Expert Views

Published on Dec 01, 2014

Die Suche nach dem heiligen IaaS-Gral

Im Jahr 2014 ist Cloud Computing endgültig auch in Deutschland angekommen. Eine aktuelle Studie der Crisp Research AG unter über 700 deutschen IT-Entscheidern hat gezeigt, dass bei 19 Prozent der Befragten das Cloud Computing fester Bestandteil auf der IT-Agenda und im produktiven IT-Betrieb ist. 56 Prozent der deutschen Unternehmen befinden sich in der Planungs- oder Implementierungsphase und setzen Cloud bereits im Rahmen erster Projekte und Workloads ein. Crisp Research prognostiziert, dass deutsche Unternehmen in diesem Jahr etwa 6,1 Milliarden EUR in Cloud-Technologien investieren werden. Dabei evaluieren auch immer mehr Unternehmen den Einsatz von Infrastructure-as-a-Services (IaaS), also Server, Speicher, Datenbanken und weitere Infrastrukturkomponenten aus der Cloud. Insbesondere für deutsche IT-Entscheider stellt sich hierbei die Frage, auf welche Auswahlkriterien sie achten müssen. Welches Cloud Deployment-Modell kommt in Frage? Ist ein US-Anbieter per se unsicher? Muss es zwangsläufig ein deutscher Anbieter sein? Welchen Möglichkeiten bleiben nach Snowden und Co.?

Kapazitätsplanung, lokal oder global, Service?

Vor der Nutzung eines IaaS stellt sich die grundlegende Frage, wie und für welchen Zweck die Cloud-Infrastruktur eingesetzt werden soll. In diesem Zusammenhang spielt die Kapazitätsplanung eine entscheidende Rolle. In den meisten Fällen kennen Unternehmen ihre Applikationen und Workloads und können dadurch gut einschätzen, wie skalierbar die Infrastruktur, hinsichtlich Performance und Verfügbarkeit, sein muss. Skalierbarkeit muss jedoch auch aus einem globalen Blickwinkel betrachtet werden. Konzentriert sich das Unternehmen vorwiegend auf den deutschen bzw. DACH Markt, reicht ein lokaler Anbieter mit einem Rechenzentrum in Deutschland, um die Kunden zu bedienen. Soll mittelfristig in globale Märkte expandiert werden, sollte auf einen Anbieter mit einem globalen Footprint gesetzt werden, der auch über Rechenzentren in den Zielmärkten verfügt. Es stellen sich daher die Fragen:

  • Was ist der Nutzungszweck von IaaS?
  • Welche Kapazitäten benötigen die Workloads?
  • Ist eine lokale oder globale Reichweite erforderlich?

Insbesondere beim Thema Skalierbarkeit fällt oft der Begriff der „Hyper-Scaler“. Das sind die Anbieter, deren Cloud-Infrastrukturen theoretisch in der Lage sind unendlich zu skalieren. Hierzu gehören u.a. Amazon Web Services, Microsoft und Google. Das Wort unendlich ist hierbei allerdings mit Vorsicht zu genießen. Auch die Großen stoßen an ihre Grenzen. Schließlich sind für die virtualisierte Infrastruktur weiterhin physikalische Systeme erforderlich. Und Hardware skaliert nicht.

Unternehmen, die mit einer globalen Strategie ihre Zielmärkte mittelfristig vergrößern wollen ist zu empfehlen, auf einen international agierenden Anbieter zu setzen. Neben den oben genannten Amazon, Google, Microsoft, gesellen sich hier noch Namen wie HP, IBM (Softlayer) oder Rackspace hinzu, die über ein Public als auch Managed Cloud Angebot verfügen. Wer von Beginn an auf einen „Global-Scaler“ setzt, für den besteht später der Vorteil insbesondere darin, dass sich das Deployment der virtuellen Infrastruktur und den darauf betriebenen Applikationen und Workloads einfacher bewerkstelligen lässt. Das Thema Cloud-Connectivity (geringe Latenz, hoher Durchsatz und Verfügbarkeit) sollte nicht unterschätzt werden. Reicht es also aus, dass der Anbieter mit seinen Rechenzentren ausschließlich den deutschen Markt bedienen kann oder ist eine weltweit verteilte Infrastruktur von Rechenzentren vorhanden, die miteinander verbunden sind?

Zwei weitere Parameter in der Gleichung stellen das Cloud-Modell und die damit verbundene Art der Serviceleistungen dar. Weiterhin sollten Überlegungen hinsichtlich Hybrid- und Multi-Cloud-Szenarien angestellt werden. Es stellen sich somit die Fragen:

  • Welches Cloud-Modell kommt in Frage?
  • Self-Service oder Managed Service?
  • Hybrid- und Multi-Cloud?

Aktuelle Angebote im Markt unterscheiden Public, Hosted und Managed Private Clouds. Public Clouds bestehen aus einer sogenannten Shared Infrastructure und werden vorwiegend von Service Providern genutzt. Kunden teilen sich hierbei dieselbe physikalische Infrastruktur und werden anhand einer virtualisierten Sicherheitsinfrastruktur logisch voneinander getrennt. Eine Public Cloud bietet sich insbesondere für webbasierte Applikationen an, für welche die Nutzung einer standardisierten Infrastruktur und Services ausreichend ist. Das Hosted Cloud-Modell überführt die Idee der Public Cloud in eine gehostete und von einem lokalen Anbieter verwaltete Variante. Hierbei befinden sich alle Kunden auf derselben physikalischen Infrastruktur und sind virtuell sicher von einander getrennt. Der Cloud-Anbieter verfügt in diesem Fall über ein lokales Rechenzentrum, zum Beispiel in Deutschland. Eine Managed Private Cloud ist eine erweiterte Variante 
der Hosted Cloud. Diese ist insbesondere für Unternehmen attraktiv, die das Public Cloud-Modell (Shared Infrastructure, Multi-Tenancy) meiden wollen, aber nicht die finanziellen Ressourcen und das Wissen besitzen, um eine Cloud in der eigenen IT-Infrastruktur bereitzustellen. In diesem Fall stellt der Anbieter einem Kunden einen exklusiven und reservierten physikalischen Bereich auf seiner Infrastruktur bereit. Der Kunde kann die Managed Private Cloud exakt so nutzen wie eine Public Cloud, aber das auf einer nicht geteilten Infrastruktur, die sich bei einem Anbieter im Rechenzentrum befindet. Zudem steht der Anbieter mit Beratungsleistungen zur Seite, die dem Kunden dabei helfen, seine Applikationen und Systeme entweder in die Cloud zu überführen oder dort neu zu entwickeln.

Cloud-Deployments

Vorwiegend handelt es sich bei den oben genannten „Hyper- bzw. Global-Scaler“ um Public Cloud Anbieter. Mit einem Self-Service-Modell sind die Kunden selbst für den Aufbau und Betrieb der virtuellen Infrastruktur bzw. der Applikationen verantwortlich. Allen voran Cloud-Größen wie Amazon, Microsoft und Google bieten ihre Infrastruktur-Services auf Basis des Public-Cloud Modells und eines Self-Service an. Partnernetzwerke unterstützen Kunden dabei, ihre virtuellen Infrastrukturen, Applikationen und Workloads auf den Clouds zu transformieren. Hinsichtlich Public Cloud IaaS Angeboten mit einem Self-Service ist es in Deutschland eher schlecht bestellt. Hier lassen sich nur ProfitBricks und die JiffyBox von domainfactory nennen. Wobei sich die JiffyBox auf das Webhosting und nicht Unternehmenslösungen konzentriert. CloudSigma aus der Schweiz sei noch als nativer Anbieter aus dem DACH-Markt genannt. Diese deutsche Realität spiegelt sich ebenfalls in der Strategie der Anbieter wider. So hat der erste deutsche Public IaaS Anbieter ScaleUp Technologies (2009) sein Geschäftsmodell erneuert und auf das Managed Hosting inkl. Beratungsleistungen verändert.

Beratungsleistungen ist das Stichwort in Deutschland. Hier unterscheidet sich der deutsche Cloud-Markt entscheidend vom internationalen Parkett. Deutsche Unternehmen bevorzugen Hosted und Managed Cloud-Umgebungen inkl. umfangreicher Dienstleistungen und Mehrwertservices. Hier finden sich Anbieter wie T-Systems, Dimension Data, Cancom, Pironet NDH oder Claranet wieder. Mittelständische Unternehmen finden bei der DTS-Systeme GmbH passende Lösungen, diese sind in Sachen Compliance und Individualisierung auf das Klientel zugeschnitten. Auch HP hat den Trend erkannt und zusätzlich zu seinem auf OpenStack basierten HP Helion Angebot Beratungsleistungen angekündigt.

In Zukunft sollten Hybrid- und Multi-Cloud-Umgebungen keinesfalls vernachlässigt werden. Eine Hybrid Cloud verbindet eine Private Cloud mit den Ressourcen einer Public Cloud. In diesem Fall betreibt ein Unternehmen seine eigene Cloud und nutzt die Skalierbarkeit und Skaleneffekte eines Public Cloud Anbieters, um sich bei Bedarf oder auch ständig an weiteren Ressourcen in Form von Rechenleistung oder anderen Services zu bedienen. Das Multi-Cloud Konzept erweitert den Hybrid Cloud Gedanken um die Anzahl der zu verbindenden Clouds. Genauer gesagt kann es sich dabei um n-Clouds handeln die in irgendeiner Form miteinander integriert sind. Dabei werden beispielsweise Cloud-Infrastrukturen so miteinander verbunden, dass die Applikationen verschiedene Infrastrukturen oder Services parallel oder je nach Auslastung oder aktuellen Preisen nutzen. Auch das parallele oder verteilte Speichern von Daten über mehrere Clouds ist vorstellbar, um die Verfügbarkeit und Redundanz der Daten sicherzustellen.

Hinsichtlich der Hybrid Cloud-Funktionalität bietet Amazon auf Applikationsebene derzeit noch keine umfangreichen Services, erweitert das Angebot aber stetig. Google bietet keine Hybrid Cloud Möglichkeiten. Auf Grund von Public als auch Private Cloud Lösungen sind Microsoft und HP in der Lage auf globaler Ebene Hybrid Cloud-Szenarien zu ermöglichen. Microsoft bietet darüber hinaus das Cloud OS Partner Network und ermöglicht es Unternehmen damit Microsoft basierte Hybrid Clouds mit Hosting Anbieter zu realisieren. Als deutscher Anbieter kann T-Systems auf globaler als auch lokaler Ebene Hybrid Clouds aufbauen. Lokale Anbieter wie Pironet NDH bieten Möglichkeiten auf deutschem Boden.

Mythos Datenschutz und Datensicherheit

Seit Edward Snowden und dem NSA-Skandal haben sich zahlreiche Mythen um die Themen Datenschutz und Datensicherheit gebildet. Anbieter, insbesondere deutsche, werben seitdem mit einer höheren Sicherheit und mehr Schutz vor Spionage und anderen Angriffen, wenn die Daten in einem deutschen Rechenzentrum gespeichert werden. Die Krux, geht es um das Thema Sicherheit, werden leider immer wieder zwei Begriffe vermischt, die grundsätzlich unterschieden werden müssen: Die Datensicherheit und der Datenschutz.

Datensicherheit bedeutet die technischen und organisatorischen Maßnahmen umzusetzen, um Vertraulichkeit, Verfügbarkeit und Integrität der IT-Systeme sicherzustellen. Public Cloud-Anbieter bieten weit mehr Sicherheit, als es sich ein deutsches mittelständisches Unternehmen leisten kann. Das hängt damit zusammen, dass Cloud-Anbieter gezielt in den Aufbau und die Wartung ihrer Cloud Infrastrukturen investieren und ebenfalls das dafür notwendige Personal beschäftigen und die entsprechenden organisatorischen Strukturen geschaffen haben. Hierzu werden jährlich Milliarden von US-Dollar in die Hand genommen. Es gibt nur wenige Unternehmen außerhalb der IT-Branche, die in ähnlicher Weise in IT-Sicherheit investieren können und wollen.

Beim Datenschutz geht es um den Schutz der Persönlichkeitsrechte während der Datenverarbeitung und den Schutz der Privatsphäre. Dieses Thema sorgt bei den meisten Unternehmen für die echten Kopfschmerzen. Denn beim Verstoß gegen das Bundesdatenschutzgesetz macht der Gesetzgeber kurzen Prozess. Es geht zunächst also darum, den Cloud-Anbieter für die Einhaltung der im §9 festgehaltenen Regeln im Bundesdatenschutzgesetz in die Verantwortung zu nehmen und dies selbst auf Basis von §11 zu überprüfen. Für die Erfüllung von §11 empfiehlt es sich auf die Gutachten von Wirtschaftsprüfern zurückzugreifen, da kein Anbieter jeden Kunden einzeln ein Audit durchführen lassen kann. Der Datenschutz ist ein absolut wichtiges Thema, schließlich handelt es sich dabei um sensibles Datenmaterial. Es ist aber in erster Linie ein rechtliches Thema, was durch Maßnahmen der Datensicherheit gewährleistet werden muss.

Dass ein Rechenzentrum in Deutschland vor der Spionage befreundeter Staaten oder Angriffe durch Hacker einen besseren Schutz bietet ist und bleibt ein Märchen. Denn wo ein Wille ist, da ist auch ein Weg. Sprich, wenn ein Angreifer an Daten gelangen möchte, dann ist dies einzig und alleine mit der kriminellen Energie verbunden, die er bereit ist zu unternehmen und die finanziellen Mittel, die ihm dafür zur Verfügung stehen. Sind die technischen Herausforderungen zu hoch, dann bleibt immer noch der Faktor Mensch als Option und der ist bekanntlich käuflich.

Nichtsdestotrotz haben US-amerikanischen Cloud-Größen die Bedenken deutscher Unternehmen erkannt und haben angekündigt, ihre Services aus deutschen Rechenzentren anzubieten. Darunter Salesforce (Partnerschaft mit T-Systems), VMware und Oracle. Jüngst hat auch Amazon ein RZ in Deutschland eröffnet. Allerdings ist zu beachten, dass ein deutsches Rechenzentrum alleine nichts mit einer höheren Datensicherheit zu tun hat. Es erfüllt lediglich

  • die technischen Herausforderungen der Cloud-Connectivity (geringe Latenz, hoher Durchsatz und Verfügbarkeit).
  • die rechtlichen Rahmenbedingungen des deutschen Datenschutzniveaus.

Technische Herausforderungen

Bei dem technischen Assessment eines IaaS-Anbieters sollte grundsätzlich auf die folgenden Eigenschaften geachtet werden:

  • Scale-up- oder Scale-out-Infrastruktur
  • Container-Unterstützung für eine bessere Portabilität
  • OpenStack-Kompatibilität für Hybrid- und Multi-Cloud-Szenarien

Skalierbarkeit bedeutet, dass die Leistung eines Systems durch das Hinzufügen weiterer Ressourcen wie ganze Rechnersysteme oder granulare Einheiten wie CPU und Arbeitsspeicher, erhöht wird. Das System kann dann mit zunehmend beanspruchter Leistung linear mitwachsen. So lassen sich plötzliche Lastspitzen abfangen, das System bricht unter ihnen nicht zusammen. Zu unterscheiden sind Scale-up und Scale-out. Scale-out (horizontale Skalierung) steigert die Leistung eines Systems, indem man weitere vollständige Rechner (virtuelle Systeme) zum Gesamtsystem hinzufügt, so wie ein Cluster skaliert, indem es immer um die benötigte Anzahl an Rechnern erweitert wird. Scale-up (vertikale Skalierung) hingegen steigert die Leistung des Systems durch das Hinzufügen weiterer granularer Ressourcen zum Rechnersystem. Dabei kann es sich um Speicherplatz, CPUs oder Arbeitsspeicher handeln. Betrachtet man die Top-Cloud-Anwendungen, handelt es sich derzeit überwiegend um Startup-Applikationen, unkritische Workloads oder komplett neue Entwicklungen, die in der Cloud verarbeitet werden. Zu beachten ist, dass es das Scale-out-Prinzip für Unternehmen beliebig kompliziert macht, ihre Anwendungen und Systeme in die Cloud zu migrieren. Am Ende läuft es darauf hinaus, dass sie von vorne beginnen müssen, da ein nicht verteilt entwickeltes System nicht so funktioniert, wie es auf einer verteilten Scale-out-Infrastruktur laufen sollte.

IT-Entscheider sollten im Hinterkopf behalten, dass sich ihre IT-Architekten in Zukunft von der unterliegenden Infrastruktur vollständig lösen werden, um Applikationen und Workloads bequem über Anbietergrenzen bei Bedarf hinweg zu verschieben. Container-Technologien wie Docker ermöglichen dies. Die Auswahl eines Anbieters, der Docker unterstützt, ist aus dem Blickwinkel eines IT-Entscheiders somit ein strategisches Werkzeug für die Optimierung von modernen Applikations-Deployments. Docker hilft dabei, die Portabilität einer Anwendung sicherzustellen, die Verfügbarkeit zu erhöhen und das Gesamtrisiko zu minimieren.

Hybrid- und Multi-Cloud-Szenarien sind nicht nur ein Trend sondern spiegeln die Realität wider. Anbieter sollten im Sinne ihrer Kunden handeln und anstatt auf proprietäre Technologien auf Open Source-Lösungen bzw. einen potentiellen künftigen De-Facto-Standard wie OpenStack setzen. Damit ermöglichen sie die Interoperabilität zwischen den Cloud Service Providern und schaffen damit die Voraussetzungen für ein übergreifendes Ökosystem, bei dem die Anwender einerseits eine bessere Vergleichbarkeit sowie andererseits echte Multi-Cloud-Umgebungen realisieren und verwalten können. Denn nur so können Anwender von den Stärken einzelner Provider und den besten Angeboten am Markt profitieren. Offene Ansätze, wie sie OpenStack verfolgt, fördern die zukünftige Handlungsfähigkeit von IT-Einkäufern über Anbieter- und Rechenzentrumsgrenzen hinweg. Das macht OpenStack zu einem wichtigen Einflussfaktor bei der Anbieterauswahl.

Jeder Weg besteht aus einem individuellen Pfad

Der Weg zum heiligen IaaS-Gral kann je nach Anforderung steinig werden. Insbesondere Enterprise-Workloads sind in der Cloud schwieriger zu handhaben als neuartige Web-Applikationen. Unabhängig davon sollte immer in Betracht gezogen werden, dass Anwendungen die auf IaaS betrieben werden, je nach Anbieter-Infrastruktur, auf der grünen Wiese neu entwickelt werden müssen, um die spezifischen Begebenheiten des Anbieters optimal zu nutzen. Um den individuellen Pfad zu meistern helfen die folgenden Betrachtungsweisen:

  • Die eigenen Applikationen und Workloads kennen und verstehen
  • Datenklassifizierung durchführen
  • Datenschutz nicht mit Datensicherheit verwechseln
  • Cloud-Modell evaluieren: Self-Service oder Managed-Service
  • Hybrid- und Multi-Cloud-Szenarien prüfen
  • Lokale und globale Reichweite einschätzen
  • Cloud Connectivity nicht unterschätzen
  • Container-Technologien für die technologische Freiheit der Applikationen evaluieren
  • OpenStack-Kompatibilität berücksichtigen