Seit Jahren schon gelten Compliance und Datenschutz als Hindernisse und Bremsklötze, wenn es um Cloud Computing geht. Auch der Cloud Monitor 2018 von Bitkom und KPMG kommt wieder zu diesem Ergebnis. Die Sorge um die Datensicherheit ist demnach ein Hauptgrund, weshalb ein Teil der Wirtschaft noch nicht auf die Public Cloud setzt.
Foto: Gorodenkoff - shutterstock.com
Cloud-Compliance ist Voraussetzung, nicht das Ziel
Für die Mehrheit der Unternehmen in Deutschland gibt es jedoch gute Gründe, warum sie Cloud-Dienste nutzen: Drei von vier Public-Cloud-Nutzern (75 Prozent) bestätigen eine Verbesserung beim ortsunabhängigen Zugriff auf ihre IT. Zwei Drittel sehen eine schnellere Skalierbarkeit der eigenen Ressourcen.
Die meisten Projekte zur Optimierung des Cloud Computing drehen sich aber nicht um den besseren Zugriff auf die IT oder um Skalierbarkeit, sondern um die Cloud-Compliance und den Cloud-Datenschutz. Dies hat sich durch die Datenschutz-Grundverordnung (DSGVO / GDPR) noch verstärkt.
So wichtig Cloud-Compliance auch ist, das eigentliche Ziel der Cloud-Nutzung ist sie nicht. Wer sich das nicht klar macht, droht mit seinem Cloud-Einsatz zu scheitern. Cloud-Compliance ist die Voraussetzung, damit Cloud-Dienste rechtskonform und vertragsgerecht genutzt werden können.
Das alleine reicht aber nicht: So muss man sich fragen, warum ein Viertel der Cloud-Nutzer in der Bitkom-Umfrage nicht von einem verbesserten, ortsunabhängigen Zugriff auf die IT berichtet haben. Haben diese Unternehmen andere Ziele, die im Vordergrund stehen?
Wohl kaum: Die Cloud-Umfrage von forcont und der Hochschule für Wirtschaft und Recht Berlin hat ergeben, dass 90 Prozent der befragten Mittelständler die mobile Nutzung von Applikationen für einen ganz wesentlichen Vorteil von Cloud-Lösungen halten.
Offensichtlich können nicht alle Unternehmen diese Vorteile der Cloud für sich nutzen, sie erreichen ihre Cloud-Ziele nicht. Hier muss die Kontrolle und Optimierung der Cloud-Nutzung ansetzen.
Die Cloud-Strategie setzt die Ziele
Cloud-Kontrolle sollte nicht nur als Datenschutzkontrolle, sondern als Cloud-Controlling gesehen werden. Es geht um Wirtschaftlichkeit, Rentabilität, Nutzung von Potenzialen und die Erreichung der gesteckten Unternehmensziele, in der Cloud und durch die Cloud.
Jedes Unternehmen muss sich klarmachen, was durch die Cloud erreicht werden soll. Soll die Cloud zum Beispiel den ortsunabhängigen Zugriff auf Daten und Anwendungen ermöglichen, dann folgen daraus konkrete Anforderungen an den Cloud-Dienst.
Unter anderem muss der Cloud-Service mit jedem vorgesehenen Endgerät genutzt werden können, ebenso muss die Internetbandbreite an jedem geplanten Zugriffsort ausreichend für die Cloud-Nutzung sein, um nur zwei Forderungen zu nennen.
Zur Cloud-Kontrolle sollte somit eine regelmäßige, am besten automatisierte Prüfung gehören, ob der jeweilige Cloud-Dienst erreichbar ist. Vor der Entscheidung für einen bestimmten Cloud-Dienst gilt es, die Verfügbarkeit der Cloud-App für die notwendigen Endgeräte und Betriebssysteme zu hinterfragen und eben nicht nur das Datenschutzniveau des Cloud-Anbieters.
Controlling-Werkzeuge der Cloud-Provider
In der Regel bieten die Cloud-Provider selbst ihren Kunden Monitoring-Funktionen innerhalb des Cloud-Management-Portals oder als zusätzliche Module an. Ob diese Werkzeuge für das Cloud-Controlling des Unternehmens ausreichen, kommt darauf an, welche Cloud-Ziele überwacht werden sollen.
Wer einer Multi-Cloud-Strategie folgt, also mehrere Cloud-Dienste unterschiedlicher Provider parallel nutzt, wird eine übergreifende, einheitliche Controlling-Lösung bevorzugen.
In jedem Fall lohnt es sich, die Funktionen der Cloud-Provider zu testen, da diese auf den jeweiligen Cloud-Dienst hin zugeschnitten sind.
Will man jedoch die vereinbarten Service Level (SLAs) vertraglich überwachen und damit die Leistung des Anbieters unabhängig kontrollieren, macht ein providerunabhängiges Controlling-Werkzeug mehr Sinn. Für den meist im Fokus stehenden Datenschutz ist ein unabhängiges Werkzeug sogar zwingend erforderlich, denn Compliance-Nachweise ohne unabhängige Prüfung sind nicht ausreichend.
Beispiele für Controlling- und Monitoring-Funktionen der Provider sind:
AWS Service Health: Verfügbarkeit der AWS Services und Regionen
Google Cloud Status Dashboard: Verfügbarkeit der Google Cloud Services
Azure Status: Verfügbarkeit der Funktionen / Services nach Regionen
Neben den allgemeinen Dashboards können Anwender ihr individuelles Dashboard einsehen sowie Nachrichtenfeeds abonnieren, die sich auch automatisiert verarbeiten lassen.
Mehr Funktionen bieten diese Werkzeuge der Provider:
AWS CloudWatch: Anwender können Metriken erfassen und nachverfolgen, Protokolldateien sammeln und überwachen, Alarme festlegen und automatisch auf Änderungen reagieren.
Stackdriver Monitoring von Google: Stackdriver sammelt Messwerte, Ereignisse und Metadaten von der Google Cloud Platform und je nach Version auch von Amazon Web Services. Das Tool bietet Anomalieberichte, Mustererkennung und Auslastungsprognosen. Stackdriver-Benachrichtigungen bieten Integration in Slack, PagerDuty, HipChat, Campfire und andere Dienste.
Azure Service Health: Lässt sich in Azure Monitor integrieren und warnt per E-Mail, SMS und Webhook-Benachrichtigungen, wenn unternehmenskritische Ressourcen beeinträchtigt sind. Azure Monitor stellt grundlegende Metriken und Protokolle für die meisten Dienste in Microsoft Azure bereit. Azure Advisor analysiert die Konfiguration der Ressourcen und Messdaten zur Nutzung und macht Vorschläge, wie die Wirtschaftlichkeit, Leistung, Hochverfügbarkeit und Sicherheit der Azure-Ressourcen gesteigert werden können.
Zusätzliche Werkzeuge für das Cloud-Controlling
Fehlende Funktionen für das eigene Cloud-Controlling sowie übergreifende, providerunabhängige Kontrollen machen Dritanbieter-Tools möglich. Sie sind bereits reichlich auf dem Markt verfügbar. Einige Beispiele zeigen die Möglichkeiten:
Da auch Kosteneinsparungen häufig zu den Cloud-Zielen von Unternehmen gehören, können Tools wie HealthCheck for Azure von BitTitan helfen, um unter anderem die Cloud-Kosten zu überwachen.
CloudHealth Technologies erlaubt die Überwachung und Steuerung von Cloud-Ressourcen auf Azure, Google Cloud und AWS. Dabei lassen sich jeweils für einzelne Dienste Vorgaben zum Beispiel zum Budget hinterlegen, bei Abweichungen können individuelle Alarme generiert werden.
Die Cloud-Kosten im Blick behält man auch mit Azure Cost Management von Cloudyn, entsprechende Funktionen bietet die Lösung auch für Google Cloud und für AWS.
Mit Snow for Cloud lassen sich mehr als 1.000 Cloud (SaaS)-Anwendungen inventarisieren und deren Verbrauch nachverfolgen. So erkennen IT-Führungskräfte Mehrkosten aus doppelten, ungenutzten oder nicht ausgeschöpften Cloud-Verträgen.
Ein Tool wie Nutanix Beam bietet Unternehmen Analysefunktionen, die das Cloud-Nutzungsverhalten zeigen und eine Kostenoptimierung in Cloud-Umgebungen erleichtern. Dies hilft beim Cloud-Controlling.
Foto: NutanixNutanix Beam hilft unter anderem bei der Kostenoptimierung in der Cloud: IT-Abteilungen erhalten Transparenz über ihre Cloud-Kosten. Sie können Ausgaben optimieren, indem sie ungenutzte und nicht ausgelastete Ressourcen identifizieren und für jede Anwendung die im Hinblick auf Größe und Kosten passendere Cloud-Ressource auswählen. IT-Abteilungen können den Verbrauch von Cloud-Ressourcen nach Abteilung und Gruppe ordnen und Richtlinien basierend auf zugewiesenen Budgets durchsetzen.
Hawkeye Express von Keysight Technologies ermöglicht es Benutzern, sich einen Überblick über die Infrastruktur zwischen Standorten zu verschaffen, sie können die Netzwerkleistung zwischen den Standorten kontinuierlich überwachen und erhalten regelmäßige Berichte sowie im Falle einer Verschlechterung der Dienstgüte auch Alarme. Die Lösung bietet eine kontinuierliche Überwachung der Cloud-Zugangsinfrastruktur. Damit hat man das Ziel der Cloud-Erreichbarkeit und der Cloud-Zugriffe an den verschiedenen Standorten im Blick.
Künstliche Intelligenz hilft beim Cloud-Controlling
Der starke Fokus auf den Cloud-Datenschutz ist aber nicht der einzige Grund, warum Cloud-Kontrolle zu eng gesehen oder zumindest nicht umfassend genug ausgeübt wird.
Vielen Cloud-Anwendern fehlen die notwendigen Cloud-Experten im Unternehmen. Die Berichte der Controlling-Werkzeuge lassen sich zwar in aller Regel auch in den Fachbereichen jenseits der IT lesen und verstehen. Zuerst aber müssen die Berichte erzeugt, die Überwachungsaufgaben also wahrgenommen werden, und zwar dauerhaft und regelmäßig.
Laut einer Studie von PAC (CXP Group) planen 71 Prozent der europäischen Unternehmen eine Integration von KI-Technologie (künstliche Intelligenz) in ihre bestehenden Anwendungen oder haben dies bereits getan. Ziel ist es, den Automatisierungsgrad zu steigern.
Einige Beispiele für den praktischen Einsatz sind:
BMC TrueSight 11 ist eine Plattform, die Muster in Datenquellen erkennt und einordnet. TrueSight lernt die Verhaltensmuster der Infrastruktur auf dynamische Weise und verwaltet Kapazitäten, zu denen auch die Multi-Cloud-Auslastung gehört. Dies ermöglicht es IT-Teams unter anderem, die Ausgaben für Cloud-Ressourcen besser mit dem Budget in Einklang zu bringen.
Mit der Monitoring- und Analyse-Lösung Splunk ITSI können Kunden KI nutzen, um drohende Ausfälle zu prognostizieren und noch vor dem Auftreten dieser Ausfälle vorherzusagen, wie sie sich auf den Servicestatus auswirken könnten. Dies hilft, die Cloud-Verfügbarkeit zu steigern.
Splunk Cloud und Splunk Enterprise 7.1 bieten KI auf der Basis von Machine Learning, um Kunden bei Monitoring, Suche und Benachrichtigungen zu kritischen Informationen zu unterstützen.
Foto: Splunk
Generell sollte Cloud Controlling so weit wie nur möglich automatisiert werden. Damit die Berichte intelligent ausgewählt und interpretiert werden können, ohne große Aufwände im Unternehmen zu erzeugen, sollten Unternehmen auch künstliche Intelligenz nutzen. Entsprechende Controlling-Lösungen helfen meistens auch dabei, sicherheitsrelevante Funktionen zu überwachen die Cloud-Compliance zu gewährleisten. Der Cloud-Datenschutz wird dabei also nicht vergessen, sondern Teil der gesamten Cloud-Kontrolle.