Wie Unternehmen mit dem richtigen Mix aus Private Cloud und Public Cloud eigene und externe IT-Ressourcen effizienter nutzen und dabei ihre Sicherheitsstandards einhalten.
von Petra Adamik (freie Journalistin in München)
Cloud Computing wurde vom deutschen Markt lange Zeit reserviert aufgenommen. Das Blatt hat sich mittlerweile gewendet, wie aktuelle Zahlen belegen. Nach den Ergebnissen des "Cloud Monitors 2013" des Bitkom und der Wirtschaftsprüfungs- und Beratungsgesellschaft KPMG nutzten Ende des Jahres 2012 in Deutschland 37 Prozent aller Unternehmen Cloud Computing. Im Jahr zuvor waren es erst 28 Prozent. Weitere 29 Prozent planten oder diskutierten den konkreten Einsatz.

Doch Cloud ist nicht gleich Cloud. Beim Cloud Computing beziehen Unternehmen klassische IT-Leistungen wie Speicherplatz, Rechenleistung oder Anwendungsprogramme nach Bedarf aus den verteilten Rechenzentren eines externen Dienstleisters (Public Cloud). Alternativ bietet sich der Aufbau einer eigenen Cloud-Lösung im internen Netzwerk an: die Private Cloud. "Aus Sicherheitsgründen und aus Sorge vor Kontrollverlust über ihre Daten setzen große deutsche Firmen bevorzugt auf die private Cloud im eigenen Rechenzentrum", beschreibt Sven Klindworth, Leiter des Beratungsteams für Rechenzentren und Cloud-Lösungen beim Netz- und IT-Dienstleister BT Germany, die Situation.

Ein Problem in der derzeitigen Sicherheitsdebatte sei, dass der Begriff "Public Cloud" oft mit "unsicherer Service irgendwo im Internet" gleichgesetzt werde. Während Angebote für Privatkunden und kleine Unternehmen in der Tat meist über das Internet realisiert werden, gibt es für größere Unternehmen längst andere Möglichkeiten: "Ein Netzbetreiber wie BT kann seine Cloud-Infrastruktur per MPLS oder Ethernet-Anbindung direkt mit dem Firmennetz des Kunden verbinden", erläutert Klindworth. Das sei wesentlich performanter und sicherer als über das Internet.

Durch eine solche Architektur lassen sich hybride Cloud-Lösungen aufbauen, die höchste Anforderungen an Datensicherheit und -schutz erfüllen - denn diese Aspekte sind in jeder Hinsicht ein Thema, wenn es um die Cloud geht. So schreibt der Gesetzgeber in Deutschland, aber auch in zahlreichen anderen europäischen Ländern, den Firmen strenge Regeln vor. Deutsche Unternehmen dürfen bestimmte Finanzdaten beispielsweise nicht ohne Weiteres außerhalb des Landes speichern. Enge Grenzen gelten auch bei der Verarbeitung personenbezogener Daten. Eine Cloud-Lösung, bei der nicht klar definiert ist, wo die Daten liegen, kommt dafür nicht in Frage. "Aus Compliance-Gründen sollten international tätige Unternehmen einen Anbieter wählen, bei dem sie individuell bestimmen können, welche Daten in welchem Land verarbeitet werden", so Klindworth.

Tipps zur datenschutzrechtlichen Vorsorge
Wie sicher sind meine (personenbezogenen) Daten in der Cloud überhaupt? Wann beziehungsweise wo muss ich damit rechnen, dass ausländische Behörden auf meine Daten zugreifen? Fünf Tipps für mehr Sicherheit beim Cloud Computing.

Tipp 1:
Nutzen Sie nur europäische Clouds, um Konflikte mit dem hiesigen Datenschutz zu vermeiden

Tipp 2:
Bei internationalen Cloud-Modellen mit Bezug zu unsicheren Drittstaaten müssen ausreichende Garantien des Cloud-Dienstleisters eingefordert werden.

Tipp 3:
Machen Sie gegebenenfalls von dem Ihnen möglicherweise zustehenden Sonderkündigungsrecht Gebrauch. Als erste Orientierungshilfe gibt es dazu es ein Positionspapier des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, ULD, vom 15. November 2011

Tipp 4:
Prüfen Sie bevor sie sich für einen Cloud-Dienstleisters entscheiden dessen Beteiligungsverhältnisse in möglicherweise unsichere Drittstaaten.

Tipp 5:
Gestalten Sie Ihre Verträge mit den Cloud-Anbietern auch in datenschutzrechtlicher Hinsicht rechtssicher, indem Sie (neben den Mindestanforderungen aus Paragraf 11 BDSG) auch den Speicher- und Verarbeitungsort Ihrer Daten genau festlegen und Übermittlungsverbote Ihrer Daten in unsichere Drittstaaten vereinbaren und mit Vertragsstrafen verbinden.

Public-Cloud-Services sorgen schnell für mehr Kapazität

Sofern das gewährleistet ist, ergibt ein hybrides Modell aus kostengünstiger und flexibel verfügbarer Public Cloud und firmeninterner Private Cloud in vielen Fällen Sinn. Brauchen Unternehmen für bestimmte Projekte oder Anwendungen beispielsweise kurzfristig mehr IT-Ressourcen, als ihnen im Unternehmen zur Verfügung stehen, können sie diese aus der Public Cloud relativ einfach dazuschalten. Eine andere Zielgruppe für die hybride Cloud sind international expandierende Unternehmen, die am Heimatstandort eigene Rechenzentren betreiben, ihre international verteilten Standorte aber nicht mit zusätzlicher eigener Infrastruktur ausstatten möchten. Deren Bedarf kann dann vor Ort über Rechenzentren eines Cloud-Providers gedeckt werden.

Checkliste Cloud-SLAs
Um zu beurteilen, ob ein Cloud-Provider kundenfreundliche SLAs anbietet, lassen sich folgende Kriterien anlegen und überprüfen:

Punkt 1:
Kurze und klare Gestaltung von Inhalt, Struktur und Formulierung.

Punkt 2:
Version in der Landessprache des Kunden.

Punkt 3:
Klare Definitionen von Fach- und Produktbegriffen zu Beginn.

Punkt 4:
Detaillierte Ankündigung und Planung der Wartungsfenster (Beispiel: "Viermal im Jahr an vorangemeldeten Wochenenden").

Punkt 5:
Leistungsbeschreibung in Tabellenform (Übersicht!).

Punkt 6:
Klar definierte Bereitstellungszeiträume für neue Ressourcen (Beispiele: Bereitstellung virtueller Server bei Managed Cloud in maximal vier Stunden; Bereitstellung kompletter Umgebungen oder dedizierter Server in fünf bis zehn Tagen).

Punkt 7:
Bereitstellung von klar abgegrenzten Konfigurationsoptionen für Ressourcen (Beispiel: Konfiguration von Servern nach Gigahertz, Gigabyte).

Punkt 8:
Einfach unterscheidbare Service-Levels (Beispiel: Silber, Gold, Platin); Abgrenzungskriterien können sein: Verfügbarkeit, Bereitstellungszeiten, fest reservierte Kapazitäten ja/nein, Support-Level (Telefon, E-Mail).

Punkt 9:
Bei IaaS-Angeboten unbedingt auf Netzwerk-Konfigurationsmöglichkeiten und Bandbreite achten (Volumen? Im Preis inkludiert ja/nein?).

Punkt 10:
Kundenfreundlicher Reporting- beziehungsweise Gutschriftenprozess (am besten aktive Gutschriften auf Kundenkonto; kein bürokratischer, schriftlicher Prozess; möglichst einfache Beweis- und Nachweispflicht für Kunden).

Punkt 11:
Reaktionszeiten und Serviceverfügbarkeit klar beschreiben (zentrale Hotline; Reaktionszeiten auf Incidents in Stunden).

Punkt 12:
Nennung der Rechenzentrumsstandorte mit Adresse und sonstigen Informationen wie Zertifizierungen und Tier.

Punkt 13:
Definition der Verfügbarkeiten: Unterschiede hinsichtlich Verfügbarkeit Server/VM und Verfügbarkeit Admin-Konsole definieren.

Punkt 14:
Erläuterung zu Möglichkeiten der SLA-Überwachung beziehungsweise des Incident-Reportings für den Anwender (Beispiel: Link auf Monitoring-Dashboard).

Die besondere Herausforderung einer hybriden Cloud-Lösung liegt darin, dass die Systeme der Private Cloud mit denen der Public Cloud kommunizieren und nahtlos zusammenspielen müssen, um ein Höchstmaß an Effizienz zu ermöglichen. Damit die Kommunikation zwischen der privaten und der hybriden Cloud reibungslos funktioniert, müssen beispielweise die Application Programming Interfaces (API) entsprechend angesprochen werden. Sie sorgen dafür, dass sich beide Seiten miteinander austauschen können, um dann die Ressourcen bedarfsgerecht anfordern respektive bereitstellen zu können. Hybride Cloud-Lösungen kommen eben nicht von der Stange, sondern verlangen im Vorfeld auch eine klare Projektarbeit, damit alle Anforderungen an Funktionalität und Sicherheit erfüllt werden.

Integrierbarkeit sicherstellen

Und auch die hauseigene IT muss nahtlos mit der Infrastruktur des Providers korrespondieren. "Unsere aktuelle Umfrage ergab, dass für drei Viertel der befragten Unternehmen die Integrationsfähigkeit der eigenen IT-Lösungen in das Cloud-Angebot eines Service-Providers die wichtigste Anforderung ist", bestätigt Bitkom-Vizepräsident Heinz-Paul Bonn den Stellenwert der Integration. Um die dafür nötige Flexibilität zu erreichen, kooperieren Cloud-Computing-Anbieter mit Spezialisten für Netz- und Speichertechnik, damit sie ihren Kunden ein komplettes Paket anbieten können.

Um die Komplexität zu reduzieren und den Einstieg in die Cloud zu vereinfachen, hat etwa Cisco sich mit Netapp zusammengetan und das "FlexPod"-Modell entwickelt.

Cloud-Sicherheit erfordert eine transparente Infrastruktur

Dieses Modell beinhaltet validierte und skalierbare Shared-Infrastrukturen auf Basis von Computer-, Netz- und Speicherlösungen von Cisco und Netapp. Unternehmen verfügten damit über eine sofort einsetzbare, virtualisierte und integrierte Private Cloud, versprechen die Anbieter.

"FlexPod hat sich als äußerst erfolgreich erwiesen, Partnern und Kunden den Weg in die Cloud zu erleichtern", erklärt Alexander Wallner, Area Vice President Germany bei Netapp. "Die Architekturen sind getestet und verifiziert, so dass der Anwender in puncto Zuverlässigkeit, Kompatibilität und Sicherheit kein Risiko eingeht."

Um die Automatisierung zu vereinfachen, können FlexPods mit verschiedenen Management-Lösungen, etwa von Cloupia, CA oder Citrix, adminis-triert werden. Offene Schnittstellen (APIs) erlauben Anwenderunternehmen außerdem das Management mit ihren bestehenden Tools. "Das hat den Charme, dass der Kunde seine bestehende Infrastruktur und eine ergänzende Private Cloud auf FlexPod-Basis über dieselbe Management-Oberfläche steuern kann", sagt Patrick Schmidt, Director Datacenter Sales bei Cisco Zentraleuropa. "Sofern eine zusätzlich genutzte Public-Cloud-Lösung dieselben Management-Schnittstellen bietet, kann die gesamte Hybrid-Cloud-Umgebung über eine einheitliche Oberfläche administriert werden."

Das Ziel: Alle Ressourcen mit einem System managen

Das über die Hardwarelösung gelegte Cloud-Management-System verbindet die Private- mit der Public-Cloud und bietet so eine einheitliche Management-Plattform, mit der ein Unternehmen seine hybride Cloud-Lösung in allen Bereichen nach seinen eigenen Geschäftsanforderungen und -regeln konfigurieren kann. Per Mausklick lassen sich so beispielsweise individuelle Zugriffsberechtigungen für Anwendungen und Daten zuteilen, virtuelle Arbeitsgruppen einrichten, oder es kann festgelegt werden, welche Prozesse in welcher Cloud laufen sollen. Auf diese Weise können Unternehmen die Vorteile von Public- und Private-Cloud individuell miteinander kombinieren und von den Vorteilen einer flexiblen IT-Infrastruktur profitieren. (Der Beitrag wurde von der CP-Schwesterpublikation Computerwoche übernommen / rb)

Cloud-Security-Tools
Um die Sicherheit in Cloud-Umgebungen zu kontrollieren und zu überwachen, gibt es etliche Werkzeuge zum Nulltarif, so dass Anwender nicht unbedingt zu kostspieligen Suiten greifen müssen.

Date Leak Prevention: MyDLP und OpenDLP
Um herauszufinden, wo unternehmenskritische Daten lagern und auf welchen Wegen sie im Corporate Network transportiert werden, bieten sich Programme wie "MyDLP" (www.mydlp.com) und "OpenDLP" an. Beides sind Open-Source-Programme für Data Loss Prevention (DLP). Beide Tools verhindern, dass sensible Informationen per E-Mail, als Kopien auf USB-Sticks oder in Form von Ausdrucken das Haus verlassen.

Date Leak Prevention: MyDLP und OpenDLP
Zudem helfen die Programme, den Speicherort sensibler Daten ausfindig zu machen und eine Konsolidierung vorzunehmen. Das etwas komfortabler zu benutzende Programm ist MyDLP. Es führt den Anwender Schritt für Schritt durch den Installations- und Konfigurationsvorgang. Dagegen merkt man OpenDLP seine Vergangenheit in der "Kommandozeilen-Ecke" an.

GRC-Stack der Cloud Security Alliance
Für Checklisten, die unter anderem bei der Auswahl des richtigen Cloud-Service-Providers und der Implementierung von Sicherheitsvorkehrungen in Cloud-Umgebungen helfen, hat die Cloud Security Alliance (CSA) den "GRC Stack" erarbeitet. Die Unterlagen sind ausschließlich in Englisch verfügbar und zudem stark auf Compliance-Vorgaben ausgelegt, die in den USA gelten. Dennoch können sie als Basis für Sicherheits-Checks im Rahmen von Cloud-Computing-Projekten herangezogen werden.

GRC-Stack der Cloud Security Alliance
Ebenfalls von der CSA stammt die "Cloud Controls Matrix" (CCM). Anhand dieser Checkliste können Interessenten die Sicherheitsvorkehrungen eines Cloud-Service-Providers unter die Lupe nehmen. Die Grundlage bilden Sicherheits- und Compliance-Standards wie ISO 27001/27002, ISACA, COBIT, PCI, NIST, Jericho Forum und NERC CIP. Die aktuelle Version 1.3 der CCM vom September 2012 steht auf der Website der Organisation kos-tenlos zum Herunterladen bereit.

Zwei-Faktor-Authentifizierung mit WiKID
Wie bereits angesprochen, spielt die Authentifizierung von Nutzern im Rahmen von Cloud Computing eine zentrale Rolle, auch bei Cloud-Migrationsprojekten. Unternehmen, die noch keine Erfahrung mit einer Zwei-Faktor-Authentifizierung gesammelt haben, können dies mit dem Open-Source-Produkt "WiKID" nachholen. Die Software lässt sich unter anderem einsetzen, um Intranets abzuschotten, deren Nutzer Zugang zu den Ressourcen eines externen Cloud-Computing-Service-Providers haben.

Microsoft Cloud Security Readiness Tool
Kostenlos verfügbar ist auch das "Cloud Security Readiness Tool" von Microsoft. Es soll vor allem kleine und mittelständische Betriebe ansprechen. Der Nutzer muss Fragen beantworten, beispielsweise ob Regeln für den Zugriff auf Daten bestehen, welche Sicherheits-Policies gelten und ob grundlegende Sicherungen wie etwa ein Malware-Schutz und Firewalls oder eine Zutrittskontrolle zum Rechenzentrum vorhanden sind. Die Resultate fasst das Tool inklusive Bewertung und Empfehlungen in einem etwa 60-seitigen Bericht zusammen.

Centrify Cloud Tools
Die amerikanische Firma Centrify hat in Form der "Centrify Cloud Tools" eine Sammlung von Programmen und Scripts zusammengestellt. Mit ihnen können Systemverwalter eine Authentifizierung und Zugriffskontrolle für Linux-Server einrichten, die auf den Plattformen von Cloud-Service-Providern wie Amazon EC2 oder der Cloud-Management-Plattform von Rightscale aufgesetzt wurden.

Spiceworks spürt heimlich genutzte Cloud-Services auf
Ebenfalls gratis erhältlich sind die "Cloud Management Tools" von Spiceworks. Das Unternehmen hat sich auf IT-System-Management-Software spezialisiert. Dementsprechend lassen sich mit den Cloud-Management- Tools On- und Off-Premise-Cloud-Services verwalten. Dies ist auch unter dem Sicherheitsaspekt von Vorteil, denn mit der Software können Administratoren Cloud-Services aufspüren, die einzelne User oder Unternehmensbereiche ohne Wissen der IT-Abteilung verwenden - Stichwort "Rogue Cloud Services". Die Cloud Management Tools enthalten Monitoring-Funktionen, mit denen der Nutzer den Status der Systeme in der Cloud überwachen kann, etwa von Hosted Servern.

VMware- und Hyper-V-Hosts überwachen
Eher am Rande mit Cloud-Security zu tun haben Tools, mit denen sich der Status von Virtual Hosts überwachen lässt. Zwei Anbieter stellen kostenlose Versionen ihrer Monitoring-Werkzeuge zur Verfügung: Veeam mit der "Veeam One Free Edition" ...

VMware- und Hyper-V-Hosts überwachen
und Solarwinds mit "VM Monitor". Beide Tools überwachen den Status der VMware- und Microsoft-Hyper-V-HostSysteme.