Die eigene Private Cloud in der Firma

Trotz NSA-Skandal und der allgegenwärtigen Angst vor Datenspionage: Cloud-Computing ist weiter auf dem Vormarsch. Die Zahl der Unternehmen, die Cloud-Dienste nutzen, ist laut Cloud Monitor 2014 im vergangenen Jahr erneut gestiegen. In dieser Studie erfasst das Beratungsunternehmen KPMG in Zusammenarbeit mit dem IT-Verband Bitkom seit 2011 jährlich die Entwicklung von Cloud-Computing in Deutschland.

Einen Dämpfer hat die Diskussion um Datensicherheit dem Markt allerdings dennoch versetzt: Der Anstieg hat sich im Vergleich zum Vorjahr deutlich verlangsamt. Von 2012 auf 2013 war der Anteil der Cloud-Nutzer unter den befragten Unternehmen noch um neun Prozent auf 37 Prozent gestiegen, 2013 betrug der Zuwachs dann nur noch drei Prozent.

Ein Grund für die Skepsis gegenüber der Cloud ist sicherlich, dass die Vorstellungen davon, was Cloud-Computing eigentlich ist und wie sich die verschiedenen Modelle von­ei­nander abgrenzen lassen, bei vielen Unternehmen noch immer recht wolkig ausfallen.

So besteht beispielsweise nicht nur in Anwenderkreisen häufig die Auffassung, „richtiges“ Cloud-Computing könne ausschließlich ein großer Service-Provider mit vielen Rechenzentren bieten. „Wenn die Infrastruktur Ihnen gehört, dann ist es keine Cloud“, sagt beispielsweise Ken Ziegler, CEO des Providers Logicworks. Vor allem Cloud-Appliances oder kleine Cloud-Systeme, aber auch jede andere Art von selbst verwalteter Cloud werden damit als „unecht“ diskreditiert.

Nun gibt es zwar keine allgemein gültige Definition des Begriffs, es hat sich aber der Ansatz des National Institute for Standards and Technology (NIST) weitgehend durchgesetzt. Nach der NIST-Definition ist es völlig unerheblich, ob die Cloud-Dienste bei einem Provider oder im eigenen Rechenzentrum zur Verfügung gestellt werden, ob die Cloud über viele Standorte verteilt ist oder nur ein Rack einnimmt. Entscheidend sind diese Eigenschaften: Eine Cloud-Umgebung stellt automatisiert, bedarfsgerecht und skalierbar über standardisierte Netzwerkschnittstellen Services zur Verfügung, die auf einer einheitlichen Infrastruktur basieren. Eine ebenfalls automatisierte Qualitätssicherung gewährleistet die nötige Verfügbarkeit.

Auch mit Virtualisierung wird Cloud-Computing gern verwechselt – zu Unrecht, wie Kurt N. Rindle, Cloud Portfolio Leader D-A-CH bei IBM Deutschland, meint: „Cloud ist ein Betriebsmodell, das hat mit Virtualisierung zunächst gar nichts zu tun.“ VMware sieht die Rolle der Virtualisierung im Cloud-Computing-Umfeld naturgemäß etwas anders: „Die Virtualisierung ist der erste Schritt in Richtung agiler, flexi­bler IT-Infrastruktur und stellt die entscheidende Basis für Cloud-Computing dar. Virtualisierung und Cloud-Computing gehören untrennbar zusammen“, sagt Matthias Schorer, Senior Manager Advisory and PS Business Development, CEMEA bei VMware.

Die Abgrenzung der aus einer Cloud „as a Service“ zur Verfügung gestellten Produkte sorgt ebenfalls für Verwirrung. In der Regel – wieder nach der Definition des NIST – unterscheidet man drei Serviceklassen: Eine Laufzeitumgebung mit meist bereits virtualisierten Komponenten wie CPU-Kernen, Arbeitsspeicher, Storage und Netzwerkverbindungen wird als Infrastructure as a Service (IaaS) bezeichnet, wer zusätzlich ein Betriebssystem, Middleware und gegebenenfalls eine Entwicklungsumgebung ordert, bekommt eine Platform as a Service (PaaS) und der direkte Bezug von Applikationen nennt sich Software as a Service (SaaS).

Die letztgenannte Variante ist sicher die geläufigste, die meist aus einer Public Cloud bezogen wird. Beispiele für SaaS sind Salesforce.com, Microsoft Office 365, SAP BusinessOne oder Gmail und Google Drive. Software as a Service kann aber – genau wie die beiden anderen Service-Modelle – auch aus einer Private Cloud heraus angeboten werden.

Private Cloud heißt nicht notwendigerweise, dass ein Unternehmen die Infrastruktur im eigenen Rechenzentrum betreibt und adminis­triert. Insgesamt lassen sich folgende Ansätze unterscheiden:

• • 

     

    Das Cloud-Modell im Überblick: Das Betreibermodell (selbst oder gemanagt) und die Nutzung der Infrastruktur (allein oder mit anderen Kunden zusammen) definieren die unterschiedlichen Varianten der Cloud-Services.
  Das Unternehmen betreibt und verwaltet alles selbst.
• Die Cloud-Infrastruktur steht zwar im Unternehmen, wird aber von einem Dienstleister verwaltet.
• Das Equipment befindet sich im Rechenzentrum des Dienstleisters, gehört aber dem Nutzer und ist auch physikalisch von der Infrastruktur anderer Kunden getrennt.
• Der Dienstleister stellt die Infrastruktur, hält aber für jeden Kunden dedizierte Systeme vor.
• Mehrere Private Clouds basieren auf derselben physikalischen Infrastruktur und sind nur durch eine Virtualisierungsschicht getrennt.

Vielen Unternehmen scheint die erste Variante die beste zu sein, schließlich haben sie so die volle Kontrolle über Hard- und Software. „Der entscheidende Punkt ist sicherlich die Datensicherheit“, sagt VMware-Manager Schorer, und Rudolf Hotter, COO von Cancom, pflichtet ihm bei: „Die Daten liegen nicht in einer virtuellen Wolke irgendwo auf der Welt außerhalb jeglicher Kontrolle des zugehörigen Unternehmens.“ Diese Sicherheit kann jedoch trügerisch sein, meint IBM-Manager Rindle. Vor allem kleine und mittelständische Unternehmen (KMUs) seien oft nicht in der Lage, ihre IT wirkungsvoll gegen aktuelle Bedrohungen abzusichern: „Insbesondere kleine Außenstellen erweisen sich als Schwachpunkte.“ Für KMUs sei es deshalb besser, eine Private Cloud bei einem spezialisierten Dienstleister zu betreiben: „Die Sicherheit ist dort größer.“

Je nach Ausprägung der gemanagten oder gehosteten Private Cloud bleibt der Kunde alleiniger Herr über Infrastruktur und Daten oder teilt sich Systeme mit anderen Kunden. Stellt der Dienstleister beispielsweise dedizierte Hardware in einem physikalisch getrennten Bereich des Rechenzentrums zur Verfügung, zu dem nur der Kunde Zugang hat, gibt es kaum einen Unterschied zur Datensicherheit im eigenen Rechenzentrum. Ist dagegen die Private Cloud nur virtuell von anderen Diensten des Service-Providers getrennt, ist es wesentlich schwieriger, eine durchgängige Datensicherheit zu gewährleisten und zu dokumentieren – wenn auch nicht unmöglich.

Bei der Entscheidung für oder gegen eine Private Cloud – gehostet oder im eigenen Rechenzentrum – spielt neben der Datensicherheit vor allem die Wirtschaftlichkeit eine Rolle. Die Investition kann sich schnell amortisieren, meint Cancom-COO Hotter: „Der Kostenvorteil im Betrieb einer modernen Private-Cloud-Architektur liegt oftmals bei mehr als 30 Prozent.“ VMware-Manager Schorer setzt die Einsparmöglichkeiten gegenüber einem traditionellen Rechenzentrumsbetrieb sogar noch höher an: „VMware-Kunden konnten nach der Einführung einer Private Cloud in der Regel bis zu 70 Prozent Kosten einsparen.“

---

Solch signifikante Einspareffekte lassen sich nur in sehr großen Umgebungen realisieren, meint dagegen IBM-Manager Rindle: „Das ist im Mittelstand kaum zu erreichen.“ Für KMUs liegen die Vorteile einer Private Cloud eher in der Flexibilität und weniger bei der Kostenersparnis. „Ich glaube, dass eine Private-Cloud-Infrastruktur schon für kleine Mittelständler sinnvoll ist“, sagt Herbert Bild, Solution Marketing Manager EMEA bei NetApp Deutschland. Nur für sehr kleine Unternehmen sei es nicht unbedingt ratsam, auf eine Private Cloud umzusteigen: „Ein Handwerksbetrieb oder eine Arztpraxis braucht sich mit dem Thema noch nicht zu beschäftigen, aber wer weiß, was die Zukunft bringt.“ Pauschale Grenzwerte für die Unternehmensgröße lassen sich nach Ansicht von Klaus Berle, Director Cloud-Computing bei HP Deutschland, ohnehin nicht nennen: „Manche Unternehmen mit nur wenigen Mitarbeitern, aber großen Workloads, können sehr wohl von Cloud-Computing profitieren.“

Ob im eigenen Rechenzentrum oder beim Dienstleister – alle Private-Cloud-Modelle haben gegenüber den Public-Cloud-Angeboten den großen Vorteil, dass der Kunde die Leistungen wesentlich individueller definieren kann. „Die Private Cloud bietet mehr Flexibilität und eine schnellere Bereitstellung von Diensten“, so Ulrich Hamm, Consulting System Engineer Datacenter bei Cisco. Besonders deutlich werde das bei Software, ergänzt IBM-Manager Rindle: „In der Private Cloud kann ich selbst entscheiden, ob ich ein Update ein­spielen will oder nicht.“ Die Vereinbarung von Service Level Agreements (SLAs) lässt sich in Private-Cloud-Umgebungen ebenfalls deutlich individueller gestalten. Für Markus Dietrich, Technical Consultant Presales bei Interoute, ist vor allem der Geschwindigkeitsaspekt entscheidend: „Die Private Cloud bietet die Möglichkeit, einen Service extrem kurzfristig auszulagern.“

Private-Cloud-Modelle haben natürlich nicht nur Vorteile. Neben den bereits erwähnten Datenschutzbedenken bei gehosteten Varianten, sind dies unter anderem höhere Kosten im Vergleich zu Cloud-Angeboten von der Stange. Aber auch gegenüber einer Standardin­stallation sei die Private Cloud zunächst teurer, sagt Walter Hofmann, Director Cloud Solutions IT Consulting bei Comparex: „Es entstehen zusätzliche Kosten für die Entwicklung und Umsetzung der vollständigen Virtualisierung, der Automatisierung, der Prozessanpassungen, Schulungen und der Einführung der verbrauchsabhängigen Abrechnung sowie der Einführung eines Kundenportals.“

---

Auch kann eine Private Cloud nie die Skalierbarkeit und Elastizität der Riesenwolken von Amazon, Google oder Microsoft erreichen. Aufgrund der begrenzten Ressourcen stößt eine Private Cloud schnell an ihr physikalisches Limit. „Der Performance-Vorteil kann im Worst Case – also bei Vollaus­lastung – ins Negative umschwenken“, sagt Heiko Henkes, Manager Advisor bei der Ex­perton Group. Solche Fälle kennt auch VMware-Manager Schorer: „Es gab in der Vergangenheit immer wieder Beispiele, bei denen ein erfolgreicher Produktlaunch zu einer Explosion von Anfragen geführt hat, die dann von der internen IT nicht befriedigt werden konnten. Der damit einhergehende Imageverlust wiegt oft noch schwerer als der entgangene Umsatz.“

Wer sich unsicher ist, ob und welche Art von Private Cloud die richtige für sein Unternehmen ist, kann eines der gehosteten Modelle wählen oder im kleinen Rahmen selbst eine Instanz aufsetzen – etwa mit der Open-Source-Lösung OpenStack: „Unsere HP Helion OpenStack Community Edition ist frei verfügbar, damit können Kunden kleine Private Clouds ohne zusätzliche Lizenzkosten aufbauen“, sagt Klaus Berle von HP. IBM setzt ebenfalls auf die Open-Source-Plattform und bietet den „Cloud Manager mit OpenStack“ als Einstiegslösung an.

Der Aufbau einer eigenen Private Cloud auf OpenStack-Basis erfordert allerdings viel Know-how. „OpenStack eignet sich eher für Firmen, die eine eigene Software-Entwicklung haben“, sagt Matthias Schorer von VMware. Komplettlösungen, die Hard- und Software mit Cloud-Funktionen bündeln, lassen sich dagegen relativ einfach implementieren. „Der Vorteil dieser Blöcke liegt in ihrer Vorkonfiguration und der Verwaltung über eine Konsole. Bei zusätzlichem Bedarf wird einfach ein weiterer Block angebaut“, sagt Comparex-Manager Hofmann.

Solche Cloud-Blöcke, häufig auch als Converged oder sogar Hyper-Converged Infrastructure bezeichnet, gibt es in den verschiedensten Ausprägungen – als Referenzarchitektur, Appliance oder Building Block, auf Standards basierend oder herstellerspezifisch. Einen Überblick über die gängigsten Angebote auf dem Markt gibt die folgende Tabelle.

---

Mit diesen Paketen und den ergänzenden Analyse-, Installations- und Betriebs-Services der Hersteller und ihrer Partner ist die Installation einer Private Cloud auch für kleine und mittelständische Unternehmen technisch ohne große Probleme umsetzbar.

Schwierigkeiten kommen oft unerwartet aus einer ganz anderen Richtung – der Unternehmensorganisa­tion: „Es gibt viele Beispiele von Cloud-Projekten, die nicht an der Technologie gescheitert sind, sondern daran, dass Mitarbeiter nicht früh genug involviert waren und es dann zu Widerständen bei der Einführung kam“, sagt VM­ware-Manager Schorer.

Eine der größten Hürden sei die historisch bedingte Trennung der IT in die Server-, die Netzwerk- und die Storage-Abteilung, ergänzt Herbert Bild von Net­App: „Bei einem Pri­vate-Cloud-Projekt müssen all diese Bereiche eng zusammenarbeiten und am besten auch noch sämtliche anderen Unternehmensbereiche miteinbezogen werden.“

Laut einer Studie des Marktforschungsunternehmens IDC, für die im August dieses Jahres 200 IT-Entscheider aus deutschen Unternehmen mit mindestens 100 Mitarbeitern befragt wurden, planen 54 Prozent der Umfrageteilnehmer in den kommenden 12 bis 24 Monaten den Aufbau hybrider Lösungen, bei denen Private- oder Public-Cloud-Angebote mit der tradi­tionellen IT-Landschaft verbunden werden sollen.

Vor allem der Mittelstand sieht in dieser Strategie große Vorteile: Dedizierte traditionelle Rechenzentrumskapazität lässt sich weiterhin für vorhersehbare statische Lasten nutzen, ergänzt um Private-Cloud-Modelle für dynamische Bereiche mit sensiblen Daten und Public-Cloud-Services für Lastspitzen oder Standardanwendungen.

Diese Erkenntnis scheint sich allgemein durch­gesetzt zu haben: „Ich kenne keinen Kunden, der ausschließlich ein einziges Cloud-Modell nutzt“, so Comparex-Experte Hofmann.

Das Betriebsmodell Private Cloud zeichnet sich durch eine für jeden Kunden individuell konfigurierbare Infrastruktur aus, auf der die Cloud-Services bereitgestellt werden. Dabei kann die Cloud-Infrastruktur im Rechenzentrum des Kunden oder eines Dienstleisters aufgebaut und betrieben werden. In letzterem Fall spricht man von Managed/Hosted Private Cloud.

Managed-Private-Cloud-Services erleben derzeit einen enormen Aufschwung. Das liegt nicht zuletzt im Erwachsenwerden der Management- und Orchestrierungs-Software begründet, die vor allem lokale Dienstleister und Systemhäuser befähigt, diesen Typus von Service anzubieten.

Im Hosting-Markt sind die Übergänge vom traditionellen Hosting zum Outsourcing oder Cloud-Computing fließend und nur an kleinen Feinheiten der Technik oder Vertragsausgestaltung erkennbar. Nach Schätzungen der Experton Group ist der gesamte Hosting-Markt in der Transformation und derzeit zu circa 20 Prozent in der Cloud angekommen.

Generell bietet die Private Cloud eine größere Flexibilität, geringere Provider-Abhängigkeit und verstärkte Sicherheit, sofern der Betrieb ordnungsgemäß beziehungsweise aus professioneller Hand gesteuert und überwacht wird. Der Nutzer weiß in der Regel zu hundert Prozent, wo seine Daten liegen beziehungsweise gehostet werden. Zudem ist man auf der Höhe der Zeit in Bezug auf Standardisierung von Services und Plattformen und somit kompatibel zu externen Angeboten oder Partnernetzwerken.

Sofern die Kosten nicht im Vordergrund stehen, ist die Private Cloud für geschäftskritische Prozesse sinnvoll, die individuell, komplex und schützenswert sind. Dazu gehören Prozesse, die die Kernkompetenz des Unternehmens berühren, etwa die Daten aus dem Enterprise Resource Planning (ERP), der Forschungs- und Entwicklungsabteilung oder dem File-Server. Für viele Firmen ist aber eine gesunde Mixtur aus Private und Public Clouds die beste Alternative.

com! professional: Herr Hofmann, Sie sind staatlich geprüfter Datentechniker und Datenschutzexperte – lässt sich eine Private Cloud als gehostete Variante überhaupt datenschutzkonform betreiben?

Walter Hofmann: Aber selbstverständlich. Es gibt Angebote, bei denen jeder Kunde seine eigene Einhausung im Rechenzentrum des Pro­viders hat. Der Dienstleister stellt eine dedizierte MPLS-Leitung in diese Einhausung zur Verfügung, sodass wirklich nur der Kunde Zugriff auf die Daten und die Infrastruktur hat. Bei so einem Modell ist eine Private Cloud genauso sicher zu betreiben wie im eigenen Rechen­zentrum.

com!: Was ist von Modellen zu halten, bei denen die Private Clouds mehrerer Kunden nur virtuell getrennt sind und dieselben physikalischen Systeme nutzen?

Hofmann: Auch das lässt sich datenschutzrechtlich sicher konfigurieren. Ich arbeite gerade selbst an einer Private-Cloud-In­frastruktur für 750 Kommunen, bei der die Trennung rein vir­tuell erfolgt. Das ist absolut BSI-konform umgesetzt. Allerdings bekommen Sie so eine Installation nicht von der Stange.

com!: Wie genau erfolgt die Trennung der einzelnen Anwender?

Hofmann: Die Trennung wird per Network Address Translation (NAT) auf Layer 2 umgesetzt. Sie müssen sich das ähnlich vorstellen wie einen Multiplexer in der Telekommunikation. Über die Benutzer-Authentifizierung wird ein Anwender seiner Or­ganisation zugeordnet und hat dann nur Zugang zu den entsprechenden Daten. Das ist ein etwas anderer Ansatz als bei den üblichen „XaaS“-Modellen, wir sprechen hier von „Virtual Landscapes“.

com!: Wie entscheide ich, ob ich Daten in eine Cloud auslagere und falls ja, in welche?

Hofmann: Ich muss mir zunächst einmal darüber klar werden, welche Dienste ich habe und brauche. Dann muss ich abschätzen, wie sensibel und schützenswert die jeweiligen Daten sind. Und dann überlege ich mir mit Hilfe einer Risikobewertung und
einer Wirtschaftlichkeitsbetrachtung, welches Betriebsmodell für diesen Dienst und diese Daten jeweils das richtige ist. Diese Analyse bieten wir bei Comparex übrigens als Service an.

com!: Hat der Trend zu Cloud-Computing den Datenschutz verschlechtert?

Hofmann: Nein, wir haben heute genauso viele Datenschutzverstöße mit Cloud wie früher ohne. Gegen Dummheit ist kein Kraut gewachsen, da helfen auch die besten Sicherheitsvorkehrungen nichts. Wenn ein Mitarbeiter sensible Daten auf einer Parkbank liegen lässt oder unverschlüsselt per Mail verschickt, dann kann man dagegen wenig machen. Interessanterweise kommen viele Verstöße von Menschen, die ihre Daten nie in die Cloud geben würden, weil „das viel zu unsicher ist.“