Cloud Computing im Grosskonzern

Definition der Cloud

Die Definition vom NIST (National Institut of Standards and Technology) gefällt mir am Besten (neben den ganzen vielen Marketingdefinition, welche nichts und alles bedeuten):

Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared
pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that
can be rapidly provisioned and released with minimal management effort or service provider interaction. [NIST Definition of Cloud Computing]
Ich würde das in etwa wie folgt übersetzen:
Cloud Computing ist ein Modell, welches den allgegenwärtigen, on-Demand und schnellen Zugriff via Netzwerk auf einen Pool von konfigurierbaren Computing-Ressourcen (z.B. Netzwerke, Server, Speicher, Anwendungen und Dienste) ermöglicht, welcher schnell bereitgestellt und freigegeben werden kann und dabei minimalen Aufwand und Interaktion des Dienstleisters benötigt.

5 Eigenschaften eines Cloud Dienstes

Dazu definiert das NIST 5 Charakteristiken, welche einen Cloud Dienst auszeichnen:

  • On-Demand self-Service: Der Benutzer kann sich selber sein „Angebot zusammenstellen“. Beispiele dafür wären: Mehr Speicher kaufen, mehr CPU Leistung kaufen, mehr Features kaufen (z.B. Evernote Premium) usw.
  • Broad network access: Der Service ist via Netzwerk und von unterschiedlichen Plattformen erreichbar.
  • Resource pooling: Die Rechenleistung wird von mehreren Nutzern gleichzeit verwendet. Der Enduser hat keine Kontrolle/Einsicht, wo sein Dienst ausgeführt wird.
  • Rapid elasticity: Kapazitäten können on-Demand hinzugefügt bzw. entfernt werden.
  • Measured service: Das Cloud System optimiert automatisch die Ressourcen. Der Ressourcen Verbrauch wird überwacht, wodurch volle Transparenz geboten wird.
    Im Weiteren definiert das NIST weiter 3 Modell sowie 4 Ausprägungen, welche sehr gut in dieser Graphik von Cambridge Technology Partners
    Schematisch Darstellung Cloud Computing
    Koppelt man diese Graphik mit den oben erwähnten 5 Chrakteristiken ergibt dies eine sehr gute Definition vom Begriff „Cloud Computing“. Kein Marketing gefasel und kein Hype, sondern so wie es ist.

Ist Cloud Computing alter Wein in neuen Schläuchen?

Eine berechtigte Frage, aber nein. Die alten Weine wurden gemixt und dadurch ist eine neue Sorte entstanden (Graphik vom winwiki):
Cloud Computing Entwicklung
Selbsterklärend eigentlich.

Kritische Cloud Blicke

Also Otto Normale ist die Cloud beständteil des täglichen Lebens: iCloud, Gmail, YouTube, Basecamp, Evernote und und und… für Grosskonzerne sieht der Himmel jedoch etwas Cloudy aus. Daher mal ein paar kritische Blick auf die Cloud resp. auf Grosskonzerne in der Cloud.

Aber was ist mit dem Datenschutz in der Cloud

Und genau das ist das bisher noch ungelöste Problem. Dies mag für den Privaten weniger problematisch sein (wahrscheinlich denkt der eine oder andere seit der NSA Affäre anders), aber grundsätzlich sind wir nicht ganz so bessessen darauf, alle Daten im Haus zu haben. Anders gesagt: Der Aufwand und die Kosten für den Privatanwender sind zu hoch.
Beispiel: Backup in der Cloud via Mozy: Super einfach, relativ günstig und zuverlässig und meine Daten sind auch sicher wenn das Haus weggeblasen wird. „Inhouse“ – Alternative: Eine externe Festplatte (wahrscheinlich ein bisschen günstiger, dafür sind die Daten im Brandfall weg) oder z.B. ein Offsite-Backup bei einem Kumpel einrichten, wofür jedoch ein Server und einiges an Know-How notwendig ist. Die technische Hürde ist für 99% der Benutzer zu hoch.
Beispiel 2: E-mail. Ich kenne kaum jemand, der seinen eigenen E-mail Server betreibt (nicht einmal ich). Die Meisten sind bei Gmail, Hotmail oder GMX und dann gibts noch ein paar wenige, welche ihre Mails beim Internet Provider haben, aber einen eigenen Mailserver betreiben? Zu teuer, zu wenig zuverlässig.

Firmen und Datenschutz

Das sieht doch schon ganz anders aus: Kaum eine Grossfirma wird Mozy als Backup Lösung verwendnen und kaum eine grosse Firma wird nicht irgendwo im eigenen Rechenzentrum einen Exchange Server stehen haben. Meine Erfahrung: Je grösser die Firma, desto paranoider sind die Leute. Darin sehe ich die folgenden Gründe:

  1. Die Firma hat effektiv geheime, schützenswerte Daten, welche vor allem vor Wirtschaftsspionage geschützt werden sollen, wie z.B. Statistiken, Produktionsdaten, Verkaufszahlen usw. Unerlaubter Zugriff auf diese Daten, würde ein Wettbewerbsnachteil bedeuten.
  2. Die Firma hat Personenbezogene Daten: entweder von den Mitarbeitern oder aber von Kunden, z.B.: Telefonnummern, E-mail Adresse, Gesundheitszustand usw.
    Ich frage mich jedoch:
  3. Was möchte ein Cloudanbieter mit Firmengeheimnissen anfangen? Er könnte sie verkaufen und sozusagen zu einer Schwarzmarkt Plattform für Firmengeheimnisse werden. Kurzfristig ist das sicher sehr lukrativ, aber längerfristig wahrscheinlich eher unhaltbar, denn in der Cloud ist Vertrauen das A und O.
  4. Sobald die Daten mein Firmennetz verlassen sind diese mind. für den Geheimdienst einsehbar und dies selbst wenn sie über eine SSL geschützte Leitung verschickt werden: Von daher wohl nicht wirklich sicherer als wenn sie von meinem Computer zum Cloud Provider gehen.
  5. ABER kann ich mein kleines Rechenzentrum genau so effizient schützen, wie das eines Anbieters, welcher als Kernkompetenz das Rechenzentrum hat? Kann ich als Firma mit dem Fortschritt mithalten. Bsp: Ich hoste mein eigenes CMS vs. ein CMS in einer Cloud Umgebung: Mein CMS läuft auf einer veralteten Server und das CMS selber ist vollkommen outdated mit vielen offenen Security Patches. Hätte ich die Cloud Lösung müsste ich mich nicht darum kümmern… lediglich Vertrauen in den Cloud Dienstleister brauche ich.
  6. Falls jemand gezielt meine Daten stehlen möchte, um Wirtschaftsspionage zu betreiben, sind die Daten in meinem Rechenzentrum sicherer als in einem Externen?
    Gut Punk 2 kann effektiv ein Problem sein, da gewisse rechtliche Anforderungen mich zwingen, die Kontrolle über diese Daten zu haben (z.B. Safe Harbor), doch auch dafür gibts Lösungen.

Weitere Gründe für die Zurückhaltung der Cloud gegenüber

Und noch mehr Gründe sind im Paper BENEFITS , RISKS AND RECOMMENDATIONS FOR INFORMATION SECURITY:

  1. Eine gewisse Überheblichkeit: Wir können das mind. genauso gut, wenn nicht besser und wir brauchen die volle Kontrolle über den User.
  2. Angst, den Job zu verlieren, denn die IT (sprich die Betreiber von Software und Infrastruktur) wird überflüssig. Bsp: Der Exchange Server wird ausgelagert zu Swisscom. Fallen monatliche Lizenzkosten an, dafür kann ich meinen IT Fritz, welcher den Exchange Server gestreichelt hat entlassen und kann die Exchange Server im Keller verschroten. Diese IT Leute sind also nicht wirklich an einer Cloud Lösung interessiert.
  3. Kontrollverlust. Was passiert wenn der Cloud Anbieter verschwindet? Was wenn sich die Lage ändert? Es entsteht eine Beziehung, welche je nach System und Bindung nicht mehr so schnell gelöst werden kann. Will ich mich dem beugen?

Was sind die Auswirkungen des Cloud Computings

Für kleine Unternehmen führt wohl kein Weg an der Cloud vorbei. Die folgenden Gründe sprechen dagegen:

  1. IT Infrastruktur selber zu betreuen ist zu teuer und braucht zu viel Know-how. Ich habe mir zuhause mal einen Server virtualisiert: Headless Virtualbox auf einer Debiankiste und dann da drauf 3 virtuelle Linux Server. Das wurde mir dann einfach zu kompliziert.
  2. Als kleine Firma kann ich mit der raschen Entwicklung nicht mehr mithalten. Ich werde immer veraltete Soft- und Hardware haben.
  3. Die Mitarbeiter sind Cloud Software gewohnt. Sie lieben die Flexibilität, die bunten Benutzerfreundlichen Interfaces und neue Features. Vorbei sind die Zeiten, wo die Software 5 Jahre im Einsatz ist, bis das nächte Release geplant wird.
    Ganz anders sieht das für grosse Firmen aus. Diese sind durch Compliance- und Sicherheitsanforderungen gelähmt. Dazu kommt eine Portion Arroganz: „Wir machen das doch selber viel besser“ und zusätzlich eine grosse Portion „Save my Ass“ Mentalität.

Die Private Cloud

Wohl die meisten Grosskonzerne sind mit irgendwelchen Private Clouds am Experimentieren. Die Server virtualisieren, hype Software drauf knallen und schon ists gelöst. Ist es das wirklich? Ist die private Cloud ein Ersatz für die richtige Cloud? Ich glaube nicht, denn:

  1. Release Zyklen werden durch komplizierte interne Prozesse lang. Der Benutzer kommt nur langsam in den Genuss neuer Features.
  2. Cloud Software für die Private Cloud lässt sich kaum von der Stange kaufen. Warum sollte ein Cloud Provider seine Cloud Lösung verkaufen?
  3. Komplizierte IT Governance und Prozesse machen aus dem Cloud-Genuss einen Cloud Verdruss. Das ist doch das schöne an einer Cloud Lösung: Anmelden, Kredit Karte, Benutzen. Die Private Cloud in einem Grosskonzern stelle ich mir dagegen wie folgt vor: Formular ausfüllen, warten, approven, warten brauchen.
    Somit verfliessen viel Vorteile der Cloud im Sand. Daher wenn schon eine Private Cloud, dann bitte richtig… sprich die ganzen IT Prozesse und Governance muss entsprechend angepasst werden.
    Alles Schlecht? Nein natürlich nicht, aber die Cloud hat noch einige Hürden auf dem Weg in die Grosskonzerne zu überwinden.