Auswahlkriterien für Infrastructure as a Service
Die Suche nach dem heiligen IaaS-Gral
Im Jahr 2014 ist Cloud Computing endgültig auch in Deutschland angekommen. Eine aktuelle Studie von Crisp Research unter mehr als 700 deutschen IT-Entscheidern hat gezeigt, dass bei 19 Prozent der Befragten das Cloud Computing fester Bestandteil auf der IT-Agenda und im produktiven IT-Betrieb ist. 56 Prozent der deutschen Unternehmen befinden sich in der Planungs- oder Implementierungsphase und setzen die Cloud bereits im Rahmen erster Projekte und Workloads ein.Crisp Research prognostiziert, dass deutsche Unternehmen in diesem Jahr etwa 6,1 Milliarden Euro in Cloud-Technik investieren werden. Dabei evaluieren auch immer mehr Unternehmen den Einsatz von Infrastructure as a Service (IaaS), also den Bezug von Server, Speicher, Datenbank und weitere Infrastrukturkomponenten aus der Cloud. Insbesondere für deutsche IT-Entscheider stellt sich hier die Frage, auf welche Auswahlkriterien sie achten müssen. Welche Cloud Deployment-Modell kommt in Frage? Ist ein US-Anbieter per se unsicher? Muss es zwangsläufig ein deutscher Anbieter sein? Welchen Möglichkeiten bleiben nach Snowden und Co.? Vor der IaaS-Nutzung stellt sich die grundlegende Frage, wie und für welchen Zweck die Cloud-Infrastruktur zum Einsatz kommen soll. Hier spielt die Kapazitätsplanung eine entscheidende Rolle. In den meisten Fällen kennen Unternehmen ihre Applikationen und Workloads und können dadurch gut einschätzen, wie skalierbar die Infrastruktur hinsichtlich Performance und Verfügbarkeit sein muss. Konzentriert sich das Unternehmen vorwiegend auf den deutschen oder DACH-Markt, reicht ein lokaler Anbieter mit einem Rechenzentrum in Deutschland, um die Kunden zu bedienen. Will es mittelfristig in globale Märkte expandieren, sollte es auf einen Anbieter mit globalem Footprint setzen, der auch über Rechenzentren in den Zielmärkten verfügt. Es stellen sich daher die Fragen: Was ist der Einsatzzweck von IaaS? Welche Kapazitäten benötigen die Workloads? Ist eine lokale oder globale Reichweite erforderlich? In diesem Kontext fällt oft der Begriff "Hyperscaler". Das sind die Anbieter, deren Cloud-Infrastrukturen theoretisch unendlich skalieren, darunter Amazon Web Services (AWS), Microsoft und Google. Das Wort "unendlich" ist allerdings mit Vorsicht zu genießen: Auch die Big Player stoßen an ihre Grenzen. Schließlich sind für die virtualisierte Infrastruktur weiterhin physische Systeme erforderlich - und Hardware skaliert nicht unendlich. Den Unternehmen, die mit einer globalen Strategie ihre Zielmärkte mittelfristig vergrößern wollen, ist zu empfehlen, auf einen international agierenden Anbieter zu setzen. Zu den oben genannten Amazon, Google und Microsoft gesellen sich hier noch Namen wie HP, IBM (Softlayer) oder Rackspace, die über Public- wie auch Managed-Cloud-Angebote verfügen. Wer von Beginn an auf einen "Global Scaler" setzt, für den besteht später der Vorteil insbesondere darin, dass sich das Deployment der virtuellen Infrastruktur und der darauf betriebenen Applikationen und Workloads einfacher bewerkstelligen lässt. Auch das Thema Cloud-Connectivity (geringe Latenz, hoher Durchsatz und Verfügbarkeit) sollte man nicht unterschätzen. Reicht es also aus, dass der Anbieter mit seinen Rechenzentren ausschließlich den deutschen Markt bedienen kann oder ist eine weltweit verteilte Infrastruktur von Rechenzentren vorhanden, die miteinander verbunden sind? Zwei weitere Parameter in der Gleichung sind das Cloud-Modell und die damit verbundene Art der Services. Weiterhin sollte man Überlegungen hinsichtlich Hybrid- und Multi-Cloud-Szenarien anstellen: Welches Cloud-Modell kommt in Frage? Self-Service oder Managed Service? Hybrid- und Multi-Cloud? Aktuelle Angebote im Markt unterscheiden Public, Hosted und Managed Private Clouds. Public Clouds bestehen aus einer Shared Infrastructure und werden vorwiegend von Service-Providern genutzt. Kunden teilen sich hier dieselbe physische Infrastruktur und werden mittels virtualisierter Sicherheitsinfrastruktur logisch voneinander getrennt. Eine Public Cloud bietet sich insbesondere für Web-Applikationen an, für die die Nutzung einer standardisierten Infrastruktur ausreicht. Das Hosted-Cloud-Modell überführt die Idee der Public Cloud in eine gehostete und von einem lokalen Anbieter verwaltete Variante. Hier befinden sich alle Kunden auf derselben physischen Infrastruktur und sind virtuell sicher voneinander getrennt. Der Cloud-Anbieter verfügt in diesem Fall über ein lokales RZ, zum Beispiel in Deutschland. Eine Managed Private Cloud ist eine erweiterte Variante der Hosted Cloud. Diese ist insbesondere für Unternehmen attraktiv, die das Public-Cloud-Modell meiden wollen, aber nicht die finanziellen Ressourcen und das Wissen besitzen, um eine Cloud in der eigenen IT-Infrastruktur bereitzustellen. In diesem Fall stellt der Anbieter einem Kunden einen exklusiven und reservierten physischen Bereich auf seiner Infrastruktur bereit. Der Kunde kann die Managed Private Cloud exakt so nutzen wie eine Public Cloud, aber das auf einer nicht geteilten Infrastruktur, die sich beim Anbieter im RZ befindet. Zudem steht der Anbieter mit Beratungsleistungen zur Seite, die dem Kunden dabei helfen, seine Applikationen und Systeme entweder in die Cloud zu überführen oder dort neu zu entwickeln. Vorwiegend handelt es sich bei den oben genannten "Hyper"- oder "Global Scalers" um Public-Cloud-Anbieter. Mit einem Self-Service-Modell sind die Kunden selbst für den Aufbau und Betrieb der virtuellen Infrastruktur und Applikationen verantwortlich. Allen voran Cloud-Größen wie Amazon, Microsoft und Google bieten ihre Infrastruktur-Services auf Basis des Public-Cloud-Modells und per Self-Service an. Partnernetzwerke unterstützen Kunden dabei, ihre virtuellen Infrastrukturen, Applikationen und Workloads auf den Clouds zu transformieren. Hinsichtlich Public-Cloud-IaaS-Angeboten mit Self-Service ist es in Deutschland eher schlecht bestellt. Hier lassen sich nur Profitbricks und Jiffybox von Domainfactory nennen, wobei sich Jiffybox auf Web-Hosting und nicht Unternehmenslösungen konzentriert. Cloudsigma aus der Schweiz sei noch als Anbieter aus dem DACH-Markt genannt. Diese deutsche Realität spiegelt sich auch in der Strategie der Anbieter wider. So hat der erste deutsche Public-IaaS-Anbieter Scaleup Technologies (2009) sein Geschäftsmodell erneuert und sich auf Managed Hosting und Beratungsleistungen verlegt. Beratungsleistung ist das Stichwort in Deutschland. Hier unterscheidet sich der deutsche Cloud-Markt entscheidend vom internationalen Parkett. Deutsche Unternehmen bevorzugen Hosted- und Managed-Cloud-Umgebungen inklusive umfangreicher Dienstleistungen und Mehrwertdienste. Hier finden sich Anbieter wie T-Systems, Dimension Data, Cancom, Pironet NDH oder Claranet wieder. Mittelständische Unternehmen erhalten bei DTS-Systeme passende Lösungen, die in Sachen Compliance und Individualisierung auf die Klientel zugeschnitten sind. Auch HP hat den Trend erkannt und zusätzlich zu seinem auf Openstack basierten Helion-Angebot Beratungsleistungen angekündigt. In Zukunft sollte man Hybrid- und Multi-Cloud-Umgebungen keinesfalls vernachlässigen. Eine Hybrid Cloud verbindet eine Private Cloud mit den Ressourcen einer Public Cloud. In diesem Fall betreibt ein Unternehmen seine eigene Cloud und nutzt die Skaleneffekte eines Public-Cloud-Anbieters, um sich bei Bedarf oder auch ständig an weitere Ressourcen in Form von Rechenleistung oder anderen Services zu bedienen. Das Multi-Cloud-Konzept erweitert den Hybrid-Cloud-Gedanken um die Anzahl der zu verbindenden Clouds: Es kann sich um beliebig viele Clouds handeln, die in irgendeiner Form integriert sind. Dabei werden beispielsweise Cloud-Infrastrukturen so miteinander verbunden, dass die Applikationen verschiedene Infrastrukturen oder Services parallel oder je nach Auslastung oder aktuellen Preisen nutzen. Auch das parallele oder verteilte Speichern von Daten über mehrere Clouds ist vorstellbar, um die Verfügbarkeit und Redundanz der Daten sicherzustellen. Hinsichtlich der Hybrid-Cloud-Funktionalität bietet Amazon auf Applikationsebene derzeit noch keine umfangreichen Services, erweitert das Angebot aber stetig. Google bietet keine Hybrid-Cloud-Möglichkeiten. Hingegen sind Microsoft und HP in der Lage, auf globaler Ebene Hybrid-Cloud-Szenarien zu ermöglichen. Microsoft bietet zudem das Cloud OS Partner Network und ermöglicht es Unternehmen damit, Microsoft-basierte Hybrid Clouds mit Hosting-Partnern zu realisieren. Als deutscher Anbieter kann T-Systems auf globaler wie auch lokaler Ebene Hybrid Clouds aufbauen. Lokale Anbieter wie Pironet NDH bieten Möglichkeiten auf deutschem Boden. Mythos Datenschutz und Datensicherheit Seit Edward Snowdens Enthüllungen und dem NSA-Skandal haben sich zahlreiche Mythen um die Themen Datenschutz und Datensicherheit gebildet. Anbieter, insbesondere deutsche, werben seitdem mit einer höheren Sicherheit und mehr Schutz vor Spionage und anderen Angriffen, wenn die Daten in einem deutschen RZ gespeichert sind. Die Krux: Hier werden immer wieder zwei Begriffe vermischt, die grundsätzlich zu unterscheiden sind: Datensicherheit und Datenschutz. Datensicherheit bedeutet, die technischen und organisatorischen Maßnahmen umzusetzen, um Vertraulichkeit, Verfügbarkeit und Integrität der IT-Systeme sicherzustellen. Public-Cloud-Anbieter bieten weit mehr Sicherheit, als es sich ein deutsches mittelständisches Unternehmen leisten kann. Das hängt damit zusammen, dass Cloud-Anbieter gezielt in den Aufbau und die Wartung ihrer Cloud-Infrastrukturen investieren, das notwendige Personal beschäftigen und die entsprechenden organisatorischen Strukturen geschaffen haben. Dafür nehmen sie jährlich Milliarden Dollar in die Hand. Es gibt nur wenige Unternehmen außerhalb der IT-Branche, die in ähnlicher Weise in IT-Sicherheit investieren können und wollen. Beim Datenschutz geht es um den Schutz der Persönlichkeitsrechte während der Datenverarbeitung und den Schutz der Privatsphäre. Dieses Thema sorgt bei den meisten Unternehmen für die echten Kopfschmerzen. Denn beim Verstoß gegen das Bundesdatenschutzgesetz (BDSG) macht der Gesetzgeber kurzen Prozess. Es geht zunächst also darum, den Cloud-Anbieter für die Einhaltung der im §9 festgehaltenen Regeln im BDSG in die Verantwortung zu nehmen und dies selbst auf Basis von §11 zu überprüfen. Für die Erfüllung von §11 empfiehlt es sich, auf Gutachten von Wirtschaftsprüfern zurückzugreifen, da kein Anbieter jeden Kunden einzeln ein Audit durchführen lassen kann. Der Datenschutz ist ein absolut wichtiges Thema, schließlich handelt es sich dabei um sensibles Datenmaterial. Es ist aber in erster Linie eine rechtliche Aufgabe, die durch Maßnahmen der Datensicherheit erfüllt sein muss. Dass ein RZ in Deutschland vor der Spionage befreundeter Staaten oder Angriffen durch Hacker einen besseren Schutz bietet, ist und bleibt ein Märchen. Denn wo ein Wille ist, da ist auch ein Weg: Will ein Angreifer an Daten gelangen, ist dies einzig und allein mit der kriminellen Energie verbunden, die er aufzuwenden bereit ist, sowie mit den finanziellen Mitteln, die ihm zur Verfügung stehen. Sind die technischen Herausforderungen zu hoch, dann bleibt immer noch der Faktor Mensch als Angriffsoption. Dennoch haben US-amerikanischen Cloud-Größen die Bedenken deutscher Unternehmen erkannt und angekündigt, ihre Services aus deutschen Rechenzentren anzubieten, darunter Salesforce (Partnerschaft mit T-Systems), VMware und Oracle. Jüngst hat auch Amazon ein RZ in Deutschland eröffnet. Allerdings ist zu beachten, dass ein deutsches RZ allein nichts mit einer höheren Datensicherheit zu tun hat. Es erfüllt lediglich die technischen Herausforderungen der Cloud-Connectivity (geringe Latenz, hoher Durchsatz und Verfügbarkeit) sowie die rechtlichen Rahmenbedingungen des deutschen Datenschutzes. Bei dem technischen Assessment eines IaaS-Anbieters sollte ein Unternehmen grundsätzlich auf folgende Eigenschaften achten: Scale-up- oder Scale-out-Infrastruktur, Container-Unterstützung für eine bessere Portabilität und Openstack-Kompatibilität für Hybrid- und Multi-Cloud-Szenarien. Skalierbarkeit bedeutet, dass die Leistung eines Systems durch das Hinzufügen weiterer Ressourcen wie ganzer Rechnersysteme oder granularer Einheiten wie CPU und Arbeitsspeicher erhöht wird, sodass das System mit zunehmender beanspruchter Leistung linear mitwachsen kann. So lassen sich plötzliche Lastspitzen abfangen, das System bricht unter ihnen nicht zusammen. Zu unterscheiden sind Scale-up und Scale-out. Scale-out (horizontale Skalierung) steigert die Leistung eines Systems, indem man weitere vollständige Rechner (virtuelle Systeme) zum Gesamtsystem hinzufügt, so wie ein Cluster skaliert, indem es immer um die benötigte Anzahl an Rechnern erweitert wird. Scale-up (vertikale Skalierung) hingegen steigert die Leistung des Systems durch das Hinzufügen weiterer granularer Ressourcen zum Rechnersystem. Anwendungen in der Cloud Betrachtet man die Top-Cloud-Anwendungen, handelt es sich derzeit überwiegend um Startup-Applikationen, unkritische Workloads oder komplett neue Entwicklungen, die in der Cloud verarbeitet werden. Zu beachten ist, dass es das Cloud-typische Scale-out-Prinzip für Unternehmen beliebig kompliziert macht, ihre Anwendungen und Systeme in die Cloud zu migrieren. Oftmals werden sie von vorn beginnen müssen, da ein nicht verteilt entwickeltes System nicht so funktioniert, wie es auf einer verteilten Scale-out-Infrastruktur laufen sollte. IT-Entscheider sollten im Hinterkopf behalten, dass sich ihre IT-Architekten in Zukunft von der Infrastruktur vollständig lösen werden, um Applikationen und Workloads bei Bedarf bequem über Anbietergrenzen hinweg zu verschieben. Container-Technik wie Docker ermöglicht dies. Die Auswahl eines Anbieters, der Docker unterstützt, ist aus dem Blickwinkel eines IT-Entscheiders somit ein strategisches Werkzeug für die Optimierung moderner Applikations-Deployments. Docker hilft dabei, die Portabilität einer Anwendung sicherzustellen, die Verfügbarkeit zu erhöhen und das Gesamtrisiko zu minimieren. Hybrid- und Multi-Cloud-Szenarien sind nicht nur ein Trend, sondern spiegeln die Realität wider. Anbieter sollten im Sinne ihrer Kunden handeln und statt auf proprietäre Technik auf Open-Source-Lösungen und einen potentiellen künftigen De-facto-Standard wie Openstack setzen. Damit ermöglichen sie Interoperabilität zwischen Cloud-Service-Providern und schaffen die Voraussetzungen für ein übergreifendes Ökosystem, bei dem die Anwender eine bessere Vergleichbarkeit sowie echte Multi-Cloud-Umgebungen realisieren können. Denn nur so können Anwender von den Stärken einzelner Provider und den besten Angeboten am Markt profitieren. Offene Ansätze, wie sie Openstack verfolgt, fördern die zukünftige Handlungsfähigkeit von IT-Einkäufern über Anbieter- und RZ-Grenzen hinweg. Das macht Openstack zu einem wichtigen Einflussfaktor bei der Anbieterauswahl. Der Weg zum heiligen IaaS-Gral kann je nach Anforderung steinig sein. Insbesondere Enterprise-Workloads sind in der Cloud schwieriger zu handhaben als neuartige Web-Applikationen. Unabhängig davon sollte man immer in Betracht ziehen, dass Anwendungen, die auf IaaS betrieben werden, je nach Anbieterinfrastruktur auf der grünen Wiese neu entwickelt werden müssen, um die spezifischen Begebenheiten des Anbieters optimal zu nutzen. Deshalb sollte ein Unternehmen: die eigenen Applikationen und Workloads kennen und verstehen, Datenklassifizierung durchführen, Datenschutz nicht mit Datensicherheit verwechseln, Cloud-Modell evaluieren: Self-Service oder Managed Service, Hybrid- und Multi-Cloud-Szenarien prüfen, lokale und globale Reichweite einschätzen, Cloud Connectivity nicht unterschätzen, Container-Technologie für die technische Freiheit der Applikationen evaluieren und Openstack-Kompatibilität berücksichtigen.
Lesen Sie mehr zum Thema
