Bedenken der Anwenderunternehmen bezüglich der Sicherheit ihrer Daten in Cloud-Umgebungen lassen immer noch viele vor diesem Geschäftsmodell zurückschrecken. Mit der Auslagerung eines CRM-Systems etwa wandern neben der geschäftskritischen Anwendung selbst auch der gesamte Datenbestand in die Wolke. Doch mehrere wichtige Fragen bleiben offen: Wo steht das Rechenzentrum des Providers beziehungsweise kann man den Strafverfolgungsbehörde dieses Standorts hundertprozentig vertrauen? Wird bei einem Wechsel zu einem anderen Provider der Datenbestand vom früheren Dienstleister auch wirklich komplett gelöscht oder nur die Referenz darauf? Gibt es irgendwo noch eine Kopie davon?
Anwender, die die Vorteile des Cloud-Konzepts trotzdem nutzen wollen, müssen die Kontrolle über die gespeicherten Daten selbst in die Hand nehmen. Das gilt nicht nur für die Public Cloud, sondern auch in der privaten, also unternehmensinternen Cloud sowie allgemein in jeder virtuellen Struktur. Zu schützen ist zweierlei: Sowohl die gespeicherten Daten selbst als auch die laufende Instanz, beziehungsweise der Zugriff darauf, damit die Daten beim Transport und während der Verarbeitung sicher sind. Den effizientesten Schutz für persistente Daten bietet die komplette Verschlüsselung des externen Storage. Ein Knackpunkt dabei stellt jedoch das Schlüssel-Management dar: Es muss vom Image in der virtuellen Maschine der Cloud getrennt ablaufen, damit tatsächlich Sicherheit für die Daten gewährleistet ist. Dieses Problem löst Trend Micro mit dem richtlinienbasierenden Schlüssel-Management in "SecureCloud". Die Software umfasst sowohl die branchenweit übliche Verschlüsselungstechnik der 128-Bit AES-Encryption, als auch einen Key-Management-Server und erlaubt somit die geforderte "Aufgabentrennung".
Das Verschlüsselungsverfahren
Ein Runtime Agent läuft in der virtuellen Maschine mit dem zu schützenden Image und wird in der Cloud zusammen mit dem verschlüsselten Storage hochgefahren. Um den Speicher abrufen und entschlüsseln zu können, schickt die Agent-Komponente einen Key Request an den Management-Server, in dem Informationen über die laufende Instanz enthalten sind: Dazu gehören das Rechenzentrum, das die Instanz startende Image, Identifikationsnummer und Bezeichnung des Storage sowie die Statusdaten des Systems etwa zur Sicherheit und Policy. Auf Basis dieser Angaben entscheidet dann der Management-Server, ob der Agent einen Schlüssel erhält oder nicht. Zugang zu diesen Daten haben nur die Besitzer der Kodierungsschlüssel.
Als Grundlage für die Entscheidungen dienen Policies, die je nach Sensibilität der zu schützenden Daten lediglich globale Parameter (Rechenzentrum, Image) oder detaillierte Informationen zur Abfrage festlegen. Unternehmen, die viele Images und mehrere Cloud-Provider gleichzeitig nutzen, oder aus Sicherheitsgründen Abteilungsdaten voneinander trennen wollen, können den Key-Management-Server im eigenen Rechenzentrum betreiben. Die Schlüsselverwaltung lässt sich aber auch als Dienst beziehen.
Rundum-Schutz mit Deep Security
Die Verschlüsselung der gespeicherten Daten allein nützt jedoch nichts, wenn die virtuelle Maschine selbst ungeschützt ist und damit für Angriffe offen, die eventuell Root-Zugriff auf die Maschine erlangen - also auch Zugang zu den erforderlichen Schlüsseln für den Speicher. Für die Absicherung der zu transportierenden und in der VM zu verarbeitenden Daten bietet Trend Micro das Produkt "Deep Security" an. Die Lösung ist auf den Schutz von physischen, virtuellen oder Web-basierenden Servern ausgerichtet: Sie umfasst einen Agenten, der im lokalen Betriebssystem des Image läuft und mit Funktionen wie Deep Packet Inspection, einer Firewall oder Integrity Monitoring für die Sicherheit der Instanz sorgt. Damit können Cloud-Nutzer selbst für die Sicherheit ihrer Daten sorgen, unabhängig davon, ob sie "in motion", "in use" oder "at rest" sind. (ue)
- Cloud-Anbieter auf dem Prüfstand
Die Experton Group hat sich die relevanten und in Deutschland aktiven Anbieter genauer angesehen. Hier finden Sie die Ergebnisse im Schnelldurchlauf. <br /><br /> <a href=" http://www.experton-group.de/research/studien/cloud-vendor-benchmark-2010/ueberblick.html" target="_blank">Weitere Informationen zur Studie finden Sie auf der Web-Site der Experton Group</a> - Amazon
<b>Amazon </b>hat die Palette seiner Cloud-Dienste seit 2002 unter dem Namen Amazon Web Services (AWS) stark ausgeweitet. So kamen zum ursprünglichen Kernangebot (Vermietung von Rechenleistung "EC2", Storage "S3" und Datenbankkapazität "SimpleDB") unter anderem noch relationale Datenbanken, Content Delivery, Messaging und Monitoring, Virtual Private Clouds sowie weitere Add-ons (etwa in Zahlungen und Rechnungen) hinzu. <br/><br/>Quelle: Experton Group - Google
Die "Google Apps" von <b>Google</b> sind für Anwender vorgesehen, die einfache, standardisierte Collaboration-Lösungen (SaaS) wollen. Die Infrastructure-as-a-Service-und Platform-as-a-Service-Angebote unter dem Namen "Google AppEngine" sind auf Entwickler und Start-ups ausgerichtet. Sie stehen ohne Zugangsbeschränkung in der Public Cloud zur Verfügung, es gibt sie allerdings nicht in Deutsch. Rechenleistung lässt sich neuerdings über die so genannten "free quotas" zu festen Konditionen per Kreditkarte beziehen. <br/><br/>Quelle: Experton Group - Microsoft
<b>Microsoft</b> bietet mittlerweile nahezu alle Produkte und Technologien auch aus der Cloud an. Damit zählt der Konzern zu den wenigen Anbietern mit komplettem Cloud-Stack, der sowohl IaaS, PaaS und SaaS als auch Private-, Public- und Hybrid-Cloud-Services abdeckt. Das zentrale Element des Portfolios bildet die Plattform "Windows Azure". Auch das kommende Office-Release 2010 soll in die Wolke passen, lässt aber auch eine lokale Installation zu. <br/><br/>Quelle: Experton Group - Salesforce
<b>Salesforce</b> hat sich vom reinen Anbieter von SaaS-Lösungen für das Customer-Relationship-Management (CRM) zu einem Plattformanbieter weiterentwickelt. Neben der etablierten SaaS-Lösung für das Kunden-Managment und die Vertriebs- und Marketing-Automatisierung bietet Salesforce mit Force.com eine Betriebs- und Entwicklungsumgebung im Public-Cloud-Modus an. <br/><br/>Quelle: Experton Group - Deutsche Telekom
Die breite SaaS-Palette des <b>Geschäftskundenbereichs der Deutschen Telekom</b> umfasst unter anderem Lösungen für E-Mail, Collaboration, Conferencing, CRM und ERP. Zudem beinhaltet sie integrierte IT- und TK-Services (etwa das "Deutschland LAN"). Erwähnenswert sind die von T-Systems entwickelten "Dynamic Services", die etwa betriebswirtschaftliche Applikationen bedarfsgerecht bereitstellen und abrechnen. Hinzu kommen nun auch erste IaaS-Angebote (Infrastructure as a Service) für größere Mittelständler. Diese Offerten bieten eine flexible Buchung von Server-Instanzen, sind hinsichtlich ihrer Skalierbarkeit und nutzungsabhängigen Bezahlung aber noch ausbaufähig. <br/><br/>Quelle: Experton Group - IBM
Als technologischer Innovator verfügt <b>IBM</b> über ein breites, aber teilweise nur schwer überschaubares Angebot an Cloud- Services (IaaS, PaaS, SaaS) und Produkten. Neben den eigenen SaaS-Lösungen (zum Beispiel Lotus) stehen IBM-Kunden eine Vielzahl an Partnerlösungen auf der IBM-Plattform zur Verfügung. Für Softwaretests und -entwicklung, ein wichtiges Cloud-Anwendungsfeld, bietet IBM Unternehmen eine ausgereifte Plattform. <br/><br/>Quelle: Experton Group - HP
<b>Hewlett-Packard (HP)</b> vertreibt Hard- und Software für den Aufbau von Private-Cloud-Infrastrukturen. Zudem können Großkunden Rechenleistung und Storage-Kapazitäten in einem IaaS-Modell nutzen. Allerdings sind Zugang, Skalierbarkeit und Self-Service beschränkt. Dagegen sind die Utility-Services, die Enterprise-Applikationen etwa von SAP auf einer virtualisierten Plattform flexibel bereitstellen und abrechnen, weit entwickelt und voll ausgereift. Sie sind das Kernstück des derzeitigen Cloud-Angebots. <br/><br/>Quelle: Experton Group - Fujitsu Technology Solutions
<b>Fujitsu Technology Solutions (FTS)</b> bietet unter dem Namen "Infrastructure-as-a-Service for Servers" zurzeit lediglich flexibel buchbare Server-Kapazitäten in einem "Private-Cloud-Modell" an. Die Abrechnung mit den Kunden erfolgt allerdings nach gebuchten und nicht nach wirklich verbrauchten IT-Ressourcen. Leider hat Fujitu hier den Cloud-Ansatz noch nicht hundertprozentig umgesetzt. <br/><br/>Quelle: Experton Group - Pironet NDH
<b>Pironet NDH</b> fokussiert sich mit seinem Cloud-Angebot eindeutig auf den Mittelstand und positioniert sich dort als "Trusted Partner". Das Portfolio umfasst neben Infrastruktur-Services (etwa Storage on Demand) zahlreiche SaaS-Lösungen von Partnern. Dazu kommen verschiedene Managed-Services auf der Netzebene. <br/><br/>Quelle: Experton Group - T-Systems
Neben zahreichen, auf diese Zielgruppe zugeschnittenen Managed-Services bilden die "Dynamic Services" den Kern des Cloud-Angebots von <b>T-Systems</b>. Anwendern stellt die Telekom-Tochter Enterprise-Applikationen (etwa ERP und CRM) zur Verfügung, die auf skalierbaren und standardisierten Hardware-Infrastrukturen laufen. Die Abrechnung der genutzten SAP- oder Microsoft-Systeme erfolgt nutzungsabhängig. <br/><br/>Quelle: Experton Group - Nionex
Als einer der wenigen IT-Service-Provider in Deutschland bietet <b>Nionex</b> seit 2009 ein klar strukturiertes Public-Cloud-Angebot an. So werden mit den IaaS-Offerten mittelständische Unternehmen angesprochen, die Teile ihrer Infrastruktur flexibilisieren und erste Anwendungen in der Cloud betreiben wollen. Nionex stellt neben Rechnerleistung auch Storage und weitere Services bereit. <br/><br/>Quelle: Experton Group