweist Weiss auf die hiesige Initiative "Interactive Cloud OS", die ein quelloffenes Cloud-Betriebssystem auf Basis von Openstack anbietet.

Allen genannten Open-Source-Initiativen gemein sind verschiedene Vorteile für die Anwenderunternehmen. Dabei sind die Argumente neben der großen Entwicklergemeinde auch die Überprüfbarkeit des offenen Quellcodes sowie die hohe Qualität der Software. "Einige Unternehmen schätzen zudem, dass sich der Funktionsumfang von Open-Source-Lösungen besser beeinflussen lässt als derjenige von geschlossenen Produkten", berichtet Matthias Zastrow. Allerdings rät Alessandro Perilli von Red Hat: "Unternehmen werden Fortschritte bei Produktivität und Flexibilität insbesondere dann feststellen, wenn sie Open-Source-Architekturen nutzen, die mit ihnen wachsen können." Von daher sollte man bereits bei der Auswahl darauf achten, dass man nicht in Modelle gezwängt wird, die beim Start zu umfangreich sind und dann im Laufe des Betriebs zu wenig Funktionalität bieten.

Welche Rolle die derzeit wohl größte quelloffene Cloud-Initiative Openstack für die IT-Abteilungen der Unternehmen in Zukunft spielen wird, ist laut James Walker momentan noch nicht genau abzusehen. Denn der Vice President von Tata Communications und gleichzeitig Präsident des ebenfalls um Standards bemühten Cloud Ethernet Forum betont, dass die weltweit größten Cloud-Service-Provider wie Amazon dem Konsortium derzeit noch fern bleiben. Sollten diese künftig jedoch hinzustoßen, wird sich die Initiative, so glaubt Walker, sehr schnell weiterentwickeln. Eine Prognose, die Gary Calcott von Progress Software nur unterstreichen kann. Er ist davon überzeugt, dass Open-Source-Initiativen bei der Entwicklung von Best Practices für aufkommende Computing-Modelle substanziell beitragen können. "Im Laufe der Zeit werden sie sich sicherlich so weit entwickeln, dass sie am Ende ausgereift sind und auch bei Mainstream-Cloud-Diensten und -Produkten Anwendung finden werden", betont Calcott.

 

Was steckt hinter Openstack?

Dahinter verbirgt sich ein Softwareprojekt, das eine freie Architektur für Cloud Computing zur Verfügung stellt. Initiiert wurde es von Rackspace sowie der Nasa und wird von diversen anderen Firmen, unter anderem Suse Linux, Dell, Canonical, Citrix Systems, Hewlett-Packard, AMD, Intel, Red Hat und IBM unterstützt. Zuletzt trat im Juli 2014 SAP der Initiative bei. Entwickelt wird Openstack als freie Software, in der Programmiersprache Python, wobei eine Lizenzierung unter der Apache-Lizenz erfolgt.
www.openstack.org

 

Misstrauen in Sachen Datenschutz

Einer aktuellen Studie zufolge gehen 75 Prozent der deutschen Firmen davon aus, dass Cloud-Provider sich nicht an die gesetzlichen Vorschriften für Datenschutz und Privatsphäre halten und damit Compliance-Richtlinien verletzen. Zu diesem Ergebnis kommt die im Auftrag des Sicherheitsanbieters Netskope durchgeführte Studie „Data Breach: The Cloud Multiplier Effect in European Countries“ von Ponemon Institute. Demnach glauben 52 Prozent der 514 befragten IT- und IT-Sicherheitsverantwortlichen, dass sich die Wahrscheinlichkeit für Datenlücken durch den Einsatz von Cloud Computing erhöht. Sie befürchten, dass sich der wirtschaftliche Schaden eines Datenlecks durch die Cloud nahezu verdreifacht. Dieser so genannte „Cloud Multiplikator Effekt“ variiert und ist vom jeweiligen Cloud-Szenario abhängig.

Laut Studie verstärkt sich der Effekt beispielsweise mit steigendem Datenaustausch zwischen Cloud-Anwendungen oder beim verstärkten Einsatz von mobilen Geräten, die sich mit der Wolke verbinden. Die Umfrage legt nahe, dass Cloud-Anbieter künftig bei deutschen Unternehmen verstärkt um Vertrauen werben sollten.

Die wichtigsten Erkenntnisse der Studie zeigen in Deutschland ein weit verbreitetes Misstrauen gegenüber Cloud-Anbietern:

  •     75 Prozent der Befragten gehen davon aus, dass sich Cloud-Provider nicht an Datenschutzgesetze und -richtlinien halten.
  •     87 Prozent bezweifeln, dass ihr Cloud-Anbieter sie sofort informieren würde, wenn eine Datenlücke ihr geistiges Eigentum oder vertrauliche Geschäftsinformationen gefährdet.
  •     78 Prozent der Befragten glauben, dass ihre Cloud-Anbieter sie nicht sofort benachrichtigen, wenn über das Datenleck Kundendaten verloren oder gestohlen wurden.
  •     64 Prozent der IT-Profis denken, dass durch den Einsatz von Cloud-Services der Schutz vertraulicher Informationen sinkt
  •     57 Prozent sehen ein Problem darin, geschäftskritische Anwendungen zu sichern.

www.netskope.com

Bildquelle: Thinkstock/iStock

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok