Die Kunst der richtigen SLAs
CW: Sobald ein Anwender sich zum Kauf entschließt, müssen in der Regel Service Level Agreements (SLAs) abgeschlossen werden. Wie sehen diese im besten Fall aus?
ZISAPEL: Das wichtigste ist die Verfügbarkeit von Diensten und Daten. Egal, ob es sich um einen Sicherheitsvorfall oder einen Netzwerkausfall handelt - jede Downtime wirkt sich negativ aus. Daher sollten SLAs immer zuerst auf die Verfügbarkeitszeiten eingehen, danach auf die Antwortzeiten von Services. Dem Kunden ist es egal, wo die Gründe liegen - sind Dienste, Daten und Systeme nicht verfügbar oder zu langsam, ist das schlecht. Den deutschen Bahnfahrer interessiert es schließlich auch nicht, warum vier Tage keine Züge fahren - ihn ärgert nur die Tatsache, dass sie nicht fahren. Es mag sein, dass es ihn beim ersten oder zweiten Mal noch interessiert, was genau die Hintergründe sind, aber wenn er gesagt bekommt, dass ab sofort jede zweite Woche ein Bahnstreik ansteht, kann die Bahn direkt einpacken. Gleiches beim Thema SLAs: Das Unternehmen muss sicher sein können, dass der bestellte Service läuft.
- Checkliste Cloud-SLAs
Um zu beurteilen, ob ein Cloud-Provider kundenfreundliche SLAs anbietet, lassen sich folgende Kriterien anlegen und überprüfen: - Punkt 1:
Kurze und klare Gestaltung von Inhalt, Struktur und Formulierung. - Punkt 2:
Version in der Landessprache des Kunden. - Punkt 3:
Klare Definitionen von Fach- und Produktbegriffen zu Beginn. - Punkt 4:
Detaillierte Ankündigung und Planung der Wartungsfenster (Beispiel: "Viermal im Jahr an vorangemeldeten Wochenenden"). - Punkt 5:
Leistungsbeschreibung in Tabellenform (Übersicht!). - Punkt 6:
Klar definierte Bereitstellungszeiträume für neue Ressourcen (Beispiele: Bereitstellung virtueller Server bei Managed Cloud in maximal vier Stunden; Bereitstellung kompletter Umgebungen oder dedizierter Server in fünf bis zehn Tagen). - Punkt 7:
Bereitstellung von klar abgegrenzten Konfigurationsoptionen für Ressourcen (Beispiel: Konfiguration von Servern nach Gigahertz, Gigabyte). - Punkt 8:
Einfach unterscheidbare Service-Levels (Beispiel: Silber, Gold, Platin); Abgrenzungskriterien können sein: Verfügbarkeit, Bereitstellungszeiten, fest reservierte Kapazitäten ja/nein, Support-Level (Telefon, E-Mail). - Punkt 9:
Bei IaaS-Angeboten unbedingt auf Netzwerk-Konfigurationsmöglichkeiten und Bandbreite achten (Volumen? Im Preis inkludiert ja/nein?). - Punkt 10:
Kundenfreundlicher Reporting- beziehungsweise Gutschriftenprozess (am besten aktive Gutschriften auf Kundenkonto; kein bürokratischer, schriftlicher Prozess; möglichst einfache Beweis- und Nachweispflicht für Kunden). - Punkt 11:
Reaktionszeiten und Serviceverfügbarkeit klar beschreiben (zentrale Hotline; Reaktionszeiten auf Incidents in Stunden). - Punkt 12:
Nennung der Rechenzentrumsstandorte mit Adresse und sonstigen Informationen wie Zertifizierungen und Tier. - Punkt 13:
Definition der Verfügbarkeiten: Unterschiede hinsichtlich Verfügbarkeit Server/VM und Verfügbarkeit Admin-Konsole definieren. - Punkt 14:
Erläuterung zu Möglichkeiten der SLA-Überwachung beziehungsweise des Incident-Reportings für den Anwender (Beispiel: Link auf Monitoring-Dashboard).
Erst danach sollten die Agreements den Security-Bereich abdecken. Hier geht es meistens darum, festzulegen, wie lange ein Anbieter oder ein Security-Dienstleister brauchen darf, um eine Attacke zu entdecken und die entsprechenden Schwachstellen zu beheben. Wir beispielsweise reden hier von einer Zeitspanne von einer Minute, was die Entdeckung eines Angriffs angeht und von fünf bis zehn Minuten für seine Abwehr.
CW: Wie entwickelt sich der Markt für Managed Security Services denn allgemein im Moment?
ZISAPEL: Sehr positiv. Die IT-Budgets, besonders die für das Fachpersonal, schrumpfen. Gerade kleine und mittlere Unternehmen sind betroffen, weil hier immer mehr Wert auf Verschlankung der Prozesse gelegt wird. Security-Fachkräfte sind teuer und brauchen ein tiefes Verständnis der Materie - das können sich immer weniger Unternehmen leisten. Also lagern sie das Thema Security komplett aus oder ergänzen ihre eigenen Teams zumindest um externe Berater.
Besonders in den USA ist dieser Trend bei den Cloud- und Hosting-Providern sehr stark zu erkennen: Fast alle entwickeln mittlerweile zu ihrem Kerngeschäft des Infrastructure as a Service auch Security-Services hinzu. Die Kunden möchten die Daten und Systeme, die sie in die Cloud geben, natürlich adäquat abgesichert wissen.
Ein Vorteil für MSS-Anbieter ist sicherlich, dass sie mehr als ein Unternehmen kennen und dadurch noch umfassender wissen, wo die Security-Risiken einer bestimmten Branche liegen. Wenn eine Bank sich vollständig selbst um die eigene IT-Security kümmert, kann sie das bestimmt nicht so gut wie ein Managed-Security-Service-Anbieter, der noch neun andere Banken betreut.
Der Weg ins SDDC
CW: Kommen wir zu den aktuellen IT-Trends. In Ihrer Unternehmenspräsentation beschreiben Sie den Wandel vom klassischen Rechenzentrum über das Cloud Computing hin zum Software Defined Data Center (SDDC) als "nicht absolut". Was meinen Sie damit?
ZISAPEL: Das altbekannte Modell ist, dass jede Applikation für sich isoliert auf einem eigenen dedizierten Server, in einem eigenen Teil des Netzes betrieben wird. Um agiler, dynamischer und effizienter werden, haben wir dann angefangen, zu virtualisieren. Das brachte mehr Tempo, mehr Konsolidierung und kostete weniger Geld. Derzeit bewegt sich vieles hin zu Cloud-Infrastrukturen, in denen nur noch zeitweise und auf gezielte Bedürfnisse zugeschnittene Ressourcen aufgewendet werden. Der nächste Schritt ist das Software Defined Data Center, das diese Abläufe im Idealfall automatisiert.
- Hans Schramm, Field Product Manager Enterprise, Dell
"Es ist sicherlich unumstritten, dass Software heute eine tragende Rolle bei allen Storage-Themen spielt, das wird sich zukünftig weiter verstärken." - Dr. Stefan Radtke, CTO Isilon Storage Division, EMC Deutschland
"Die Storage-Hardware besteht bei EMC schon heute fast ausschließlich aus Commodity Komponenten. Selbst die High-End Speichersysteme wie EMC VMAX oder Scale-Out-NAS Islilon Systeme bestehen mit wenigen Ausnahmen vollständig aus Commodity Komponenten." - Robert Guzek, Senior Alliance Manager CE FTS CE ISS Market Operations, Fujitsu Technology Solutions
"Nur wenn die Hardware selbst über eine gewisse Intelligenz verfügt, ist sie in der Lage, unmittelbar zu reagieren und die erwünschten kurzen Antwortzeiten zu liefern. Die Hardware muss in Zukunft deshalb eher an Intelligenz gewinnen, sie muss sich selbst besser verwalten und sich flexibler an die Geschäftsprozesse und betrieblichen Anforderungen anpassen können." - Thomas Meier, Chief Technologist Storage, Hewlett-Packard
"Das Software Defined Data Center ist bei HP bereits Realität: Die Cloud-Management-Lösung Cloud Service Automation, das offene Cloud-Betriebssystem Cloud OS sowie Lösungen für Software Defined Networking und Software Defined Storage sind bereits Bestandteil von HPs Portfolio für das Rechenzentrum der Zukunft.“ - Dr. Georgios Rimikis, Senior Manager Solutions Strategy, Hitachi Data Systems
"Hardware wird im professionellen Umfeld auf absehbare Zeit mehr sein als bloße Commodity. Das gilt für 2014 und auch noch darüber hinaus." - Michael Achtelik, Storage Business Leader DACH, IBM Deutschland
"Bei der Umsetzung der Konzepte rund um den Begriff Software Defined Data Center engagiert sich IBM sehr stark. IBM verfolgt hier einen eher noch umfassenderen Ansatz als SDDC und hat hierzu den Begriff Software Defined Environments (SDE) geprägt.“ - Johannes Wagmüller, Director Systems Engineering, NetApp
"Commodity-Hardware mag für Betreiber wie Amazon AWS und Google eine Option darstellen, da sie mit eigenen Entwicklungsabteilungen für Integration und Qualitätssicherung sorgen. Im Enterprise- und KMU-Markt, wo diese mächtigen Entwicklungs-Ressourcen nicht zur Verfügung stehen, wird weiterhin auf die Betriebssicherheit von Enterprise Speichersystemen Wert gelegt werden." - Vincenzo Matteo, Disk Product Management Director, Oracle
"Wir halten Software Defined Storage aufgrund der verdeckten Kosten für kein wirklich vorteilhaftes Konzept. Weil alle Integrations-, Prüfungs- und Wartungsaufgaben für das System vollständig auf den Anwender übergehen, erhöht sich der Aufwand in diesen Bereichen signifikant, die Ausgaben steigen deshalb gleichermaßen."
Diese Entwicklung ist auf Anwenderseite aber nicht durchgängig und eindeutig. Nehmen wir eine große Bank mit 1000 Applikationen, die auf dedizierten Servern gehostet werden. Die Bank wird nun nicht alle 1000 Anwendungen in die Hybrid Cloud migrieren. Normalerweise sucht sie sich ein bis zwei aus, deren Geschäftsmodell am besten funktioniert, und zieht nur diese um. 200 verbleiben auf den bisherigen Servern und der große Rest wird in einem virtualisierten Data Center vorgehalten, das eigens dafür aufgebaut wurde.
Der Wandel der Technologie ist nicht absolut - jedes Unternehmen stellt sich seine IT-Infrastruktur so zusammen, wie es ihm am besten passt.
CW: Welche Security-Trends sehen Sie für das kommende Jahr 2015?
ZISAPEL: Die Zahl der Cyberattacken wird weiter zunehmen, auch ihre Professionalität wird steigen. Die Angriffsfläche verschiebt sich weiter auf die Anwendungsebene und etwas weg vom Netzwerk als Ganzem.
Eine große Herausforderung ist sicherlich auch die Authentifizierung von Menschen im Cyberspace, das heutige Identitäts- und Passwort-Management ist nur noch bedingt zeitgemäß. Ich sehe den Trend eher in Richtung verhaltensbedingte Identifizierung gehen, dass Systeme nicht mehr an korrekt eingegebenen Passphrasen oder Erinnerungsfragen erkennen, wer mit ihnen kommuniziert, sondern am Verhalten von Personen.
CW: Und wie sollen Anwender mit diesen Entwicklungen umgehen?
ZISAPEL: Sie müssen der Realität ins Auge schauen, weniger naiv sein. Nicht alle Cyberangriffe sehen so aus, wie sie in den Medien dargestellt werden - als massive, nur volumenbasierte DDoS-Attacken mit großen Datenmengen, die das ganze Geschäft lahmlegen. Heutige Attacken sind oftmals eine Mischung aus vielen unterschiedlichen Angriffsarten, und eine einzige Sicherheitslücke zu schließen, bedeutet nicht, dass der Angriff vorbei ist.
Darüber hinaus wissen viele Unternehmen gar nicht, wie verletzlich sie wirklich sind und wie viele Angriffspunkte sie für die verschiedenen Gruppen bieten. Es gibt mehr als finanziell motivierte Hacker und staatliche Spione.
Schließlich ist es wichtig zu verstehen, dass Security kein Einzelprodukt ist, sondern ein organisatorisch-strategisches Thema. Es betrifft die Absicherung der gesamten Infrastruktur, der Geschäftsprozesse, weit mehr als "nur" die Sicherheit der IT. Deshalb sollten Unternehmen über ein übergreifendes Sicherheitssystem auf Basis einer umfassenden Abwehrstrategie verfügen, das sie vor allen aktuellen Gefahren schützt. Punktuelle Lösungen und Produkte reichen nicht aus.