Cloud Computinghat sich vom medialen Hype zum tatsächlichen Trend mit realistischen Einsatzszenarien entwickelt. Das bestätigen nicht nur immer mehr Unternehmen, die auf die Cloud setzen, sondern auch Initiativen wie das Cloud-Aktionsprogramm der Bundesregierung oder eine aktuelle Umfrage des Branchenverbandes Bitkom: Demnach gehört Cloud Computing neben mobilen Lösungen,Big Dataund IT-Sicherheit zu den vier wichtigstenBranchentrends.
Dennoch scheiden sich beim Thema Cloud im Business-Umfeld noch immer die Geister: Befürworter beschwören die Cloud als uneingeschränkten Heilsbringer für eine flexible, kostengünstige und hochgradig effiziente IT-Landschaft. Kritiker sehen darin eher die Büchse der Pandora. Sie warnen vor Sicherheitslücken, der Abhängigkeit vom Cloud-Anbieter sowie rechtlichen Fallstricken. Fakt ist: Beide Lager haben recht, wie positive sowie negative Beispiele gleichermaßen zeigen.
Die Frage "Cloud oder nicht Cloud?" muss jeweils vor dem Hintergrund eines konkreten Anwendungsfalles entschieden werden. Dazu müssen Unternehmen im Vorfeld alle Aspekte hinsichtlich ihrer Anwendungen, Kosten, Sicherheit sowie rechtlich genau untersuchen und abwägen, in welchem Verhältnis Effizienz- und Preisvorteile zu Risiken in puncto Sicherheit und Performance in der Cloud stehen. Allerdings ist Cloud bekanntlich nicht gleich Cloud. Daher sollte die Prüfung auch auf die unterschiedlichen Cloud-Modelle "öffentlich", "privat" und "hybrid" bezogen werden.
Nicht zuletzt sind auch die Cloud-Anbieter gefragt, sich den Marktanforderungen zu stellen und ihre Angebote entsprechend zu erweitern beziehungsweise zu adaptieren. In dem Beitrag beleuchtet der unabhängige IT-Full-Service-Anbieter Consol, welche Modelle sich für welche Anwendungsfälle eignen und in welche Richtung sich die Cloud entwickelt.
Cloud ist nicht gleich Cloud
Zunächst basiert die Unterscheidung in Public und Private Cloud im Wesentlichen darauf, dass man bei der Private Cloud das Konzept der Public Cloud imitiert und innerhalb des eigenen Unternehmens umsetzt. Während ein Unternehmen bei der Public Cloud nicht genau weiß, wo die Rechner stehen und wer Zugang hat, stellt bei der privaten Cloud nicht ein externer Service-Provider, sondern die IT-Abteilung selbst skalierbare Ressourcen zur Verfügung, die nach Nutzung abgerechnet und von den Fachabteilungen über Selbstbedienungsportale gebucht werden können. Unterschiedliche Fachabteilungen bedienen sich dabei der gleichen Ressourcen, um die Auslastung und damit auch die Kosten zu optimieren.
Die IT-Abteilung agiert quasi wie ein interner Dienstleister. Die Daten verbleiben also im eigenen Haus, gleichzeitig aber auch die Kosten für die IT-Infrastruktur und den Betrieb. Hybride Modelle verbinden beide Ansätze. Darüber hinaus ist nach wie vor das klassische Outsourcing zu finden, bei dem ein Unternehmen seine IT zwar einem externen Dienstleister anvertraut, aber über ein hohes Maß an Kontrolle, Individualität und Zugang verfügt. Je nach Anwendungsfall unterscheidet man darüber hinaus die Auslagerung von Infrastruktur (Infrastructure-as-a-Service), Software (Software-as-a-Service) oder Plattformen (Platform-as-a-Service).
Überschüssige Kapazitäten auslagern
Einen geeigneten Anwendungsfall für die Public Cloud sehen die Experten von Consol in der Auslagerung von Rechenkapazität. Allerdings mit einer Einschränkung: Sie ist nur sinnvoll und auch kostengünstig, wenn nur gelegentlich auftretende Überschusskapazitäten ausgelagert werden, zum Beispiel für besondere Rechnungen der Finanzmathematik bei Banken, meteorologische Berechnungen - also alles, was ad hoc und nicht regelmäßig berechnet werden muss. Hier ist es wesentlich kostengünstiger, auf die Cloud auszuweichen, als sein eigenes Rechenzentrum zu erweitern. Sinnvoll ist es auch, einzelne wiederkehrende Rechnungsroutinen auszulagern.
Bessere Cloud-Nutzung durch Vertical Scaling
In diesem Kontext nimmt auch das sogenannte Vertical Scaling für eine bessere und kostengünstige Nutzung der Cloud als Forderung an die Cloud-Anbieter eine immer wichtigere Rolle ein. Dabei geht es um die Nutzung zusätzlicher Ressourcen wie zum Beispiel Speicher- oder Prozessorleistung auf denselben Rechnerinstanzen, also eine qualitative Verbesserung der Cloud-Angebote.
Im Gegensatz zum Horizontal Scaling müssen beim Vertical Scaling bei einer höheren Lastabfrage keine zusätzlichen Instanzen zugeschaltet beziehungsweise vom Kunden gemietet und gezahlt, sondern lediglich mehr Leistung auf einer Instanz kurzfristig zur Verfügung gestellt werden. Besonders im Bereich der Datenbanken beginnt sich das Thema mit einem Angebot von Amazon zu konkretisieren. Während es 2012 nur wenige Nischenanbieter für Vertical Scaling in der Cloud gab, werden sich 2013 auch die großen Player mit dem Thema beschäftigen und ihr Angebot entsprechend erweitern.
Die Cloud als Testumgebung
Die Public Cloud als Testumgebung für Anwendungen zu nutzen ist in der Theorie eine elegante Vorstellung, bedarf aber einer gründlichen Untersuchung der Sicherheits- und Datenschutzaspekte. Dagegen spricht, dass in einem komplexen Softwareumfeld verschiedene Anwendungen miteinander kommunizieren. In der Public Cloud laufen diese Anwendungen getrennt voneinander auf unterschiedlichen Rechnern, und die Daten müssten dann über das Internet ausgetauscht werden. In der öffentlichen Cloud ist aber nicht bekannt, wo die einzelnen Rechner stehen.
Auch ist die Infrastruktur derzeit noch nicht auf diesen intensiven Datenaustausch ausgelegt. Um auf Nummer sicher zu gehen, müssten Firmen also die gesamten Anwendungen und Daten verschlüsseln - das wäre insgesamt teurer, als die vorhandene Testumgebung zu erweitern. Handelt es sich um eine "einfache" Testumgebung mit unkritischen Daten, ist die öffentliche Cloud eine gute Wahl. Ein Beispiel ist der Anbieter für Internet-basierende Hotel-Management-Software Hetras, für den Consol eine Test- und Entwicklungsumgebung in der Cloud konzipiert und umgesetzt hat.
Anwendungsbeispiel Hetras
Hetras ist die erste Internet-basierende Hotel-Management-Software für jede Art von Hotels und Hotelketten. Sie ist mit über 600 Reiseportalen verbunden und umfasst Property-Management, Verkauf, Reservierungen sowie Channel-Management. Ziel des Anbieters ist es, die Software konsequent weiter auszubauen und neue Bereiche abzudecken, um schließlich eine All-in-one-Lösung für Hotels jeder Art und alle möglichen Einsatzbereiche bieten zu können. Für die Weiterentwicklung, den Test und die Bereitstellung der Software als Service über das Internet benötigte Hetras deshalb eine passende IT-Infrastruktur. Diese sollte sowohl Sicherheit als auch Hochverfügbarkeit bieten und möglichst kostengünstig sein.
Es galt für den IT-Dienstleister also zunächst, eine passende Entwicklungs- und Testumgebung einzurichten. Hierbei entschied sich Consol für die Nutzung der Public Cloud bei einem externen Provider. Die bisherige Hardware wurde abgelöst und die auf ihr betriebenen Server und Dienste in der virtuellen Umgebung einer Cloud neu aufgesetzt. Die Cloud bot sich an, da ihre Nutzung verbrauchsabhängig abgerechnet wird, sie kurzfristig verfügbar ist sowie bedarfsgerecht Rechnerressourcen zur Verfügung stellt.
Da es sich hier um eine Entwicklungs- und Testumgebung handelt, bei der nicht mit Produktivdaten gearbeitet wird, galt es auch keine besonderen Sicherheitseinschränkungen zu beachten. Allerdings gab es einige Restriktionen durch den Cloud-Anbieter selbst, zum Beispiel in Sachen Hardware. Die Umgebung musste also möglichst abstrahiert von der physikalischen Grundlage konzipiert werden. Heute laufen Entwicklung und Testing kostengünstig in der Cloud über einen virtuellen Anschluss zum Hetras-Firmennetz. Ebenso kommt die Cloud als Staging-Umgebung für den Produktivbetrieb zum Einsatz.
Für Hetras als Anbieter von Hotel-Management-Software als Service über das Internet sind Ausfallsicherheit, Hochverfügbarkeit und Datenschutz oberste Priorität. Zudem werden im Produktivbetrieb permanent relativ gleich bleibende Rechnerressourcen benötigt. Aus diesen Gründen wurde der Produktivbetrieb nicht bei einem externen Cloud-Anbieter, sondern in einem "klassischen" Rechenzentrum konzipiert, allerdings in Gestalt einer virtuellen Umgebung innerhalb einer privaten Cloud.
Für einen unterbrechungsfreien und wartungsarmen Betrieb kommen hier zum Beispiel VMware ESXi 5, VMware HA, Shared-Storage, Load Balancer auf Linux-Basis für die Lastverteilung sowie redundante Netzkomponenten zum Einsatz, die die Wahrscheinlichkeit eines Komplettausfalls minimieren. Die Software "Backup and Replication" von Veeam beugt zudem einem möglichen Datenverlust in der Umgebung vor und erlaubt einen schnellen Wiederaufbau im Falle eines größeren Hardwareverlustes.
Das Design und die Umsetzung einer Infrastruktur sind immer eine besondere Herausforderung, weil hier viele IT-Anforderungen wie Sicherheit, Hochverfügbarkeit und Lastverteilung zusammenkommen. Es ist deshalb immer ganz genau zu prüfen, welche Bereiche sich in die Cloud auslagern lassen und welche nicht. Im geschilderten Fall von Hetras eignet sich die Public Cloud hervorragend als Testumgebung, bei der kurzfristig Rechnerressourcen benötigt werden. Für den Produktivbetrieb mit kritischen Daten eignet sich hingegen eher eine Private Cloud, bei der das Unternehmen die Kontrolle über Daten und Anwendungen in eigener Umgebung hat.
Datenklau und Haftung: Vorsicht in der Public Cloud!
Die Cloud ist bislang eine rechtliche Grauzone. Denn sie offenbart keine Transparenz darüber, wo Rechner stehen und Daten lagern. Um die Kosten niedrig zu halten, haben viele Cloud-Anbieter ihre Rechenzentren ins billigere Ausland verlagert. Dort gelten jedoch andere Gesetze als in Deutschland, die Rechtsprechung ist zum Beispiel möglicherweise weniger streng in Sachen Datenschutz.
Fakt ist, dass der Cloud-Provider grundsätzlich Zugang zu den Daten hat. Überall dort also, wo das Risiko des Datenmissbrauchs geringer ist als die finanziellen Vorteile für Mitarbeiter von Cloud-Providern durch Datenklau, ist auch die Verlockung dazu allzu groß. Ein Fall mit Gesundheitsdaten amerikanischer Mitarbeiter hat dies gezeigt. Solange es noch keine weltweiten Datenschutzstandards gibt, die rechtlich verbindlich sind, sollten Firmen sensible Daten oder Produktivdaten lieber nicht der Public Cloud anvertrauen. Denn wenn es Probleme gibt, ist die Rechtsfrage nicht geklärt, und jede beteiligte Partei weist die Schuld auf die anderen.
Auch sind Haftungsfragen bei der Einschleusung von Trojanern und Viren und deren Verbreitung über die Cloud nicht eindeutig. Haftet der Cloud Provider oder die Firma? Der Imageschaden liegt in jedem Fall bei beiden. Unternehmen, die sich dennoch für die Auslagerung in die Public Cloud entscheiden, sollten genau auf die Service-Level-Agreements ihres Anbieters achten, um im Schadensfall nicht auf den entstandenen Kosten sitzen zu bleiben, sondern eine angemessene Entschädigung zu erhalten.
Neue Service-Levels für mehr Kundenzufriedenheit
Ist beispielsweise eine Anwendung in der Cloud wie ein CRM-System oder eine Website zwar abrufbar, aber mit einer für den Nutzer zu hohen Reaktionszeit, bedeutet dies einen Mangel an Servicequalität des Cloud-Dienstes und damit auch die Unzufriedenheit des Kunden. Aus diesem Grund werden Cloud-Anbieter nicht umhinkommen, neue, qualitätsorientierte Service-Level-Agreements einzugehen. Damit nähert sich die Cloud dem klassischen Outsourcing an, zwar nicht mit dem gleichen Grad der Individualisierung, aber doch zumindest die Performance von Anwendungen betreffend.
ITIL ist bald Cloud-ready
Während sich in den letzten Jahren die Betriebs- und die Entwicklerwelt schon immer mehr angenähert haben und sich neue Modelle wie zum Beispiel die agile Entwicklung somit langsam durchsetzen konnten, hält diese Strömung nun Einzug in die Cloud. Agile Prozesse werden adaptiert und als Best Practices sowohl Standard- als auch Cloud-fähig gemacht. Die IT Infrastructure Library (ITIL) 2011 zeigt bereits Ansätze in diese Richtung. 2013 werden sie sich weiter mit dem Ziel konkretisieren, die Vorteile agiler Prozesse als Best Practices in die ITIL aufzunehmen und auch für die Cloud als Framework zur Verfügung zu stellen. Ziel dieser Entwicklung ist vor allem, für Projekte und Prozesse in den Bereichen Change-Management und Incident-Management eine Messbarkeitsgrundlage und mehr Transparenz zu schaffen. (Computerwoche)