Eine Cloud ohne Risiko?

Eines haben Clouds gemeinsam, unabhängig davon, wo sie räumlich angesiedelt sind, unternehmensintern oder extern: IT-Virtualisierung muss eine dynamische Zuordnung von Verarbeitungs-, Speicher- und Desktop-Ressourcen eröffnen. Ein eng an die aktuellen Geschäftsprozesse angelehntes Service-Management sollte es zudem ermöglichen, IT-Leistungen als Services bereitzustellen und abzurechnen. Außerdem müssen geeignete Sicherheitsmechanismen im Systemgeflecht der Wolke nicht nur die notwendige Hochverfügbarkeit und IT- Security gewährleisten, sondern auch die Einhaltung von Compliance- und Datenschutzvorschriften sowie internen Regeln.

Hoher Restaurierungsbedarf

Die meisten Unternehmen, die eine eigene Private Cloud errichten und betreiben wollen, sehen sich daher mit einem erheblichen technischen Restaurierungsbedarf ihrer IT konfrontiert. Das gilt auch dann, wenn sie künftig auf eine Mischung aus eigener Wolke und externen Clouds setzen möchten, zumal auch in dieser Konstellation die Basisinfrastruktur für eine Private Cloud unverzichtbar ist. Mathias Hein, freier IT-Berater in Neuburg an der Donau, hält deshalb wenig von Marktanalysen und Offerten, die extern erbrachte Dienste aus Virtual Private Clouds oder Public Clouds denen aus der eigenen Wolke gegenüberstellen.

Wahrscheinlich nicht!
Denn nach Schätzung von Forrester Research sind höchstens fünf Prozent der IT-Abteilungen wirklich in der Lage, Private-Cloud-Services anzubieten. Wie der Analyst James Straten in einem aktuellen Forrester-Report sagt, ist der IT-Betrieb "Cloud-ready", wenn er folgende Bedingungen erfüllt:

Punkt 1:
Es gibt standardisierte Prozesse für Auslieferung, Konfiguration und Verwaltung von virtuellen Maschinen.

Punkt 2:
Deployment und Management der virtuellen Maschinen laufen automatisiert und Tool-gestützt ab.

Punkt 3:
Die Endanwender können über Self-Services real auf die angebotenen Dienste zugreifen.

Punkt 4:
Alle Geschäftseinheiten sind bereit, dieselbe Infrastruktur zu nutzen.

Bevor sie in Richtung Private Cloud ziehen können, ...
müssen die IT-Abteilungen noch effizienter in Sachen Server-Virtualisierung werden. Die meisten von ihnen verfügen eben nicht über konsistente Abläufe, mit denen sich Inbetriebnahme, Nutzung und Eigentumsverhältnisse von virtuellen Maschinen im Auge behalten lassen. So kommt es dann zu "Virtual Machine Sprawl" - oder auf Deutsch ausgedrückt: Es wächst ein schwer durchschaubarer Dschungel von virtuellen Maschinen. Damit rückt der ökonomische Nutzen der Private Cloud in weite Ferne, so Forrester.

Darüber hinaus müssten die IT-Abteilungen lernen, ...
einen ganzen Pool von virtualisierten Servern zu managen. Bislang sind die meisten lediglich auf einzelne virtuelle Maschinen oder Workloads ausgerichtet, so der Forrester-Report.

Ist das Virtualisierungshaus erst mal errichtet, ...
... können die Unternehmen die Private Cloud ins Visier nehmen. Forrester empfiehlt hier die folgenden Schritte:

Schritt 1:
Fangen Sie mit nicht-kritischen Workloads an und beweisen Sie, dass es funktioniert.

Schritt 2:
Sobald eine Geschäftseinheit gewillt ist, in Cloud Computing zu investieren, errichten Sie dafür eine brandneue Umgebung.

Schritt 3:
Verschaffen Sie sich die Unterstützung des Topmanagements, am besten einen ausdrücklichen Auftrag, wonach die Business Units einen gemeinsamen Pool virtueller Resourcen nutzen müssen.

Schritt 4:
Weisen Sie die Vorteile nach - dramatisch schnellere Inbetriebnahme und deutlich geringere Kosten.

Schritt 5:
Integrieren Sie Public Clouds als Ergänzung zur internen Cloud.

"Nicht nur, dass die Unternehmen in dieser Konstellation auf gleicher Augenhöhe mit den Cloud-Dienstleistern sprechen und handeln sollten. Die Unternehmen werden auch weiterhin wenig Interesse daran haben, die Führung und den Betrieb geschäftswichtiger oder sensibler IT-Segmente beziehungsweise Geschäftsprozesse an eine externe Cloud abzutreten." Bestenfalls periphere IT-Segmente und Prozesse seien für dieses Outsourcing geeignet. Das spräche zusätzlich für den Aufbau einer reinen Private Cloud unter eigener Regie und Verantwortung. Hein sieht zudem in der permanenten Geschäftsprozessoptimierung in den Unternehmen ein wichtiges Argument für eine Private Cloud im Unternehmen: "Weitgehend automatisierte Geschäftsprozessketten sind unteilbar und als Kernprozesse viel besser innerhalb der eigenen Wolke aufgehoben."

2012: Jahr der Virtualisierung

Bisher sind die meisten Unternehmen bestenfalls konzeptionell auf dem Weg in eine Private Cloud, eben weil dieser Weg mit großem Zeit- und Investitionsaufwand verbunden ist. Allein der Nachholbedarf beim Thema Virtualisierung ist in den meisten Unternehmen groß, insbesondere im Feld der Speicher- und Desktop-Virtualisierung. Das zeigt die Einschätzung des Analystenhauses IDC, wonach die meisten mittelständischen und großen deutschen Unternehmen 2012 eine Virtualisierungsstrategie einführen und sich auf eine erweiterte Nutzung der Virtualisierung konzentrieren wollen. Nach Thomas Meyer, VP Emea Systems and Infrastructure Solutions bei IDC, sind die Entscheider im Verlauf des Jahres noch mit der Evaluierung von Konzepten für eine verbrauchsorientiert arbeitende IT beschäftigt.

Gartner stellt den Aufbau einer eigenen Cloud-Infrastruktur, alternativ die Auslagerung von Daten in externe Clouds, als einen der Trends für 2012 heraus - und signalisiert damit ebenfalls einen hohen Nachrüstbedarf an Hard- und Software. Dabei gilt: Halbe Sachen bringen die Unternehmen nicht weiter. Die dynamische, bedarfsgerechte und kostensparende Zuordnung von IT-Ressourcen innerhalb der privaten Wolke funktioniert nur dann zufriedenstellend, wenn die Virtualisierung der IT vollständig ist.

So gelingt der Sprung in die Private Cloud
Der Aufbau einer Private Cloud hält einige Herausforderungen bereit. Hier sind die wichtigsten:

Budget:
Eine Private Cloud ist nicht billig zu haben. Legen Sie den Rahmen für einen Return on Investment frühzeitig und möglichst exakt fest.

Public-Cloud-Integration:
Gestalten Sie die Private Cloud so, dass sie im Bedarfsfall Services aus der Public Cloud integrieren können. Dazu müssen die Systeme so sicher und nachprüfbar sein, dass die Nutzlasten simultan in beiden Welten abgearbeitet werden können.

Scale:
Im Regelfall können Private Clouds nicht mit derselben Masse aufwarten wie Public Clouds. Das heißt, die Economies of Scale sind deutlich geringer.

Neukonfigurationen "im Flug":
Möglicherweise müssen Sie Server und andere Infrastrukturelemente in die Private Cloud übertragen, ohne sie abzuschalten. Das kann problematisch werden.

Legacy-Hardware:
Wenn ihre alten Server keine Automatisierung und Orchestrierung erlauben, lassen Sie sie einfach zurück. Sie ersparen sich eine Menge Aufwand.

Obsolete Technologie:
Nicht nur kleine It-Organisationen werden an der Komplexität und Geschwindigkeit des technologischen Wandels zu knabbern haben. Haben Sie erst einmal in eine Private Cloud investiert, gibt es nur einen Weg, diese Investition zu schützen: Sie müssen technisch up to date bleiben.

Angst vor dem Wandel:
Ihr IT-Team muss mit Sicherheit erst einmal eine Lernkurve erklimmen. Neue oder geänderte Betriebsprozesse setzen die Mitarbeiter unter Stress und erzeugen Ängste. Hier ist der CIO als Motivator gefordert: Erinnern Sie Ihre Leute daran, dass sie hier Fähigkeiten erlernen, die in einer modernen Business-Umgebung heute unabdingbar sind, weshalb ihnen die Neuorientierung auch persönlich nutzt.

Noch größer sind derzeit die Rückstände in den Unternehmen, was ein umfassendes IT-Service-Management betrifft. "Die Mechanismen des ITIL-basierenden Service-Managements sind unverzichtbar für den Aufbau eines Servicekatalogs", so Ulrich Pöhler, Senior Consultant IT-Management bei Materna. "Mit ihm muss festgelegt werden, welche IT-Services in welchem Leistungsumfang und in welcher Qualitätsausprägung künftig innerhalb der Private Cloud zur Stützung der geschäftlichen Abläufe vorgehalten werden müssen."

Daneben muss ein Servicemodell errichtet und etabliert werden. "Es ist notwendig, um später den Reifegrad des Servicekatalogs kontinuierlich zu verbessern", sagt der Materna-Mann. Zudem müssen für die Private Cloud die technischen Voraussetzungen einer verursacherbezogenen Abrechnung der IT-Services geschaffen werden. "Das Unternehmen kommt nicht daran vorbei, ein umfassendes IT-Service-Management zu planen und umzusetzen, um später Cloud-Services gezielt aufzusetzen, zu überwachen, zu messen, zu steuern und bei Untererfüllung automatisch Malus-Zahlungen anzustoßen", betont Pöhler. Denn ein komplettes IT-Service-Management sei nicht nur als Grundvoraussetzung für die Private Cloud unverzichtbar, sondern auch für eine gezielte Überwachung, Bewertung und Beeinflussung externer Cloud-Dienste, wo sich eine Auslagerung empfehle.

Sicherheit ist die größte Herausforderung

Die größte Herausforderung stellt für künftige Private-Cloud-Betreiber jedoch der Schutz von Systemen, Daten und Prozessen nach allen Regeln der Sicherheitskunst dar. Das beginnt bereits bei der logischen Verbindungs- und Zuordnungsschicht, die mit der IT-Virtualisierung zusätzlich eingezogen wird. Sie muss zusätzlich zur physischen Schicht mit allen notwendigen Investitionen und Aufwendungen abgesichert werden. Gartner verweist auf Governance, Risk-Management und Compliance (GRC), die nahtlos zusammenwirken müssen, um innerhalb der Cloud verlässlich und nachweislich Vorschriften und Regeln einhalten zu können.

Um dies zu garantieren, sind Fachleute gefordert, die sich in ihrem Handeln eng an den geschäftlichen Anforderungen des Unternehmens orientieren, meint Tom Biermann, Business Developer Compliance bei Twinsoft. "Eigene Spezialisten werden sich in der Regel näher am Unternehmensgeschäft bewegen als das Personal externer Cloud-Anbieter", gibt er zu bedenken. Weil Geschäftsprozesse immer mehr von Informationssystemen getragen werden, empfiehlt er für einen sicheren Weg in die Private Cloud, alle an den Geschäftsprozessen beteiligten Systeme abzuschirmen. "Das gilt für Anwendungen und Datenbanken, für Server, Speichersysteme und ihre Betriebssysteme ebenso wie für Netzwerksysteme."

So schützen Sie sich vor Cloud Katastrophen
"Die Cloud hat keine Fehler, die es zuvor nicht auch beim In-House-Betrieb gegeben hat", meint Rackspace CSO Moorman. Eine absolute Sicherheit gibt es auch mit der Cloud nicht. Wer sich dessen bewusst ist, wird nicht unvorbereitet in einen Wolkenbruch geraten. Unsere Tipps für Sie:

Tipp 1:
Wenn Sie einen Teil ihrer IT in die Cloud verlagern wollen, sollten sie bei der System-Planung Verluste und Ausfälle von Anfang an berücksichtigen.

Tipp 2:
Wenn es um ihre Daten geht, sollte Sie nicht auf andere vertrauen, sondern sich selber darum kümmern. Sorgen Sie selbst für ein Backup und überprüfen sie das Disaster Recovery-Setup Ihres Cloud-Providers.

Tipp 3:
Es ist nicht unbedingt nötig, alle Daten doppelt zu sichern. Ein zusätzliches Backup der kritischsten Daten kann aber sinnvoll sein.

Tipp 4:
Cloud-Nutzer sollten gründlich auf die Sicherungsmechanismen achten und eventuell vorsorglich eine Backup- oder Offline-Zugriffs-Lösung aufsetzen.

Tipp 5:
Bei Cloud-Diensten kann es sinnvoll sein, Daten auf verschiedenen Servern in unterschiedlichen Rechenzentren zu sichern – Es lohnt sich auch, die Dienste mehrerer Provider zu nutzen.

Tipp 6:
Sie sollten sich folgende Frage stellen: Ist es für unser Unternehmen tragbar, wenn Geschäftsdaten temporär nicht abrufbar sind?

Dazu sollte, so Biermann, der künftige Rundum-Schutz eng mit installierten oder noch zu installierenden Sicherheitslösungen wie Zugriffskontrollsystem, Firewalls, Malware-Schutz und Dateisystemen verzahnt werden. Weil alle Systeme, inklusive der Sicherheitssysteme, System Logs und Event Logs absetzen, plädiert er zusätzlich für ein durchdachtes Security Information and Event Management (SIEM). "Es überwacht die Ereignisse, korreliert sie, qualifiziert sie hinsichtlich der Nicht-Einhaltung von Vorschriften und Regeln und alarmiert und protokolliert bei Verstößen." Biermann rät außerdem zu einem Monitoring des Benutzerverhaltens: "Denn auch von den Mitarbeitern können Gefahren für die innere Sicherheit der Private Cloud ausgehen."

Übereilt auf externe Clouds auszuweichen, um vermeintlich viele notwendige Investitionen und Aufwendungen in die Sicherheit zu ersparen, bringt nach Ansicht von IT-Berater Hein nichts. "Erstens sind optimierte Geschäftsprozesse, und das sind in der Regel Kernprozesse mit sensiblen Daten, innerhalb der eigenen Cloud sicherer aufgehoben. Zweitens steht bei Outsourcing nicht der Cloud-Anbieter, sondern das Unternehmen für die entfernt getroffenen oder nicht getroffenen Sicherheitsmaßnahmen und ihre Folgen in der Haftung. An dieser generellen Ausgangssituation", so Hein, "werden auch Bestrebungen wie Federal Risk and Authorization Management Program (FedRAMP) und Common Assurance Maturity Model (CAMM) wenig ändern können." (uk)