IT-Governance im Hyperscaler-Zeitalter

Aus Multi-Cloud wird Poly-Cloud

05.07.2022 von Florian  Stocker
Der Trend zu Software-as-a-Service hat Multi-Cloud-Ökosysteme in den Unternehmen entstehen lassen. Experten raten, die IT-Governance neu aufzustellen.
Ohne es je bewusst forciert zu haben, betreiben Unternehmen heute wie selbstverständlich eine eigene Multi-Cloud-Umgebung.
Foto: behindlens - shutterstock.com

Die Zukunft hat viele Unternehmen eingeholt, ohne dass sie es gemerkt haben: Galt die Migration in die Cloud (und für welche Cloud überhaupt) vor einigen Jahren noch als bewusste Entscheidung des Managements, so sehen sich Entscheider heute vor eine komplett andere Situation gestell. Ohne es je bewusst forciert zu haben, betreiben Unternehmen heute wie selbstverständlich eine eigene Multi-Cloud-Umgebung. Schließlich bedeutet jede neu in Betrieb genommene SaaS-Lösung eine Quasi-Cloudifizierung in kleinen Schritten.

Multi-Cloud oder nur Abhängigkeit?

Statt zu gestalten, ist die IT dadurch heute in der Situation, diesen gewachsenen Zoo an Anwendungen zu verwalten - eine Aufgabe, die ohne eine angepasste Strategie kaum gelingen kann, wie die Teilnehmer der COMPUTERWOCHE-Expertendiskussion zum Thema Multi-Cloud konstatieren: "Multi-Cloud ist leider in den seltensten Fällen eine bewusste Entscheidung", stellt Florian Weigmann von plusserver fest. "Durch die Verwendung von SaaS-Lösungen unterschiedlicher Anbieter herrscht heute bereits faktisch ein Cloud-Zwang."

Statt also um die bekannten Themen Lift-and-Shift, Refactoring und Co. drehen sich die Fragen eher darum, wie mit der bereits im Unternehmen existierenden Multi-Cloud umgegangen werden soll. Im Zentrum steht dabei vor allem der Schutz kritischer Unternehmensdaten, aber auch der Erhalt der eigenen Unabhängigkeit durch die Vermeidung eines Vendor-Lock-ins. Dieser könnte allerdings bereits eingetreten sein, und zwar genauso schleichend, wie die gesamte Cloud-Landschaft entstanden ist.

"Viele meinen zwar, dass sie eine Multi-Cloud in Betrieb haben, in Wirklichkeit nutzen sie aber fast ausschließlich den Stack eines einzigen Hyperscalers und betreiben ein paar Services drumherum. Das ist nicht Multi-Cloud, sondern Abhängigkeit" beschreibt Nicholas Hamblin vom IT-Dienstleister Tietoevry die Situation.

Unternehmen sind also gut beraten, sich so aufzustellen, dass sie ihre Souveränität erhalten oder zurückerobern - und dafür entsprechend in die richtige Strategie investieren.

"In einer idealen Multi-Cloud lassen sich alle Daten leicht hin- und herbewegen und alles ist automatisiert", so Hamblin. "Das verursacht zwar oft hohe Upfront-Kosten, dafür erhalte ich ein hohes Maß an Unabhängigkeit, Kontrolle und Sicherheit."

Virtueller Round Table "Multi-Cloud-Management"
Mohammad Reza Gashtil, adesso
„Multi-Cloud-Umgebungen sind heute so komplex und vielschichtig, dass sie sich nicht selten über mehrere große Plattformen hinweg erstrecken. Für eine moderne Interpretation der DevSecOps gilt: You built it, you run it. Eine nahtlose und sichere Verzahnung zwischen Dev und Ops ist dafür essenziell. Die Praktiken, Werkzeuge, Architekturen und Sicherheit für eine Cloud-Native-App müssen nun in einer Multi-Cloud-Umgebung adressiert werden. Teilweise herrschen andere Prämissen in einer Multi-Cloud-Umgebung, welche ein Umdenken erfordert. <br /><br /> Um die End-zu-End Sicherheit einer Multi-Cloud-App gewährleisten zu können, wird hybrides Netzwerk ein Erfordernis. Für ein erfolgreiches Multi-Cloud-Management nimmt Automatisierung eine zentrale Stellung ein. Die selbstheilenden (Self-Healing) IT-Systeme, welche fehlertolerant und hochverfügbar betrieben werden, hat das Cloud Computing versprochen und geliefert. Auch das Monitoring und die Behebung der Schwachstellen folgen dieser Entwicklung. Die sogenannten Detection- & Response-Prozesse werden weitgehend KI-gestützt sein, weil Menschen oft gar nicht mehr in der Lage sind, auf eine Schwachstelle zu reagieren.<br /><br /> Das ‚Everything as Code‘-Leitbild erweitert die bereits etablierter ‚Infrastructure as Code‘ (IaC) um weitere Paradigmen, wie bespielsweise Security. Im Falle vom Governance sprechen wir von ‚Policy as Code‘.“
Dr. Stephan Michard, Dell Technologies
„Das Mantra ‚Cloud first‘ ändert sich gerade hin zu ‚Application first‘. Die gegenwärtige Multi-Cloud-Nutzung ist bei vielen Unternehmen mit der Zeit zufällig gewachsen, das bringt oftmals einen gewissen Grad an Komplexität mit sich. Gleichzeitig entstehen jedoch auch viele neue Chancen. Wir müssen in der Diskussion an einen Punkt kommen, an dem Multi-Cloud-Management strategisch, an den Unternehmenszielen ausgerichtet, eingesetzt wird. Allein beim Beispiel Google Cloud fallen mir ad hoc fünf Möglichkeiten ein, Container zu hosten. Eine gute Strategie berücksichtigt diese Optionen.<br /><br />Am Anfang gilt es, im Rahmen eines Application Assessments zu beantworten, welche Applikation zu welcher Landing Zone passt. Dann erst kann entschieden werden, ob es Sinn ergibt, eine Applikation mittels Lift-and-Shift in einer Cloud-Umgebung zu betreiben, oder ob ein Refactoring vielleicht der bessere Ansatz ist.“
Andreas Kopf, microfin
„Bei Nutzung von Cloud-Services ist die IT der zwei Geschwindigkeiten besonders spürbar. Bei Datenschutz und Compliance stehen kleinere Unternehmen vor großen Herausforderungen, die sie nicht ohne weiteres allein meistern können.<br /><br /> Statt Multi-Cloud trifft es vielleicht der Begriff “Multi-Provider” besser. Unternehmen müssen einen ganzen Zoo an Anbietern inkl. der eigenen IT orchestrieren können, wenn sie die Potenziale wirklich nutzen wollen.<br /> Am Ende bekommt man immer den Provider, den man verdient. Als kleines Unternehmen kann es schwer sein, alleine mit Hyperscalern zu verhandeln. Der Markt für Managed Services ist in den vergangenen Jahren stark gewachsen und es lohnt sich, Partner zu suchen, die die Vielzahl an Providern entsprechend steuern können.<br /> Die Steuerungs- und Compliance-Ebene ändert sich in einem Multi-Cloud-Umfeld kontinuierlich. Dieser Umstand sollte auch in SLA und Verträgen reflektiert sein, um nicht ständig neu verhandeln zu müssen. Dafür braucht es Augenhöhe und Vertrauen zwischen Provider und Kunde.“
Stefan Walter, minnosphere, ein Mitglied der msg-Gruppe
„Lift-and-Shift-Szenarien haben in den vergangenen Jahren zugenommen. In der Praxis sind immer noch sehr viele Unternehmen dahingehend gezwungen, neben einer Standard SaaS-Anwendung auch weiterhin ihre eigene Private Cloud zu betreiben. Multi-Cloud bleibt damit auch in Zukunft eine Notwendigkeit.<br /><br /> Der Zuschnitt meiner IT-Infrastruktur ist nicht nur ein Sicherheits- oder Betriebsthema, sondern rührt auch an die Identität eines Unternehmens. Anwendungen und Systeme müssen letztlich auch zur Unternehmenskultur passen.<br /> Aus Sicht des ‚Innovators‘ gesprochen: Es muss auch in hochregulierten Branchen möglich sein, schnell einen Prototypen hochzuziehen und Neues auszuprobieren, trotzdem aber beim Datenschutz auf der sicheren Seite zu sein.“
Florian Weigmann, plusserver
„Die Abrechnungsmodelle der Hyperscaler sind oft sehr komplex, sodass sie ohne Erfahrung nur schwer zu verstehen sind.<br /><br /> Applikation ist nicht gleich Applikation. Startups müssen sich zum Beispiel keine Gedanken über Altsoftware machen und können sofort auf DevOps setzen. Sie profitieren gleich von einer schlankeren Architektur mit erleichtertem Betrieb. Doch so ein ‚Big Bang‘ ist bei ‚gewachsenen‘ Unternehmen illusorisch. Der Monolith bleibt auch nach der Migration ein Monolith.<br /><br /> Wunsch und Ziel einer Multi Cloud ist schlicht, sich nicht mehr um die eigene Infrastruktur kümmern zu müssen. Die Komplexität ‚unter der Haube‘ sollte an der Oberfläche in Einfachheit umgemünzt werden. Workloads werden dorthin verlagert, wo sie den größten Benefit bringen.“
Bernd Gill, Rackspace
„Wenn ein Kunde aus dem klassischen Outsourcing kommt, fehlen meistens Skills und Ressourcen, um den Betrieb selbst sicherzustellen. Insourcing wird bei Multi-Cloud so zum unternehmenskritischen Thema und erfordert die Ausbildung der eigenen IT als Teil des Transformationsprojektes.<br /><br /> Hyperscaler liefern hochstandardisierte Services. Um daraus überhaupt vernünftige Business Cases zu schöpfen braucht es Dienstleister, die die Lücke zwischen Standardtechnologie und Customizing schließen. Nur so wird die Public Cloud auch zum ‚Business Enabler‘.<br /><br /> Als Berater müssen wir die gesamte Organisation unserer Kunden mit auf die Reise nehmen. Schließlich geht es darum, alle Workloads so zu transformieren, dass sie in der Cloud zukunftsfähig werden. Dazu gehört: Aufräumen mit Altlasten, Hinzufügen neuer Funktionalitätsbausteine, Anbindung von neuen Technologien und Services wie künstlicher Intelligenz.“
Nicholas Hamblin, Tietoevry
„Es beginnt doch schon bei der Zielsetzung. Betreibe ich eine Multi-Cloud, um einen Vendor-Lock-In zu vermeiden, oder geht es darum, zusätzliche Prozesse an eine bestehende Infrastruktur anzudocken? <br />Hauptimpuls für eine bestimmte Cloud-Strategie ist fast immer ein konkreter Use Case, der die Entscheidung für oder gegen Automatisierung, Kubernetes oder die Wahl eines Hyperscalers bedingt.<br /><br />In Multi-Cloud-Szenarien steigt die Gefahr, dass die Governance unter die Räder kommt – zum Beispiel in Form mehrfach gebuchter Subscriptions oder unnötiger Workloads. Das alles verursacht Kosten- und Sicherheitsrisiken. Es ist also wichtig, Security, Access Control und alle anderen Governance-Belange in meiner Multi-Cloud-Strategie von Anfang an mitzudenken.“

Kubernetes als "großes Geschenk"

Die technologisch getriggerte Abhängigkeit von Hyperscalern lässt sich auch technologisch wieder lösen. Laut Florian Weigmann habe sich insbesondere Kubernetes - beabsichtigt oder nicht - retrospektiv als großes Geschenk erwiesen. Die 2014 von Google ins Leben gerufene Container-Technologie sorgt gegenüber klassischen VMs dafür, dass die notwendigen Abhängigkeiten auf ein Minimum reduziert werden. Betriebssysteme wie beispielsweise Windows Core und andere notwendige Komponenten werden im selben Container betrieben wie die Applikation selbst und sind dadurch flexibel in die Gesamtinfrastruktur integrierbar.

In einem Kubernetes-Umfeld werden dadurch deutlich weniger Hardwareressourcen benötigt, was spürbare Kosteneinsparungen, mehr Sicherheit und ein einfacheres Deployment zur Folge hat. Container bilden so die Basis einer Microservices-Architektur, in der eine monolithische Softwarelandschaft in viele kleine Einzelteile zerlegt wird - zugunsten von Freiheit und Flexibilität.

Bringt Kubernetes also die notwendige "Demokratisierung" in die Multi-Cloud-Landschaft und sind damit alle Probleme gelöst? Nicht wirklich, wie Mohammad-Reza Gashtil von Adesso feststellt. Schließlich sollte die Rolle der Ökosysteme insgesamt nicht vernachlässigt werden, also die Umgebungen, die die "querschnittlichen" Web Services wie zum Beispiel Speicher, Netzwerk und IAM (Rollen- & Rechteverwaltung) umfassen, an die jeder weitere Service über Cloud-Native-Schnittstellen & -mechanismen andockt. "So ein Ökosystem auf der Basis von Kubernetes aufzubauen ist schon eine große Herausforderung. Wie komplex das sein kann, sieht man spätestens dann, wenn man eine Anwendung in verschiedenen Kubernetes-Distributionen - wie beispielsweise Upstream vs. OpenShift - betreiben will." Ein gesundes Maß an Cloud-nativem Ökosystem, das bei einem Hyperscaler gebucht wird, ist durch diese Komplexität laut Gashtil also ein durchaus vertretbares Risiko in Bezug auf den Vendor-Lock-in.

Wie so oft gilt auch bei der Plattform-Nutzung: Es kommt auf die Dosis an. Schließlich bringen Hyperscaler-Dienste die nötige Portion Planungssicherheit und Skalierbarkeit ins Portfolio. Unternehmen sollten sich aber jederzeit des potenziellen Lock-In-Risikos bewusst sein, dessen Vermeidung nicht nur ein Technologie-, sondern besonders ein Governance-Thema ist.

Das beginnt schon bei der personellen Ausstattung: Trotz aller Cloudifizierung ist es aus Sicht der Experten immer wichtig, ein gewisses Maß an Kompetenzen im Haus zu behalten - insbesondere ein Verständnis für Architektur, Sourcing, Governance und Security.

"Technologisch erfahren wir zwar gerade eine gewisse Demokratisierung, sowohl Inhouse als auch im Markt", betont Gashtil. "Profitieren kann ich als Unternehmen davon aber nur, wenn ich die richtigen Schritte bei der Governance ergreife. Diese ist - viel mehr noch als das Controlling - die Leitplanke einer Multi-Cloud-Zukunft, nach innen und nach außen."

Studie "Multi-Cloud-Management 2022": Sie können sich noch beteiligen!

Zum Thema Multi-Cloud-Management führt die COMPUTERWOCHE derzeit eine Multi-Client-Studie unter IT-Entscheidern durch. Haben Sie Fragen zu dieser Studie oder wollen Sie Partner werden, helfen Ihnen Regina Hermann (rhermann@idgbusiness.de, Telefon: 089 36086 161) und Manuela Rädler (mraedler@idg.de, Telefon: 089 36086 271) gerne weiter. Informationen zur Studie Multi-Cloud-Management finden Sie auch hier zum Download (PDF).

Zwischen Standard und Customizing steht die Governance

Zwischen den hochstandardisierten Services der Hyperscaler und dem realen Business Case klafft eine sichtbare Lücke, die es mit bewussten Entscheidungen zu schließen gilt, wenn die Vorteile der Public Cloud auch im Alltag ankommen sollen. Die Governance spielt hier eine Schlüsselrolle. Für Bernd Gill von Rackspace ist die Einrichtung eines Center of Excellence eine der wichtigsten Komponenten, um IT, Fachbereiche und alle anderen relevanten Stakeholder zusammenzubringen. Letztlich geht es darum, "Betroffene zu Beteiligten" zu machen, um auch Compliance-Themen und Lizenzierungsfragen in die Governance-Diskussion einzubringen.

"Am Ende ist es eine Mentalitätsfrage: Governance sollte nicht als Bremsklotz gesehen werden, sondern als Impulsgeber für notwendige Prozesse und Skills."

Für Andreas Kopf von Microfin sollte am Anfang "eine solide Ist-Analyse der Anwendungslandschaft stehen, aus der dann die Strategie für einen sauberes Anwendungsdesign und sicheren Betrieb abgeleitet wird." Der Job des Managements liege dann umso mehr darin, die IT zu enablen und so tragfähige Lösungen entstehen zu lassen, die langfristig funktionieren. "Das Idealszenario für Entwickler sind "konsumierbare" Services, die sie reibungslos an die Kerninfrastruktur anbinden können."

Poly-Cloud stellt die Applikation in den Mittelpunkt

Für Stephan Michard von Dell entwickelt sich das Mantra "Cloud First" weiter zu "Application First". Es geht künftig darum, nicht die Technologie in den Mittelpunkt zu stellen, sondern die Anwendung und den Zweck, den sie erfüllt. Ein Anlass, auch die Zukunft von Multi-Cloud insgesamt zu überprüfen. In den USA hat sich mit der "Poly-Cloud" bereits eine neue Begrifflichkeit herauskristallisiert, die genau das zu beschreiben versucht.

Während eine Multi-Cloud traditionell die gleichzeitige Nutzung mehrerer Clouds meint, stehen in einem Poly-Cloud-Ökosystem die konkreten Services im Mittelpunkt. In einer Poly-Cloud stammt zum Beispiel die Datenhaltung von einem Anbieter, während die Security als Service von einem anderen Provider genutzt wird. Wenn es also bei Multi-Cloud darum geht, die Unterschiede zwischen den Anbietern zu minimieren, nutzt ein Poly-Cloud-Ansatz diese Unterschiede zum eigenen Vorteil. Unternehmen können individuell nach den Stärken der Anbieter auswählen und sie - idealerweise - frei miteinander kombinieren. Das Ergebnis ist eine technologische Unabhängigkeit, die mit Leistungs- und Kostenvorteilen einhergeht. Eine Poly-Cloud-Umgebung überführt die Demokratisierung des Marktes so in die eigene Cloud-Landschaft.

Eine Poly-Cloud-Strategie kann aber nur etabliert werden, wenn entsprechend gewissenhafte Planungsphasen vorausgehen. Für Stephan Walter von minnosphere ist eine Cloud-Landschaft dann die richtige, wenn sie die Identität des Unternehmens möglichst genau widerspiegelt: "Der eigentliche strategische Nutzen einer Cloud wird oft erst klar, wenn es auch insgesamt eine Vorstellung von digitaler Transformation gibt und Klarheit darüber, was man in den kommenden Jahren erreichen will."