Lose Kopplung

SOA ist eine gute Vorbereitung auf die Cloud

06.04.2011 von Karin Quack

Nur wer seine IT-Architektur im Griff hat, kann intelligente Sourcing-Entscheidungen treffen. Das kristallierte sich auf den diesjährigen "SOA Days" heraus.

"Wir beschäftigen uns nicht nur mit SOA, sondern auch mit EAM", konstatierte Stefan Manke, Leiter des Development Center für Referenzarchitekturen bei der DB Systel GmbH. Das Wörtchen "Wir" bezeichnet in diesem Fall die Mitglieder des SOA Innovation Lab, einer kleinen, aber feinen Anwendervereinigung, die sich die Entwicklung von Best Practices für Service-orientierte Architekturen auf die Fahnen geschrieben hat.

Gemeinsam mit Karsten Schweichhart, Vice President Group Enterprise Architecture bei der Deutschen Telekom, stellte Manke auf den diesjährigen "SOA Days" die Arbeit der 2008 gegründeten Vereinigung vor, die derzeit von 15 Organisationen, darunter auch dem Bundesinnenministerium, getragen wird. Sechs Projekte sind bereits abgeschlossen. Sie tragen die Bezeichnungen:

SOA-Landschaft,
SOA Technology Stack,
Bebauungs-Management,
Formale Beschreibung der SOA,
SOA-Governance und
Business Case für SOA.

Zum letzten Punkt beteuerten die beiden SOA-Experten: "Jeder kann einen Business Case haben". Allerdings zog Schweichhart den Kongressteilnehmern auch einen Zahn: "Nimm SOA,und es wird billiger - das ist a priori nicht richtig." Mit Hilfe des im Projekt entwickelten Frameworks sei es allerdings jetzt einfacher, den Nutzen SOA-spezifisch zu betrachten.

Dieter Pütz, Senior Vice President IT Service Management bei der Deutschen Post, warf dazu die Frage auf, ob eine Service-orientierte Architektur möglicherweise die Kosten der IT-Infrastruktur in die Höhe treibe. In Sachen Ende-zu-Ende-Verfügbarkeit hat die lose Kopplung von Services - ungeachtet ihrer sonstigen Vorteile - sicherlich ein Handicap. Andererseits sollte man die Verfügbarkeit differenziert betrachten, mahnte Pütz. Gemeinsam mit der TU Darmstadt hätten die Post-Architekten Metriken für sinnvoll Service-Level-Agreements im SOA-Umfeld entwickelt.

Sicherheit in SOA und Cloud

Claudia Eckert, Leiterin des Fraunhofer-Instituts für Sichere Informationstechniken
Foto: Euroforum/Constantin Meyer

Ein Thema, das auch die SOA-Community umtreibt, ist die Sicherheit. Hier hatte das SOA Innovation Lab zur Unterstützung die Sicherheitsexpertin Claudia Eckert ins Boot geholt. Die Leiterin des Fraunhofer-Instituts für Sichere Informationstechnologien (SIT) und Professorin an der TU München ist auch eine versierte Kennerin der Cloud-Computing-Szene. Das gab nicht nur Anlass zu Witzen mit ihrem Vornamen ("Cloud?" - "Ja!"), sondern sorgte auch für den großen Brückenschlag zwischen dem alten und dem neuen Hype-Thema.

Eckert hatte ihre Präsentation unter das Motto "SOA und Cloud-Computing: mit Sicherheit innovativ" gestellt. Ihre These: Vor allem kleinere und mittlere Unternehmen erhöhen durch Auslagerung von IT-Services in die Cloud oft ihre Informationssicherheit. Ein externer Partner könne das Identitäts- und Zugriffs-Management wirtschaftlicher erledigen. Er biete Security by Default, habe Werkzeuge für die Kontrolle der Sicherheits-Policies und die Compliance-Prüfung an der Hand und sei in der Lage, ein professionelles, umfassendes und aktuelles Sicherheits-Management bereitzustellen.

Damit rekurrierte Eckert auf Untersuchungsergebnisse wie jüngst von IDC, wonach die Sicherheitsrisiken aus Anwendersicht das größte Hindernis (88 Prozent der Nennungen) für die Cloud-Nutzung darstellen.

Wer kontrolliert was?
Wer hat Zugriff auf welche Daten?
Wo befinden sich die Daten?
Sind sie auditierbar?
Was ist mit dem Backup?
Und lässt sich die Verfügbarkeit sicherstellen?

So heißen die Standardbedenken der potenziellen Kunden.

Als das tatsächliche Problem Nummer eins hat Eckert jedoch ein anderes ausgemacht: Bei der Mehrmandanten-Fähigkeit eines echten Cloud-Services sei die Prozessisolation keineswegs gewährleistet. Es komme immer wieder zu Verletzung der Datensicherheit durch schwache Authentifizierung oder gefälschte Identitäten. In den meisten Fällen sei ein "malicious insider" auf Seiten des Providers der Auslöser. Die Frage müsse also heißen, ob die gewählte Cloud eigentlich "Betreiber-sicher" sei.

Lose Kopplung als Cloud-Voraussetzung

Post-CIO Johannes Helbig agierte als Gastgeber der "SOA Days".
Foto: Euroforum/Constantin Meyer

Den Zusammenhang zwischen Cloud und SOA hatte Johannes Helbig zuvor herausgearbeitet. Der CIO der Deutsche Post Brief agierte in bewährter Tradition als Gastgeber der SOA Days, die heuer mehr als 200 Teilnehmer in den Bonner Post-Tower gelockt hatten. "Erfolgreiches Cloud Computing setzt lose Kopplung voraus", so seine leicht nachvollziebare These.

Vor allem auf der obersten Stufe des Cloud-Computing, also für die Bereitstellung von "Software as a Service" (SaaS) sei es "erfolgskritisch", die Prinzipen der Service-orientierten Architektur zu befolgen. Dazu zählten vor allem die horizontale Entkopplung der Anwendungsfunktionen und die "Business-Granularität", also der geschäftsorientierte Zuschnitt der Services. Unternehmen, die ihre Architektur nach diesem Prinzip aufgebaut hätten, täten sich bedeutend leichter, einzelne Services nach außen zu geben.

Auch auf der darunter liegenden Ebene des PaaS (Platform as a Service) kommt laut Helbig das SOA-Prinzip der losen Kopplung zum Tragen: Ein Enterprise Service Bus (ESB) als Mediator helfe, die Anwendungen vertikal zu entkoppeln und einzelne Plattformbereiche auszulagern.

Mit Policy-Funktionalität ausgestattet, lässt sich der ESB auch an ein heterogenes Security und Quality-of-Service-Umfeld anpassen, so Helbig weiter. In diesem Fall unterstütze er auch die externe Vergabe von Infrastruktur-Services (IaaS). Derartige ESB-Implementierungen seien in den Unternehmen allerdings erst selten anzutreffen.

Zudem hinken die Angebote der Cloud-Anbieter aus Helbigs Sicht den Möglichkeiten gut aufgestellter Anwenderunternehmen bislang noch hinterher. So basierten die SaaS-Angebote meist noch auf monolithischen Softwarepakten. Die PaaS-Angebote nutzten allenfalls plattformspezifische ESB-Implementierungen oder einfache Web-Services, die sich nicht für den Unternehmenseinsatz mit unterschiedlichen Plattformtechnologien eigneten.

Neue Anforderungen durch die Cloud

In Sachen Sicherheit haben Unternehmen mit einer Service-orientierten Architektur gute Vorarbeit für den Cloud-Einsatz geleistet, befand der Post-CIO. Immerhin mussten sich diese Anwender schon mit dem Schutz der Services und deren Informationen, mit der Authentisierung und Autorisierung von Services, der Verbindlichkeit von Geschäftstransaktionen, den erhöhten Verfügbarkeitsanforderungen an die Infrastruktur sowie mit der Frage des einheitlichen Sicherheitsniveaus für alle Services auseinandersetzen.

Beim Schutz der Identitäten und der Überprüfbarkeit von Sicherheitsanforderungen überschnneiden sich die Anforderungen an SOA und Cloud ohnehin. Allerdings stellt das Cloud-Umfeld auch neue Herausforderungen an die Informationssicherheit Laut Helbig betreffen sie vor allem:

den Schutz vor Coud-internen Angriffen,
die Verhinderung des Fremdzugriffs bei Mehrmandantenfähigkeit,
die Verfügbarkeit des Internet,
die Lokalisierung der Daten und
den Rechtsstand des Anbieters.

Die Kombination von SOA und Cloud-Computing werde sowohl die Anwender wie die Provider antreiben, prognostierte Helbig. Mit der Aussicht auf eine Auslagerung von IT-Services stiegen die Anforderungen an die Umsetzung der SOA-Prinzipien. Die Unternehmen müssten die fachliche Entkopplung und die semantische Vereinheitlichung der Services vorantreiben. Sie sollten einen Meta-ESB installieren, der die Begrenzung herkömmlicher Enterprise-Service-Busse auf bestimmte Plattformen überwinden. Und sie müssten den Anwendern klare Verhaltensmaßregeln in Sachen Sicherheit und Compliance mitgeben. An die Anbieter richtete Helbig die Aufforderungen, die fachliche Granularität ihrer Services zu verfeinern, plattformunabhängige Meta-ESBs zu nutzen und die ESBs zur Steuerung von Service-Policies einzusetzen.

Die Zusammenarbeit mit der Provider-Seite ist für das SOA Innovation Lab nicht immer einfach, berichteten Manke und Schweichhart. So beispielsweise beim Thema "Visualisierung für EAM". Hier sei die Anwendervereinigung mit ihren Forderungen teilweise auf Unverständnis oder sogar taube Ohren gestoßen. Anders beim Thema "SOA und Standardsoftware". Dort funktioniere der Dialog deutlich besser.

Aktuelle Themen des SOA Innovation Lab

Für das kommende Jahr hat das SOA Innovation Lab bereits eine Reihe von neuen Themen definiert. Dazu zählt - inspiriert durch den Trend in die Cloud - die "Einbindung externer Services". Wie Manke und Schweichhart erläuterten, geht es hier um kombinierte Geschäftsmodelle unterschiedlicher Betriebe innerhalb einer Wertschöpfungskette. Im Versicherung- und Telekom-Bereich gibt es schon erste Pilotversuche.

Ebenfalls umgesetzt sind die Anfänge eines "Reference Lab", in dem die Serviceintegration von Standardsoftwaresysteme praktisch erprobt werden soll. Die Hersteller seien herzlich zur Teilnahme eingeladen, betonte Schweichhart: "Wir werden den Finger in die Wunde legen. Aber das soll nicht wehtun, sondern uns weiterbringen."

Seit Jahren widmet sich das SOA Innovation Lab auch der Ausbildung von Software- und Enterprise-Architekten. Gemeinsam mit externen Trainings-Anbietern offeriert die Anwendervereinigung heute schon drei Kurse unterschiedlicher Intensität und Dauer. Bislang noch in der Diskussion ist die Vergabe eines Zertifikats.

SOA - gesund und munter

Neue Studie von Forrester Research weist eine hohe Durchdringung nach.

Service-orientierte Architekturen haben ihren Weg in die Unternehmen gefunden - obwohl oder gerade weil der Hype längst durch den nächsten abgelöst ist. Das belegt eine aktuelle Untersuchung von Forrester Reseach.
Demnach nutzen 71 Prozent der Befragten bereits eine SOA oder wollen das spätestens Ende dieses Jahres tun.
Das gilt für große wie für kleine und mittlere Unternehmen. Die Forrester-Analysten überrascht das insofern, als KMUs im Allgemeinen neue Techniken eher langsam übernehmen.
Darüber hinaus sind die Anwenderunternehmen zufrieden mit ihren SOA-Ergebnissen: 77 Prozent der großen und 81 Prozent der kleineren Unternehmen wollen die Anwendung der SOA erweiteren.
Am meisten genutzt werden SOAs in den Branchen Telekommunikation, Versorgung, Finanzdienstleistungen und Versicherung - mit einer Durchdringung von 80 Prozent (Konzerne) beziehungsweise 60 Prozent (KMUs).
Zwischen Nordamerika und Europa gibt es hinsichtlich der SOA-Nutzung kaum Unterschiede. Hier wie dort setzen etwa drei Fünftel der Unternehmen auf eine solche Architektur.
Allerdings sind die Amerikaner offenbar in höherem Maße überzeugt, die richtige Entscheidung getroffen zu haben: Die Zufriedenheitsquote liegt in Übersee bei 80 Prozent, auf dem alten Kontinent nur bei 73 Prozent.
Last, but not least, zeigt die Studie, dass die SOA-Abstinenzler ihre Haltung überdenken sollten. Laut Forrester ist die Anfangsinvestition weniger hoch als von vielen befürchtet - und lohnt sich auch für diejenigen, die ihre Anwendungsintegration im Griff haben.
Das Fazit der Analysten: Unternehmen sollten SOA als eine strategische Business-Investition in eine Best-Practices-Technik betrachten, mit der sie klein anfangen und ständig reifer werden können.