// Informativ // Qualitativ // Unabh辰ngig
Edition 01 /2011 Cloud Computing
Mobile Computing
Events
Technologien
www.symposiajournal.de
The Private Cloud Revolution
Cloud Computing Motor der IT
Die Herausforderung f端r etablierte Unternehmen The Personalised Cloud Datenschutzwerkzeuge f端r die Cloud
TClouds 足 Privacy meets Innovation
Informativ | Qualitativ | Unabhängig Liebe Leser, nachdem wir dem Cloud Computing bereits in unserer vergangenen Ausgabe den Hype abgesprochen haben, wurde Cloud Computing nun auch auf der weltgrößten Computer Messe CeBIT zum Leitthema. Der nächste Schritt, die Etablierung, ist damit endgültig erreicht und für Unternehmen gilt es nun, sich die Möglichkeiten und Angebote zunutze zu machen, um daraus Wettbewerbsvorteile zu erzielen und Innovationen zu kreieren. Aber auch der Privatanwender wird, wenn er dieses nicht schon längst bemerkt hat, die Vorteile der Cloud zu spüren bekommen. Vor allem Benutzer eines Smartphones mit dem Android Betriebssystem kommen bereits in den Genuss einer Mobile oder auch personalisierten Cloud. Es ist also allerhöchste Zeit mit der Adaption zu beginnen! Und schon stehen die ersten Herausforderungen vor der Tür. Unternehmen planen die Migration ihrer Infrastruktur oder Teilen davon und die Rechtsabteilungen möchten natürlich auch ein Wort mitreden und erheben mahnend ihren Finger bzgl. des Datenschutzes und weiteren rechtlichen Bedenken. Dass viele Diskussionen jedoch nicht immer angebracht sind, zeigen wir in dieser Ausgabe mit entsprechenden Artikeln von anerkannten nationalen und internationalen Experten aus dem Bereich des Cloud Computing sowie des Datenschutzes. Der Adaption des Cloud Computing steht also nichts mehr im Wege! Auf geht’s! :) Viel Spaß beim Bilden wünschen Björn Böttcher und René Büst
Inhalt
01/2011
4
SymposiaJournal
Inhalt
01/2011
SymposiaJournal
5
01/2011
Veranstaltungen
AWS User Group Hamburg Ein Rückblick auf den 08.02.2011
Die Amazon Web Services User Group Hamburg blickt erneut auf ein erfolgreiches Treffen am 08.02.2011 zurück. Neben den AWS Solutions Architects Matt Wood und Carlos Conde sowie dem AWS Sales Manager Deutschland Torsten Woywood war mit 35 Teilnehmern wieder ein beachtliches Interesse zu erkennen. Die Veranstaltung stand ganz im Zeichen von Vorträgen, in denen Matt Wood und Carlos Conde alle Beteiligten mit einer Menge von AWS spezifischen Informationen versorgten. Matt übernahm zunächst die AWS Grundlagen und stellte anschließend die neuen Services der vergangenen Wochen und Monaten vor. Carlos gab danach einen tieferen Einblick in den vor kurzem veröffentlichten Service “Amazon Elastic Beanstalk”. Den Abschluß übernahm der AWS User Group Teilnehmer Ralph Rebske mit seinem sehr beeindruckenden und ausführlichen Vortrag zu dem Thema “AWS: Pricing and Billing”. Auch das Networking wurde dieses Mal wieder sehr intensiv genutzt, wodurch sich noch bis in die Nacht hinein über Cloud Computing, die Amazon Web Services und persönliche Dinge ausgetauscht wurde. AWS User Group möchte sich auf diesem Wege erneut bei der SinnerSchrader AG für das Bereitstellen der Räumlichkeiten sowie der Verpflegung mit Bagels, Bier und weiteren Leckereien bedanken! Bilder zu der Veranstaltung können auf der Flickr Seite von Symposia Concepts betrachtet werden. Alle weiteren Informationen bzgl. der Amazon Web Services User Group befinden sich auf der dazugehörigen Webseite Der Vortrag von Ralph Rebske steht auf dem Slideshareaccount von Symposia Concepts zum Download bereit. 6
SymposiaJournal
Veranstaltungen
SymposiaJournal
01/2011
7
01/2011
8
Geek and Poke
SymposiaJournal
Cloud Computing Basics
01/2011
The Private Cloud Revolution
Meeting the challenge of provisioning development & test Developing and testing mission-critical applications has never been an effortless undertaking. In recent years, however, deploying scalable and secure solutions has become even more complex. The result: developers and quality assurance professionals have been hard-pressed to keep up, and increasingly turn to unorthodox, unsafe procedures to get their jobs done. Fortunately, virtualization paired with private clouds offers a way out of this predicament. In this article, which is intended for anyone running an IT organization or tasked with developing or testing software, we’ll enumerate some of the challenges faced during these processes, along with some of the expensive and insecure workarounds that have been employed to surmount these obstacles. We’ll then explain how self-service, private cloudbased solutions from Eucalyptus can streamline operations, reduce both cost and risk, and most importantly: help developers and testers perform their daily responsibilities more effectively.
Barriers to Efficient Software Development and Testing Software development and testing professionals are burdened by reduced budgets that have failed to keep up with their workload, shortened schedules driven by new paradigms such as agile development, and a general philosophy of ‘do more with less’. These pressures are found everywhere, but are particularly prevalent in large enterprises and governmental organizations, where distributed teams combined with globalized outsourcing further complicate the picture. To make matters worse, modern software environments are multifaceted, and feature many intricate components. These include various flavors of operating systems like Linux, Windows, and Mac OS, development environments such as Eclipse and Visual Studio, numerous types of databases including Oracle, SQL Server, and PostgreSQL, collections of integrated technologies such as LAMP (Linux, Apache, MySQL, and PHP), and a variety of assorted application servers, Web servers, and other middleware. SymposiaJournal
9
01/2011
Cloud Computing Basics
All of these factors have coalesced to make provisioning software development and testing computers more difficult than ever before. Yet despite these headaches, these processes are carried out using many of the same methods as they have for decades. For example, functional and load testing are both crucial prior to placing an application or Web service into production. To accurately test these solutions it’s essential to replicate the configurations that will be found in production. To support their efforts, developers and testers look to IT to provide and configure these environments. Sadly, these solicitations are often unfulfilled, for a variety of reasons including IT backlog, lack of budget, organizational policies, or the sheer complexity of the requested configurations. Even in those cases where IT is able to provide the desired formation, it’s often too late. Failing to adequately support the software creation and testing processes is painful to the entire organization. Applications don’t ship on time, or contain numerous errors. Correcting these problems and delays can be costly, and degrade the enterprise’s ability to quickly respond to competitors and market realities. Faced with these impediments, developers and testers must either find a way to work around them and thus satisfy their job responsibilities, or miss their deadlines and suffer the consequences. As we’ve seen with the rapid adoption of Software as a Service (SaaS), Cloud Computing is a well-proven technique for surmounting internal barriers. This trend has now extended to software developers and testers. In numerous instances, they use their own credit card to create an Amazon Web Services account. This gives them access to as many offsite virtual machines as they’re willing to pay for. Once the account is set up, the next step is to upload, install, and configure any necessary supporting software components, followed by internally-developed software and test data. In fact, it’s becoming more common for developers to write their applications on these public cloud-hosted computers. While this workaround demonstrates dedication to getting the job done and helps expedite the process of preparing software for production, there are many risks to following this approach. These include loss of control for the organization, software licensing issues (including potential liability), and unexpected costs. In addition, there is significant exposure related to storing intellectual property and sensitive test data offsite. Fortunately, two separate, yet inter-related technologies have arisen to address the needs of enterprises seeking to resist the move towards uncontrollable public cloud adoption.
Self-service Provisioning with Eucalyptus Enterprise Edition Virtualization and private clouds are two complementary techniques that offer a better way to manage essential software development and testing tasks without introducing the risks inherent in using the public cloud. First, virtualization makes better use of scarce physical resources such as computers and storage systems. Administrators are free to configure the machine images to exactly match the requirements for the job at hand. These images may then be reused as often as needed. However, virtualization by itself isn’t enough: if IT is unable to provide sufficiently rapid turnaround, developers and testers will continue to use the public cloud to meet their needs. 10
SymposiaJournal
Cloud Computing Basics
01/2011
Fortunately, private clouds augment virtualization to deliver the same benefits of public clouds while remaining within the enterprise’s control. This reduces risk and helps manage cost. As an added benefit, as long as a standards-based private cloud has been chosen, administrators are free to extend their virtualized environment into the public cloud. As we’ll see in the next section, Eucalyptus-based private clouds let management equip their teams with the proper tools to do their jobs more securely and cost-effectively than using ad-hoc procedures. Eucalyptus uses existing IT resources without needing any modifications, special hardware, or other costly and time-consuming alterations. To maximize portability, it works with hypervisors from all major virtualization platforms, including Xen, KVM, vSphere, and ESX/ESXi. To further enhance interoperability, Eucalyptus automatically converts virtual machine images to different hypervisors including Amazon’s Elastic Compute Cloud (EC2). Storage technologies such as iSCSI, Storage Area Networks (SAN), and Network Attached Storage (NAS) are all capable of being managed from within the Eucalyptus private cloud. In keeping with the theme of flexibility combined with proper security, administrators are able to assign fine-grained control over key resources, at the user, group, and role levels.
About Eucalyptus Inc. Eucalyptus Systems develops the leading independent cloud computing platform. Today, Eucalyptus is the only cloud software that can deliver all the benefits of industry-standard public clouds such as Amazon EC2 on private IT infrastructure. Originally developed as part of an NSF-funded academic research project, Eucalyptus software has been deployed over 25,000 times across government organizations, academic institutions and private enterprises. It is available in two editions: open source Eucalyptus and the Eucalyptus Enterprise Edition (EE) — commercial, enterprise-grade infrastructure software designed for large-scale deployments. For more information about Eucalyptus, please visit http://www.eucalyptus.com.
SymposiaJournal
11
01/2011
Cloud Computing Basics
AWS Multi-Factor Authentifizierung von Björn Böttcher
Um Daten vor dem Zugriff anderer zu schützen, sind tokenbasierte Authentifizierungen im Unternehmensumfeld schon seit langem ein gutes Mittel. Doch wie sieht es im Cloud-Bereich aus? AWS hat in diesem Feld das sogenannte AWS Multi-Factor Authentication (MFA) System eingeführt. Doch wie funktioniert es? Ist es sinnvoll dieses Art der Authentifizierung zu wählen? Im Prinzip ist das System sicherlich für den Einsatz in großen Unternehmen gedacht gewesen. Aber ist es dort sinnvoll einsetzbar? Wenn eine Firma über mehrere Konten also mehrere E-Mail Adressen und Passwörter - verfügt, hätte damit jeder Mitarbeiter des Unternehmens einen Zugang zu dem System. Amazon Web Services stellen im Moment einen Standard im Bereich der Cloud Computing Infrastrukturanbieter dar. Doch wie sieht es mit der Sicherheit aus? Ist meine Anwendung und mein Unternehmen sicher, wenn der Zugang nur mit einem einfachem Passwort geschützt ist? Eine Alternative bietet die sogenannte Multi-Factor Authentification. Dabei handelt es sich um ein tokenbasietes Authentifizierungsverfahren. Das Verfahren basiert dabei auf der OATH Referenzarchitektur für zeitabhängige Einmalpasswörter. Das zur Verifizierung genutzte Gerät beinhaltet dabei eine sehr präzise Uhr. Bei der Registrierung eines neuen Gerätes wird dieses mit dem eigenen AWS Konto synchronisiert. Wenn dieser Vorgang abgeschlossen ist, erzeugt das Gerät auf Knopfdruck einen numerischen Pseudocode berechnet aus der aktuellen Zeit und der unikalen Seriennummer des Gerätes. Zwischen einem Gerät und einem AWS Konto besteht eine 1 :1 Beziehung. Dies ist damit schon eine erste Restriktion an diese Art der Authentifizierung. Es gibt keine Redundanz und das Gerät und somit der Zugang zu den Systemen ist durch und an ein einziges Gerät gebunden. Im Fall von Amazon Web Services ist das Gerät sogar noch an einen Anbieter gebunden: Gemalto. 12
SymposiaJournal
Cloud Computing Basics
01/2011
Die sogenante Two-Factor Authentification funktioniert in der Anwendung in der ersten Stufe über die E-Mail Adresse und einem hinterlegten Passwort. Im zweiten Schritt muss dann der von dem Gerät erzeugte sechs-stellige Code eingegeben werden. Erst jetzt ist man erfolgreich angemeldet. Diese Art der Authentifizierung wird auch von Tools anderer Anbieter wie z.B. Cloud Berry Explorer unterstützt. Wenn die MFA einmal für ein Konto aktiviert worden ist, so muss diese auch immer mit diesem Konto genutzt werden, bis sie wieder nach erfolgreicher Anmeldung deaktiviert worden ist.
Wenn ich das Gerät verloren habe oder die Batterie leer ist, dann habe ich nur noch die Möglichkeit auf meine Kontoeinstellungen zuzugreifen, indem ich mich von Amazon als Besitzer des Kontos verifizieren lasse. Dies geschieht in der Regel über einen Anruf auf der bei Erzeugung des Kontos hinterlegten Telefonnummer. Was auch ohne das Gerät weiterhin funktioniert sind Tools, die über die API auf AWS zugreifen. So kann man z.B. mit Tools wie Decaf EC2 Client auch ohne MFA Gerät auf seine Server zugreifen und diese überwachen. Diese Tools ermöglichen mir beispielsweise einen Server zu starten oder stoppen. Nur wenn ich auf meine Kontoeinstellungen und meine Sicherheitseinstellungen zugreifen möchte, dann muss ich mich über die Two-Factor Authentifizierung anmelden.
Dies kann auch ein Vorteil sein, wenn ich Abrechnungsdetails oder Konteninformationen nicht mit allen Entwicklern meiner Firma teilen möchte, ihnen jedoch grundsätzlich Zugang zu Cloud Computing Ressourcen zur Verfügung stellen möchte. Ebenso wie die Kontoinformationen sind auch die X.509 Zertifikate, die Zugriffsschlüssel und die Amazon CloudFront Schlüsselpaare geschützt. Dies ermöglicht auch Kunden einen Zugang zu Ressourcen über Tools oder Demoversionen zugänglich zu machen und diese wieder entfernen zu können, ohne das der Kunde direkten Einfluss nehmen könnte, oder sich gar Zugang zu dem System verschaffen könnte. Denn wenn die Zugriffsschlüssel gelöscht bzw. deaktiviert sind, dann kann der Kunde auf das System nicht mehr zugreifen. SymposiaJournal
13
01/2011
Cloud Computing Basics
Dies könnte er sicherlich auch ohne AWS-MFA Verfahren. Der Mehrwert ergibt sich aber z.B. durch die folgende Situation: Kunde X bekommt eine Präsentation im eigenen Hause und der Sales Manager zeigt auch ein wenig hinter den Kulissen, was auf Seiten von Amazon Web Services alles passiert, um das nötige Vertrauen zu schaffen. Dabei ist er jedoch ein wenig zu forsch und gibt anstelle der E-Mail Adresse das Passwort ein. Im Fall ohne AWS-MFA Verfahren, hätte der Kunde X solange Zugriff auf das Konto, bis das Kennwort wieder geändert wird. Wenn es am Abend nach der Demonstration noch zu einem gemeinsamen Abendessen geht, so kann diese Zeitspanne schon kritisch lang sein. Mit AWS-MFA kann dies nicht passieren, da das Konto weiterhin geschützt ist. Ist das AWS-MFA Verfahren damit für den Unternehmenseinsatz geeignet? Nun diese Frage lässt sich nur eindeutig beantworten, wenn man das Unternehmen kennt, um das es bei dieser Fragestellung geht. Eine einfache und allgemeingültige Antwort gibt es nicht. Es ist jedoch so, dass für größere Unternehmen dieses Verfahren eher ungeeignet ist. Für diese Unternehmen empfiehlt es sich eher das neuere Identity- and Accessmanagement Verfahren zu evaluieren, oder zu prüfen, ob nicht sogar eigene Authentifizierungsverfahren integriert werden können. Für kleine Unternehmen mit nur einem Administrator ist dieses Verfahren jedoch sehr empfehlenswert. Es ist also wie mit vielen Dingen momentan im Cloud Computing Umfeld: Es profitieren die jungen Start-Ups – noch.
Über Björn Böttcher Björn Böttcher war als Microsoft Student Partner an der Technischen Universität Hamburg-Harburg tätig und hat sich schon während seines Studiums als Freelancer in vielen Projekten aktiv in der Wirtschaft um informationstechnologische Umsetzungen gekümmert. Nach seinem Abschluss als Diplom Informatik-Ingenieuer promoviert er bei der Parallel Computing Group an der TUHH im Cloud und Grid Umfeld. Das Interesse an der Wissensvermittlung hat er schon früh während seiner Ausbildung zum Reserveoffizier entwickelt und bis nach dem Studium erhalten und intensiviert.
14
SymposiaJournal
01/2011
Cloud Computing Basics
Cloud Computing vs. eigene IT-Infrastruktur von René Büst
Cloud Computing Anbieter stellen Unternehmen erweiterbare, zuverlässige, flexible und kostengünstige Plattformen für Cloud Services zur Verfügung. Viele Unternehmen setzen bereits Cloud-Anwendungen erfolgreich ein. Andere befinden sich derzeit in der Bewertungsphase um die Kosten und Nutzen einer Umstellung der gesamten IT-Infrastruktur auf Cloud-Computing zu evaluieren. Dieser Artikel beschreibt die beim Cloud Computing entstehenden Kosten im Vergleich zu den Kosten der klassischen IT-Infrastrukturen. Dazu wird ein Vergleich der Betriebskosten wie z.B. Hardware, Datenhaltung, Sicherheit, Strom und Personal angestellt. Neben den direkten Kosten werden ebenfalls die indirekten Kosten für den Betrieb eines Rechenzentrums diskutiert.
Direkte Kosten Nutzung bestehender Hardware
Die Serverauslastung in klassischen unternehmenseigenen Rechenzentren liegt im Jahresmittel bei einem Maximum von ca. 20%. Investitionen in Virtualisierungstechnologien (bspw. der Aufbau einer Private Cloud) können die Serverauslastung verbessern. Dennoch haben Umfragen unter IT-Entscheidern ergeben, dass der maximale Nutzungsgrad durch Virtualisierung den Wert von 25% nicht übersteigt. Die Nutzung bestehender Hardware gehört zu den Kernkompetenzen von Cloud Computing Anbietern, wodurch Unternehmen einen enorm Vorteil erhalten können. Auf Basis der Preismodelle des Cloud Computing, bei der die Abrechnung nach der tatsächlichen Nutzung erfolgt, kann eine Auslastung von 1 00% erreicht werden. Der Cloud Computing Anbieter erzielt wiederum seinen Benefit über einen großen Kundenstamm, um damit die Gesamtauslastung seiner eingesetzten Hardware zu optimieren. Die Lastverteilung innerhalb der Systeme des Cloud Anbieters findet auf Basis von Kunden aus unterschiedlichen Branchen statt. Die Anforderungen der jeweiligen Kunden 16
SymposiaJournal
Cloud Computing Basics
01/2011
divergieren, wodurch sich Lastspitzen- und einbrüche über einen Tag gegenseitig ausgleichen. Bspw. gibt es Unternehmen, deren Webshop am Tag Hochkonjunktur hat. In der Nacht dagegen aber wenig besucht wird. Und Unternehmen, die in der Nacht ihre Batchverarbeitungen durchführen, dafür am Tag aber minimale Ressourcen benötigen. Hinzu kommt, dass Cloud Anbieter auf Grund einer hohen Kundenanzahl höhere Investitionen in ihre Infrastruktur vornehmen können, als es ein einzelnes Unternehmen tätigen könnte, was die Effizienz der Infrastruktur erhöht und wiederum allen Kunden zugutekommt. Mit Cloud Computing Konzepten wie das Auto Scaling oder das Elastic Load Balancing wie es z.B. die Amazon Web Services anbieten, haben Unternehmen die Möglichkeit ihre genutzten Ressourcen je nach Bedarf automatisch zu skalieren und damit eine Auslastung von nahezu 1 00% zu erzielen.
Kosten der Hardware
Unternehmen investieren über Jahre hinweg viele Millionen Euro in die Erweiterung und Wartung ihrer Infrastruktur. Dazu gehören die Anfangsinvestitionen in die Rechenzentren und die zwingend erforderliche technologische Aufrüstung aller Systeme. Ab einem Zeitpunkt bleiben die Kosten zwar gleich, was sich aber ebenfalls auf die Leistung der Systeme auswirkt. Cloud Anbieter machen sich das Skalierungskonzept des Cloud Computing zunutze, indem sie sich eine immens große Hardwarelandschaft zu niedrigen Kosten aufbauen, von der ebenfalls die Kunden des Cloud Anbieters hinsichtlich der Kosten und Leistung profitieren. Weiterhin profitieren beide von dem Konzept des Pay-per-Use, da die Kosten für die Kühlung, sowie die Stromkosten eines einzelnen Systems von der Nutzung abhängig sind. Ein einzelnes Unternehmen hat in seinem eigenen Rechenzentrum nicht die Möglichkeit diese Kosten zu kontrollieren.
Wirtschaftliches Strommanagement
Um die Wirtschaftlichkeit des Strommanagement zu messen, wird die sogenannte Stromnutzungseffizienz betrachtet. Im Schnitt liegt diese in Rechenzentren bei ca. 2,5. Das bedeutet, dass jedes Watt an Strom, das für die Server verbraucht wird, 1 ,5 Watt an Fixkosten benötigen wird. Damit Unternehmen allerdings Strom sparen, müssen sie dafür sorgen, dass alle technischen sowie IT-Ressourcen auch dementsprechend eingesetzt werden. Unternehmen, die eigene Rechenzentren betreiben, stehen daher vor der Herausforderung, die Investitionen zu erhöhen, um die Effizienz der Stromnutzung zu erhöhen. Allerdings sehen viele nicht den Nutzen dieser Investitionen. Cloud Computing Anbieter hingegen investieren hohe Summen in ihre Rechenzentren, was dazu führt, dass die Effizienz weit über dem eigentlichen Durchschnitt liegt.
Redundanzeffekte
Unternehmen stehen immer mehr vor der Herausforderung, über eine zuverlässige und hochverfügbare IT-Infrastruktur zu verfügen. Dazu benötigen sie neben zuverlässigen SymposiaJournal
17
01/2011
Cloud Computing Basics
Sicherheits- und Speicherlösungen ebenfalls eine zuverlässige Netzwerkinfrastruktur inkl. redundanter Hardware sowie Transitverbindungen und physikalischen (Backup)-Leitungen zwischen den einzelnen Rechenzentren. Dieses Konzept ist nicht mit einer gewöhnlichen RAID Konfiguration zu vergleichen. Weiterhin müssen neben einer Sicherung und der Bereitstellung einer zuverlässigen Netzwerkinfrastruktur auch ein Konzept für ein Worst-Case Szenario vorhanden sein. Dazu gehört das Bereitstellen von Daten (Informationen) und Applikationen in mehreren verteilten Rechenzentren auf Basis einer hochverfügbaren Software oder bekannten Hotoder Cold Standby Konzepten. Um ein vollständiges Backupkonzept zu realisieren ist es unumgänglich dazu alle aktiven vorhandenen Rechenzentren und die darin betriebenen Server ständig zu nutzen. Sollte ein Rechenzentrum nicht dauerhaft in Betrieb sein, wird es in dem Moment da es benötigt wird, nicht wie erwartet zur Verfügung stehen und betriebsbereit sein. Die Kosten und die Komplexität hinter diesem Konzept dürfen dabei von den Unternehmen nicht vernachlässigt werden. Cloud Computing Anbieter können das oben genannte Konzept auf Basis der breiten Kundenbasis bereitstellen und dazu mehrere Verfügbarkeitszonen anbieten. So verfügen bspw. die Amazon Web Services über die sogenannten Availability Zones.
Sicherheit
Ein beliebter Punkt der auf Grund von Kosten von Unternehmen gerne vernachlässigt wird, ist das Sicherstellen, der Schutz und die Verfügbarkeit der Unternehmensdaten, die im Regelfall unternehmenskritisch sind. Zu den Investitionen gehören dabei Netzwerkhardware und Softwarelizenzen zur Erhöhung der Sicherheit, Kosten für das Personal, Kosten durch Vorgaben von Behörden und physikalische Sicherheitsvorkehrungen wie Chipkarten etc.
Optimierte Bereitstellung
Klassische Rechenzentren sind nicht hinsichtlich der Skalierbarkeit konzipiert. Das führt zu Kapazitätsproblemen, die auf Grund zeitlicher Diskrepanzen von der Bestellung der Hardware bis zur Installation und Bereitstellung entstehen. Ein vollständiger Bereitstellungsprozess kann schon einmal mehrere Monate in Anspruch nehmen. Unternehmen “lösen” diese Probleme, indem sie ihre Infrastruktur überdimensionieren. Das führt allerdings zu höheren Kosten und treibt die Uneffizienz des Rechenzentrums voran, da dadurch viele Systeme einfach nicht benötigt werden. Cloud Computing Anbieter können sich auf Grund einer breiten Kundenbasis eine Überdimensionierung ihrer Kapazitäten leisten. Sie nutzen dazu Skaleneffekte und haben damit bessere Verhandlungsmöglichkeiten mit ihren Zulieferern und können damit ihre Investitionen amortisieren.
Mitarbeiter
Mitarbeiter in einem Rechenzentrum gehören, auch wenn es nicht offensichtlich ist, heutzutage zu den wichtigeren Personen im Unternehmen. Diese verursachen natürlich auch Kosten. Die Arbeit in einem Rechenzentrum sollte aber nicht unterbewertet werden. Das Personal ist hier neben der Verwaltung der heterogenen Serverlandschaft für das Sicherstellen neuer Systeme etc. und den Entwurf neuer Rechenzentrumskonzepte 18
SymposiaJournal
Cloud Computing Basics
01/2011
zuständig. Weiterhin müssen die Verträge mit Zulieferern immer wieder neu verhandelt und die Skalierbarkeit des Rechenzentrums sichergestellt werden. Weiterhin muss 7x24x365 ein Team in jedem Rechenzentrum vor Ort sein, um den reibungsfreien Betrieb zu garantieren, der für ein Unternehmen heutzutage unerlässlich ist.
Indirekte Kosten Wartung und Betrieb
Die Betrachtung der direkten Kosten sollte nicht vernachlässigt werden. Jedoch sollte nicht der Fehler gemacht werden, die indirekten Kosten nicht zu betrachten. Dazu gehören die Kosten für den Betrieb und die Wartung der Infrastruktur. Für die Verwaltung einer heute gängigen hochverfügbaren IT-Infrastruktur ist ein entsprechend ausgebildetes Personal notwendig. Das führt dazu, dass Unternehmen hier mehr in das Personal investieren müssen, um die Risiken zu minimieren, dabei aber den Fokus auf ihre Chancen zur Erweiterung ihres Kerngeschäfts verlieren.
Erweiterung
Die IT-Budgets vieler Unternehmen werden immer mehr gekürzt, wodurch nicht ausreichend Kapital zur Verfügung steht, um die Infrastruktur nach den gewünschten und eigentlich benötigten Bedürfnissen auszubauen. Aus diesem Grund werden die meisten Projekte nicht realisiert.
Neue Chancen
Auf Grund der Flexibilität einer Cloud Infrastruktur erhalten Unternehmen die Gelegenheit, ihre Kernkompetenzen direkt umzusetzen und neue Ideen und Projekte zu testen. Weiterhin sollte die Skalierbarkeit einer Cloud Infrastruktur nicht vernachlässigt werden. So können Webseiten Lastspitzen z.B. zu Weihnachten ohne bedenken überstehen. Forschungsunternehmen haben die Möglichkeit sich Rechnerleistungen für umfangreiche Simulationen zu mieten, ohne dabei in eigene Ressourcen zu investieren.
Fazit
Cloud Computing sollte nicht nur als ein Konzept betrachtet werden um Kosten zu minimieren. Unternehmen erhöhen damit deutlich ihre Produktivität und können im Vergleich zum eigenen Rechenzentrum flexibler und schneller reagieren, indem sie Ressourcen on-Demand nutzen können.
Über René Büst René Büst ist Cloud Computing Evangelist & Stratege, Cloud Architekt & Trainer, Analyst, Managing Director von Symposia Concepts und Gründer & Autor von CloudUser | Ξxpert. Er hat ein Informatik Diplom der Hochschule Bremen und ist Cand. M.Sc. in IT-Management an der FHDW Paderborn.
SymposiaJournal
19
01/2011
20
Geek and Poke
SymposiaJournal
Cloud Computing Meinung
01/2011
Die Herausforderung für etablierte Unternehmen von Hans-Christian Boos
Cloud Computing hat sich vom technischen Experiment schon lange weg entwickelt und findet in den Chefetagen viel Beachtung, weil die betriebswirtschaftlichen Auswirkungen einer On-Demand Umgebung verlockend sind. Das erklärt auch die Bemühungen etablierter Unternehmen, die Prozesse so auszurichten, dass man geschäftlich von den unterschiedlichen Ansätzen des Cloud Computing profitieren kann. Das Interesse für Cloud Computing auf den Führungsebenen hat auf der anderen Seite die Wirkung, dass jeder IT Hersteller seine Produkte in „Cloud“ umbenennt – leider meist ohne tatsächlich die Skalierbarkeit oder On-Demand Anforderungen konzeptionell umzusetzen. Eines ist klar: Jeder, der heute IT im Hause hat, ist vom Cloud Virus befallen und jeder der IT anbietet, will auf den Zug aufspringen. Dieser Beitrag erläutert realistisch, warum Cloud Computing neuen Unternehmen einen erheblichen Marktvorteil verschafft, warum der Weg in die Cloud für etablierte Unternehmen ein steiniger ist und warum das Thema Migration – auch wenn in den enthusiastischen Cloud Diskussionen nicht oft angesprochen – der entscheidende Faktor für nachhaltigen Erfolg für etablierte Unternehmen sein kann.
Der geschäftliche Nutzen von Cloud ist offensichtlich
Egal welche Cloud Philosophie man verfolgt oder über welche der Cloud Ansätze man liest. Das Ziel ist es, immer IT Services so anzubieten, dass diese nach Bedarf verfügbar gemacht werden und dementsprechend auch nach Bedarf bezahlt werden. Die verschiedenen Cloud Ansätze (z. B. IaaS, SaaS, PaaS, etc.) unterscheiden sich dabei lediglich von der Fertigungstiefe, in der dieses Modell angewandt wird. Bei Iaas (Infrastructure as a Service) ist die geringste Fertigungstiefe, weil man tatsächlich bisher physische Hardware durch dynamisch buchbare virtuelle Hardware ersetzt. Bei SaaS (Software as a Service) ersetzt man komplexe individuelle Entwicklungen durch standardisierte Anwendungen von deren Entwicklung und Pflege ein ganzer Kreis an Benutzern profitiert und bei PaaS (Plattform as a Service) reduziert man die SymposiaJournal
21
01/2011
Cloud Computing Meinung
Fertigungstiefe sogar auf das Niveau der Geschäftsprozessunterstützung. Gemeinsam haben diese Ansätze alle, dass man eine Überinvestition in grundlegende IT Ressourcen oder Entwicklungen verhindern will und stattdessen lieber die notwendigen Ressourcen genau dann einkauft, wenn diese gebraucht werden. Das mag sich nach einem technologisch verspielten Ziel anhören, allerdings sollte man sich aber folgendes vor Augen führen: Auf Seiten der Infrastruktur nutzen die meisten etablierten Unternehmen durchschnittlich unter 1 0% und im Maximum nicht einmal 20% ihrer vorhandenen IT Ressourcen. Folglich wären zwischen 80% und 90% aller Anschaffungen in diesem Bereich vollkommen unnötig. Hierin sieht man den enormen betriebswirtschaftlichen Hebel, der sich hinter dem Thema Cloud Computing versteckt. Genau aus diesem Grund ist der zynischen Aussage, dass Cloud Computing die Ankunft der aller ersten IT Konzepte in der Finanzabteilung sei (bereits die Hosts in den 70 Jahren arbeiteten mit Virtualisierung), einiges abzugewinnen. Formuliert man die Ergebnisse der Nutzung von Cloud Computing im vorgesehenen Sinne – und die Geschäftsmodelle der meisten Anbieter bilden diesen noch nicht zu 1 00% ab – kurz, bedeutet Cloud Computing eine Reduktion der notwendigen Investitionen in IT Assets um mindestens 80%. Es ist also offensichtlich: Wer einem solch gravierenden Vorteil nicht folgen kann, der kann künftig unmöglich eine nachhaltig erfolgreiche Marktposition besetzen.
Für die Jugend ist der Himmel näher
Es überrascht nicht, dass junge Unternehmen (Startups) es leichter haben, von solchen neuen Konzepten zu profitieren. Und dazu muss man gar nicht die Psychologie bemühen, die besagt, dass Menschen sich nur unter Druck aus der Komfortzone bewegen und etablierte Verfahren ändern. Ein junges Unternehmen kann schlicht und einfach die Entscheidung treffen, wie es sich im Bezug auf IT Architektur, Datenhaltung, Softwarenutzung, Fertigungstiefe in der IT etc. aufstellen will und diese Entscheidungen einfach umsetzen. In einem etablierten Unternehmen kann die Entscheidung über das Ziel genauso schnell und einfach getroffen werden – auch wenn hier die Prozesse um eine Entscheidung zu finden alleine meist schon ungleich länger sind – aber die Umsetzung dieser Entscheidung ist ungleich komplizierter. Diese Komplexität rührt daher, dass man nicht einfach auf der grünen Wiese anfängt und IT so entwirft, wie man sie haben will. Es bestehen vielmehr etablierte IT Prozesse, die das Unternehmen auch jeden Tag zum Arbeiten braucht und diese sehr stark untereinander vernetzt sind. Will man nur für einen kleinen Teil dieser Landschaft Cloud Computing Prinzipien anwenden, hat das nicht nur Auswirkungen auf die betreffenden Dienste. Da bei einem Umzug diese anderen Diensten nicht mehr zur Verfügung stehen und ggf. keine Kompetenz im Betrieb oder in der fachlichen Nutzung vorliegt, kann das schnell Auswirkungen auf die gesamte IT des Unternehmens haben. Gerade durch den Vernetzungsgrad, den wir nicht nur dramatisch erhöht haben, sondern dessen Stabilität auch erheblich gesteigert wurde, wird die Einführung von Cloud Computing in etablierten, IT-fokussierten Unternehmen zu einer ungeheuren Herausforderung.
22
SymposiaJournal
Cloud Computing Meinung
01/2011
Von der technischen Herausforderung zum Existenzkampf
Die bisherige Ausführung beschreibt das Problem, in einer etablierten Umgebung eine notwendige Veränderung durchzuführen. Die Schwierigkeiten, die entstehen, wenn man diese Veränderung nicht ausführt, sollten aber noch plastischer sein: Angenommen ein großes deutsches Unternehmen hat ca. 5000 Anwendungen und ein Budget von 800 Mio. € p.a. in der IT und hat errechnet, dass allein durch die Nutzung einer Hybrid Cloud auf Infrastrukturebene ca. 1 00 Mio € p.a. für nicht benötigte Hardwareanschaffungen, nicht benötigte Lizenzen und nicht verbrauchte Energie eingespart werden können. Man entscheidet sich also dafür, unbedingt „dieses Cloud Zeug“ zu machen. Und stellt dann fest, dass man dazu alle 5000 Anwendungen zumindest im Sinne der Infrastruktur auf der diese laufen - zumindest umziehen und in einigen Fällen sogar anpassen muss. Jeder der schon einmal eine Migration zu einem Outsourcinganbieter mitgemacht hat, weiß was das bedeutet – sehr viel Arbeit und quasi Stillstand in der IT. Untersucht man den notwendigen Migrationsaufwand – nur in Zeit – und stellt fest, dass eine Anwendung ca. 3 Monate Migrationszeit hat. Bei 5000 Anwendungen sind das 1 500 Monate. Kann man 1 00 Projekte gleichzeitig durchführen – und das ist schon recht enthusiastisch – bleiben 1 50 Monate oder 1 2,5 Jahre. Die Idee in einem großen Unternehmen die IT für 1 2 Jahre lahmzulegen, dürfte im besten Falle mit einem milden Lächeln und im schlimmsten Falle mit dem Rauswurf des Architekten enden, der diese realistischen Schätzungen auf den Tisch legt. Und selbst wenn ein weit blickender Vorstand sich auf eine solche Migration einlassen würde, hat das Jungunternehmen, das dem Platzhirsch den Rang ablaufen will, 1 2 Jahre Zeit. 1 2 Jahre in denen der Platzhirsch wegen der Migration wenig IT Innovation erbringen wird und 1 2 Jahre in denen der Platzhirsch jedes Jahr 1 00 Mio. € ausgibt, die beim Jungunternehmen niemals als Kosten anfallen können.
Den gordischen Knoten der Migration durchschlagen
Es muss also eine Lösung für das Problem der Migration gefunden werden. Aber an diesem Problem arbeiten sehr viele Outsourcing-Anbieter und deren Kunden schon viele Jahre, denn ohne die aufwändigen Migrationen, wären die meisten Outsourcing-Projekte wesentlich profitabler und die Kunden wesentlich glücklicher, weil sie nicht mehr das Gefühl hätten, bei einem Dienstleister gefangen zu sein. Es erscheint also nicht realistisch, dass man eine Möglichkeit finden kann, mit der eine Migration wie oben beschrieben einfach in einem Monat erledigt ist. Man muss also nach einer Lösung suchen, die einerseits die Migrationszeit verkürzt und andererseits einen zusätzlichen Vorteil aus der durchgeführten Migration zieht. Wenn man eine etablierte IT Landschaft besitzt und es gut finanzierte Jungunternehmen gibt, die in den eigenen Markt eindringen wollen, erscheint das Unterfangen nachhaltig im Markt bestehen zu wollen, vielleicht hoffnungslos. Dies wird jedoch zu einer machbaren Herausforderung, wenn man das Problem der Migration hinreichend lösen könnte. Glücklicher Weise reagieren Unternehmen auf derartige Herausforderungen besser als die Politik dies meistens tut und packen sie tatsächlich an. SymposiaJournal
23
01/2011
Cloud Computing Meinung
Wissen und seine Anwendung sind die Lösung
Den Vorteil, den etablierte Unternehmen immer haben, ist das Wissen, das sie bei ihrer bisherigen Tätigkeit angehäuft haben. Wenn man es schafft, dass dieses Wissen eingesetzt wird, um Innovationen schneller nutzbar zu machen, so kann ein etabliertes Unternehmen immer einen gehörigen Vorteil gegenüber einem neuen Marktteilnehmer erwirtschaften. Aber was haben diese philosophischen Gedanken mit dem Thema IT Migration zu tun? Bei einer Migration wird gewöhnlicher Weise das gesamte Wissen über die zu migrierende Anwendung, ihren geschäftlichen Nutzen, ihre Abhängigkeiten zu anderen Anwendungen, ihre Infrastruktur aufgearbeitet, übergeben und dafür genutzt, die Anwendung in einer neuen Umgebung wieder zum Laufen zu bekommen. Schon einmal klar, warum Migrationen etwas mit Wissen zu tun haben. Die Frage, wie diese Erkenntnis die Migrationszeit reduzieren kann und gleichzeitig einen weiteren Vorteil für das folgende Geschäft etablieren kann, ist aber noch nicht beantwortet. Dazu muss man sich den typischen Business Case eines Outsourcingdeals ansehen: Bei diesem wird davon ausgegangen, dass wenn man einmal die zu übernehmenden Applikationen verstanden hat, eine bessere Cost-Income-Ratio dadurch erzielt werden kann, weil Teile dieses Wissens bereits verfügbar sind. Dadurch kann man damit nicht nur die Skaleneffekte verbessern, sondern da sich aus der Kombination des bestehenden und neuen Wissens neue Leistungen ergeben, den Marktauftritt verbessern. Nur bei einer Migration der gesamten IT, wie es für Cloud Computing notwendig ist, geht diese dauerhafte Verbesserung der Kosten nicht auf, weil schlicht und einfach der Markt fehlt, der die Umsetzung der Kostenverbesserung in zusätzliche Marge oder weitere Projekte ermöglicht. Umgekehrt kann man das bei einer Migration anfallende Wissen anwenden, um andere Teile der Migration zu automatisieren und damit Migrationszeiten zu verkürzen. Außerdem kann man dieses Wissen dann gleichzeitig auf den Betrieb der migrierten Umgebung anwenden. Dadurch senken sich die Migrationskosten nicht nur um den „Cloud Faktor“, sondern auch noch um den Wissensfaktor: Mit der richtigen Methode, die zur Automation pures Wissen nutzt und dieses Wissen damit skalierbar macht, kann man den eigentlichen Overhead der Migration – den Transfer von Wissen – in einen dauerhaften Vorteil verwandeln. Das Schlüsselwort für den Weg etablierter Unternehmen in die Cloud ist also Automation. Damit ist aber nicht Automation gemeint, wie sie schon seit 4 Jahren in der IT angewendet wird, sondern Automation, die Wissen aufnimmt und dieses dynamisch auf neue Umgebungen und Situationen anwendet, so dass die Automation nicht die Standardisierung erzwingt – die in sich wieder aufwändig ist – sondern die Weiterentwicklung und Innovation unterstützt.
24
SymposiaJournal
Cloud Computing Meinung
01/2011
Über Hans-Christian Boos Hans-Christian Boos gründete 1 995 das Unternehmen arago - Institut für komplexes Datenmanagement AG. In seinen Verantwortungsbereich fallen die technischen Geschäftsbereiche des Systembetriebs und der Produktentwicklung sowie die strategische Ausrichtung des Unternehmens. Er studierte Informatik an der Eidgenössischen Technischen Hochschule (ETH) in Zürich sowie an der Technischen Hochschule Darmstadt. Seinen beruflichen Werdegang begann er anschließend im Finanzbereich. Heute ist er neben seiner Funktion bei arago als Aufsichtsrat und Berater bei verschiedenen Unternehmen und Organisationen tätig. HansChristian Boos ist Autor zahlreicher Fachpublikationen zu den Themen IT Automatisierung, Information Modelling und IT-Strategien und gefragter Gesprächspartner der Medien im Bereich Cloud Computing. Unter anderem wurde er vom renommierten Economic Forum Deutschland mit dem National Leadership Award für herausragende Leistungen in der ITBranche ausgezeichnet.
SymposiaJournal
25
01/2011
Cloud Computing Meinung
Cloud Computing – Motor der IT von Dr. Martin Reti
Für die einen ist es der Stein der Weisen, ein neues IT-Paradigma, für die anderen eine neue Sau, die durchs globale IT-Dorf getrieben wird und für die größten Skeptiker ist es nur alter Wein in neuen Schläuchen – und alle zusammen meinen Cloud Computing, eine Weiterentwicklung der Virtualisierung in ein neues Geschäftsmodell. Bei kaum einem anderen IT-Thema gehen die Meinung momentan weiter auseinander. Eine Ursache dafür lässt sich in der Vielzahl der konkurrierenden Definitionen finden, eine andere darin, dass immer mehr Anbieterfirmen unterschiedlichster Couleur das Thema für sich entdecken und ihre Services auch unter den Mantel der Cloud ordnen.
Potenzial für Umwälzung
Dabei hat gerade Cloud Computing, wie der Bitkom in seinen Leitfäden feststellt, das Potenzial für eine echte Revolution – und zwar nicht nur in der IT-Branche, sondern für das Geschäftsleben insgesamt. Durch die Bank sehen auch Analysten das große Potenzial, das Cloud Computing innewohnt. IDCs Frank Gens geht sogar so weit, Cloud Computing als den Motor für die nächsten zwanzig Jahre der IT-Branche zu bezeichnen. Und auch die IT-Entscheider in den Unternehmen bestätigen diese Ansicht: In der Studie LIFE2 unter Federführung von Prof. Dr. Tobias Kretschmer der LMU München artikuliert die Hälfte der Befragten, dass Cloud Computing zur dominierenden Sourcingvariante werden wird, weitere zehn Prozent gehen noch einen Schritt weiter: Sie postulieren eine komplette Abkehr von eigener IT. „T-Systems summiert diese Entwicklungen als einen Trend zum Dynamic Net-Centric Sourcing. Darunter verstehen wir einen dynamischen Bezug von ICT-Ressourcen adaptiert an das aktuelle Business des Kunden – mit einer entsprechenden Flexibilisierung der Kosten“, ergänzt Dr. Michael Pauly, bei T-Systems einer der Experten für Cloud Computing.
26
SymposiaJournal
Cloud Computing Meinung
01/2011
Mit seinen zentralen Versprechen der Kostenreduktion, Flexibilisierung, Geschwindigkeit und Einfachheit adressiert Cloud Computing aktuelle Herausforderungen aller ITVerantwortlichen. Mehr Flexibilität in Business und IT zu erhalten bei geringeren bzw. flexiblen Kosten – wer würde da nicht aufhorchen? Tatsächlich hat Cloud Computing in einigen Projekten schon bewiesen, wozu es fähig ist. In einem legendären Szenario hat die New York Times 11 Mio. Texte und Bilder in das pdf-Format konvertiert – zu einem Bruchteil der Kosten eines klassischen IT-Projekts. Viele andere Unternehmen, vor allem in den USA, greifen bereits auf Dienste wie Infrastructure as a Service oder Software as a Service zurück.
Cloud ist nicht gleich Cloud
Häufig bestehen bei den IT-Entscheidern jedoch Bedenken gegenüber Cloud Computing. Und das nicht ohne Grund: In der aktuellen Diskussion um Cloud Computing rangieren Themen wie Compliance, Rechtsrahmen oder Datenschutz ganz weit oben. Tatsächlich dürfen personenbezogene oder auch steuerrelevante Daten nicht ohne weiteres über Landesgrenzen oder zu Subunternehmern verschoben werden. Während die Public Cloud hier schnell an ihre Grenzen kommt, versprechen Private Clouds eine Lösung. Hier kann auch kundenindividuell vereinbart werden, dass beispielweise ausschließlich Ressourcen innerhalb bestimmter Rechtsräume eingesetzt werden. Und in Private Clouds ist auch der dynamische Betrieb von unternehmenskritischen Services möglich, weil Service Levels vereinbart werden können. Abgesehen davon, dass der Kunde keine Abstriche an der Funktionalität hinnehmen muss. „Im Jahr 2004 sind wir mit unserem Dynamic Services Angebot gestartet“, erläutert Pauly. „Dieses bildet genau die Ansprüche ab, die Großunternehmen an moderne ITDienstleister haben und im Cloud Computing kristallisieren: Flexible Bereitstellung und Bezahlung von IT-Services, die das Investitionsrisiko dramatisch senken“. T-Systems betreibt insbesondere SAP-Applikationen auf dieser Basis – und das für weit mehr als 1 00 Großunternehmen wie Shell, Linde, MAN oder die Deutsche Telekom. Sie nutzen etwa 1 5 Mio. SAPS für knapp 2 Mio. Nutzer. Ende 201 0 betrieb der ICT-Dienstleister rund 75% seiner SAP-Systeme dynamisch – was SAP mit einer Zertifizierung zum SAP Cloud Hoster kürte. Aber auch andere Standardanwendungen erobern die dynamische Plattform immer weiter. „Die Nachfrage nach bedarfsgerechten IT-Leistungen lässt sich nicht wegdiskutieren“, resümiert Pauly. Aber Dynamik und Kostenreduktion sind nur eine Seite der Medaille – im Businessumfeld müssen Anbieter die Sicherheit und Zuverlässigkeit der Outsourcing-Welt mit den Möglichkeiten der neuen Cloudwelt für ihre Kunden zusammenführen. Und wenn man über Cloud Computing spricht, ist es auch wichtig, über die Sicherheit und Belastbarkeit der Netze zu reden. Dann erweist sich ein Anbieter, der sowohl IT- als auch TK-Leistungen aus einer Hand erbringen kann, als gute Wahl. Denn dadurch können durchgängige Servicelevels für komplette Services vereinbart werden.
SymposiaJournal
27
01/2011
Cloud Computing Meinung
Nicht stehenbleiben
Wer in der IT-Branche stehenbleibt, der wird überholt. „Cloud Computing hat die Diskussion um dynamische IT-Dienste abermals massiv befeuert“, weiß Pauly. T-Systems hat sich deswegen entschlossen, seine Familie der Dynamic Services um ein kostengünstiges IaaS-Angebot zu erweitern: Dynamic Services for Infrastructure. Interessierte können den Dienst ausprobieren. Ende November 201 0 wurde er ITAnalysten präsentiert und erntete positive Kritiken. Im Gegensatz zu den Dynamic Services, die als Plattform mit integrierter Sicherheit unternehmenskritische Prozesse unterstützen, bietet der neue Infrastrukturdienst seinen Nutzern weitgehende Gestaltungsfreiheit. Innerhalb von Minuten werden virtuelle Maschinen mit dem gewünschten Betriebssystem bereitgestellt, auf denen beispielsweise Applikationen getestet oder entwickelt werden können. Dynamic Services for Infrastructure werden im Laufe des Jahres auch in einem „managed“-Modus angeboten, der komplette vorkonfigurierte Images inklusive Betriebssystem bietet. Auch auf der PaaS- und SaaS-Ebene erweitert T-Systems sein Servicespektrum: Mit Dynamic Services for Collaboration wird in der zweiten Jahreshälfte ein Officepaket aus der privaten Cloud verfügbar, mit Dynamic Services for SAP Projects werden in Minutenschnelle SAP-Landschaften für Test-, Entwicklungs- und Schulungszwecke über das Netz bereitgestellt.
Strategie entwickeln
Cloud Computing als neue Sourcingalternative stößt auch die Diskussion um den richtigen Sourcingmix wieder an. Auch wenn Cloud Computing schnell genutzt werden kann – der Sprung in die Cloud hat weit reichende Auswirkungen auf ein Unternehmen. So muss beispielsweise der Einkauf sich auf neue Prozesse einstellen, Nutzer müssen mehr Verantwortung auch für die Sicherheit übernehmen. Und die neuen Services müssen sich in die bestehende ICT-Landschaft integrieren. Dafür muss ein verbindlicher Rahmen geschaffen werden, sonst wird Cloud Computing schnell zum Albtraum. Mit dem Angebot der Cloud Readiness Services helfen Experten bei T-Systems, den richtigen Mix zu finden und die neuen Cloud Services mit der bestehenden ICT-Welt und den Businessprozessen zu versöhnen. „Ganzheitlich gedacht und implementiert bietet Cloud Computing Unternehmen bedeutende Chancen. Angst vor dem neuen Geschäftsmodell ist aber nicht angebracht – insbesondere, wenn man einen erfahrenen Partner an der Seite hat“, fasst Pauly zusammen.
Über Dr. Martin Reti Dr. Martin Reti, ein digitaler Imigrant, arbeitet im Solution Marketing von T-Systems und verfolgt das Thema Cloud Computing intensiv. Der Kommunikationsmann ist einer der Autoren des BitkomLeitfadens "Cloud Computing – Evolution in der Technik, Revolution im Business".
28
SymposiaJournal
01/2011
Cloud Computing Meinung
Datenschutzwerkzeuge für die Cloud von Sven Thomsen
Regelmäßig findet man in Artikeln oder einzelnen Presseerklärungen Aussagen wie „Datenschutz ist größtes Hindernis beim Cloud-Computing“ oder „CloudComputing mit Datenschutz nicht vereinbar“. Allein schon aufgrund der Vielfalt der heute dem Cloud-Computing zugerechneten Dienste und der unterschiedlichen Einsatzszenarien sind solche generellen Aussagen eher unangebracht. Vielmehr müssen Anwenderinnen und Anwender von cloud-basierten Diensten sich der Herausforderung stellen, solche Dienste mit bewährten Mitteln und erprobten Vorgehensweisen sicher und ordnungsgemäß zu betreiben. Es zeigt sich, dass beim Cloud-Computing datenschutzspezifische, zusätzliche Risiken betrachtet und angemessenen behandelt werden müssen. Der Großteil der in der aktuellen Diskussion dem Datenschutz zugeschriebenen Hindernisse liegt jedoch im Bereich der Datensicherheit und dem Controlling von Outsourcing. Im Folgenden werden vor allem Szenarien in den Vordergrund gestellt, die in der häufig anzutreffenden Typisierung wie zum Beispiel der CloudSecurityAlliance einer „Public Cloud“ zuzurechnen sind. Ansätze wie „Private Clouds“ oder „Community Clouds“ sind zwar auch mit spezifischen Risiken versehen, die Behandlung dieser Risiken ist jedoch durch die deutlich besseren inter- oder intra-organisationellen Steuerungsmöglichkeiten im Vergleich zu „Public Clouds“ deutlich einfacher. Die häufig angeführten Probleme im Zusammenhang mit mangelnder Transparenz und dem damit einhergehenden Kontrollverlust sind besonders stark ausgeprägt bei „Public Clouds“.
Verantwortung und Verträge
Grundlage jeglicher professioneller Geschäftsbeziehungen ist der schriftliche Vertrag. Ausnahmen hiervon mögen in Einzelfällen funktionieren, aber Vereinbarungen zu professionellen IT-Dienstleistungen trifft man besser nicht mit dem eher für Viehauktionen geeigneten „kaufmännischen Handschlag“. 30
SymposiaJournal
Cloud Computing Meinung
01/2011
Ziel solcher Verträge ist es, die Rechte und Pflichten der jeweiligen Vertragspartner klar und vor allem: messbar darzulegen. Gerade im Krisenfall, also einer mangelhaften Leistung des Anbieters oder bei unzureichender Mitwirkung des Kunden, wird eine konkret messbare Leistungserbringung wichtig. Potentielle Anwender von cloud-basierten Diensten stehen in der aktuellen Marksituation jedoch vor dem Problem, vom Anbieter gerade keine oder nur äußerst vage Leistungsbeschreibungen oder konkreter: Leistungszusagen zu erhalten. Häufig sind selbst elementare Zusagen zur Verfügbarkeit, wie man sie von „klassischen“ Verträgen im IT-Umfeld kennt, nicht vorhanden. Diese mangelhaften Leistungszusagen müssen Kunden dann häufig durch eigene, zusätzliche Maßnahmen kompensieren, um ein nachvollziehbares Risikomanagementsystem mit tragbaren Restrisiken aufzubauen. Die Probleme mit unzureichenden IT-Verträgen sind älter als der Begriff „CloudComputing“. Es ist sinnvoll, die bereits bestehenden Lösungen zu betrachten und diese für die neue, spezifische Situation des Cloud-Computing anzupassen. Der CIO des Bundes [1 ] hat auf seinen Webseiten viele Werkzeuge und Standardvorgehensweisen zur IT-Planung und –Steuerung zusammengefasst. Für die Vertragsgestaltung finden sich dort mit den Ergänzende Vertragsbedingungen für die Beschaffung von IT-Leistungen (EVB-IT) [2] gute Vorlagen für vertragliche Regelungen, die auch für das Anbieten oder Einkaufen von cloud-basierten IT-Leistungen Anwendung finden können. Interessierte sollten insbesondere die umfangreichen Anlagen und Muster betrachten, die im Rahmen der Entwicklung der EVB-IT entstanden sind. Viele der Regelungen in den EVB-IT sind bereits geeignet, einen Großteil der gesetzlichen Anforderungen aus dem Bundesdatenschutzgesetz oder den jeweiligen Landesdatenschutzgesetzen in Bezug auf die Datenverarbeitung im Auftrag oder die Datenübermittlung zu erfüllen. Gerade Anbieter von cloud-basierten Diensten abseits der großen Platzhirsche wie Microsoft, Google oder Amazon sollten sich durch konkrete, nachvollziehbare und messbare vertragliche Regelungen einen Wettbewerbsvorteil verschaffen.
Outsourcing
Die Outsourcing-Welle der 80er- und 90er-Jahre des letzten Jahrtausends hat deutliche Spuren in der IT-Landschaft hinterlassen. Die mit dem Outsourcing verbundenen Risiken und Herausforderungen haben jedoch zu einer ganzen Gruppe von speziellen „Standards Of Good Practice“ in diesem Bereich geführt. Für deutschsprachige Anwender sehr lesenswert ist der Baustein B1 .11 des Grundschutzkatalogs [3] des Bundesamts für Sicherheit in der Informationstechnik. Gemäß der Vorgaben der Standards [4] 1 00-1 bis 1 00-3 werden hier für typische Gefährdungen und Einsatzszenarien Maßnahmenempfehlungen ausgesprochen, um eine akzeptable Risikobehandlung im Bereich des Outsourcings durchzuführen. SymposiaJournal
31
01/2011
Cloud Computing Meinung
Der Baustein kann direkt auch auf die Nutzung von cloud-basierten Diensten angewendet werden und bietet eine strukturierte Vorgehensweise, um einen Großteil der notwendigen technischen und organisatorischen Maßnahmen zu betrachten und ggfs. mit leichten Veränderungen anzuwenden. Neben dem Ausfall von Weitverkehrsnetzen, fehlenden oder unzureichen Test- und Freigabeverfahren und unzureichenden Notfallvorsorgekonzepten werden explizit auch die zu hohe Abhängigkeit von einem Outsourcing-Dienstleister oder auch „weiche Faktoren“ wie die Störung des Betriebsklimas durch ein Outsourcing-Vorhaben thematisiert. Die Maßnahmenempfehlungen sind teilweise sehr detailliert und regeln neben der Erstellung eines IT-Sicherheitskonzepts für das Outsourcing-Vorhaben oder der Vertragsgestaltung mit dem Outsourcing-Dienstleister auch die Vorgehensweisen für eine geordnete Beendigung eines Outsourcing-Dienstleistungsverhältnisses. Auch ohne die strikte Orientierung an der Grundschutz-Vorgehensweise des BSI bietet der Baustein 1 .11 Anbietern und Kunden gute Hinweise und erprobte Vorgehensweisen auch für cloud-basierte Dienstleistungen.
Datensicherheit
Die aktuelle Marktsituation im Bereich des Cloud-Computing ist in Bezug auf konkrete Sicherheitszusagen eher unbefriedigend. Viele Anbieter treffen keine konkreten Aussagen zu den bei ihnen getroffenen technischen und organisatorischen Maßnahmen. Dies wird noch unverständlicher, wenn man bedenkt, dass für die bei vielen Anbietern von cloud-basierten Diensten im Einsatz befindlichen Standardkomponenten seitens der Hersteller konkrete Sicherheitsvorgaben und –empfehlungen ausgesprochen wurden. Am Beispiel marktüblicher IaaS-Angebote lässt sich dies leicht nachvollziehen: Kaum ein Anbieter stellt die auf Betriebssystem-Ebene getroffenen Sicherheitsmaßnahmen nachvollziehbar dar. Ein nachvollziehbares Sicherheitsniveau ist in den wenigsten Fällen gegeben. Auch hier verbleibt die Hauptlast in Fragen der IT-Sicherheit beim Anwender und nicht wie eigentlich zu erwarten: beim Anbieter. Im Bereich des Cloud-Computing müssen sich hier Standard-Vorgehensweisen und –Nachweise zur IT-Sicherheit etablieren. Dies kann unter anderem auch durch Zertifizierungsverfahren erreicht werden. Ein großer, erster Schritt wäre jedoch das Veröffentlichen von nachvollziehbaren Beschreibungen der technischen und organisatorischen Sicherheitsmaßnahmen seitens der Anbieter.
Datenschutz
Über die Anforderungen zur IT-Sicherheit hinaus sind spezifische Anforderungen seitens des Datenschutzes zu erfüllen. Das Grundrecht auf informationelle Selbstbestimmung darf nicht durch die Nutzung ungeeigneter cloud-basierter Angebote beeinträchtigt werden. Wesentliche Voraussetzung hierfür ist, dass auf Seiten der Kunden ein Datenschutzmanagementsystem etabliert wird. Dieses muss durch anlassbezogene und regelmäßige Kontrollen, konkreten Vorgaben zum Umgang mit Datenschutzproblemen und –verstößen und einer generellen Integration in die Unternehmensprozesse für eine geregelte Bearbeitung des Themenbereichs Datenschutz sorgen. 32
SymposiaJournal
Cloud Computing Meinung
01/2011
Ein betriebliches oder behördliches Datenschutzmanagement muss vor allem die Umsetzung der Betroffenenrechte in den Vordergrund stellen. Betroffene haben das Recht auf Löschung, Berichtigung oder Sperrung ihrer personenbezogenen Daten. Dieses Recht müssen Anwender auch gegenüber dem Anbieter durchsetzen können. Auch im Bereich des Cloud-Computing gelten die Grundsätze der Datensparsamkeit und der Zweckbindung bei der Verwendung personenbezogener Daten. Es dürfen nur die nachgewiesen zwingend notwendigen Daten ausschließlich zu dem Zweck verarbeitet werden, zu dem sie auch erhoben wurden. Die hierfür notwendigen Prozesse sind bereits seit mehreren Jahren etabliert. Die zuständigen Aufsichtsbehörden für Datenschutz stehen potentiellen Anwendern von cloud-basierten Diensten hier beratend, prüfend und bewertend zur Verfügung. Konkrete, cloud-spezifische Risiken für den Datenschutz ergeben sich bei manchen Angeboten vor allen aus fehlenden, konkreten Zusagen zum Ort der Datenverarbeitung. Während für das Anbieten, Nutzen und Betreiben von cloud-basierten Diensten keine technischen Gründe zur Berücksichtigung territorialer Grenzen bestehen, muss bei der Anwendung des Datenschutzrechts der Ort der Datenverarbeitung stets berücksichtigt werden. Bei weltweit verteiltem Cloud Computing können ohne zusätzliche Zusicherungen zur Lokalität der Datenverarbeitung und -speicherung Anwenderinnen und Anwender nicht entscheiden, ob in den für den genutzten Dienst und den für die Erbringung des Dienstes vorgesehenen Ländern ein angemessenes Datenschutzniveau gewährleistet ist. Eine Anwendung solcher Cloud-Dienste ohne konkrete Ortsvorgaben oder -zusagen zur Verarbeitung personenbezogener Daten ist datenschutzrechtlich nicht zulässig. Sollen personenbezogene Daten in einem cloud-basierten Dienst verarbeitet werden, so muss für alle Schritte der Datenverarbeitung der konkrete Ort festgelegt werden und feststellbar sein.
Fazit
Cloud-Computing "erbt" in vielen Bereichen bereits bekannte Risiken und Gefährdungen der automatisierten Datenverarbeitung. Für diese Risiken sind jedoch in gängigen (inter-) nationalen Sicherheitsstandards (vgl. ISO27001 , BSI Grundschutz) geeignete Gegenmaßnahmen und Vorgehensweisen zur Risikoanalyse definiert. Anbieter von cloud-basierten Diensten können hier auf bestehende Vorarbeit und funktionierende Werkzeuge zurückgreifen. Nutzer von cloud-basierten Diensten sollten vor der Aufnahme einer Datenverarbeitung geeignete Nachweise einer sicheren Datenverarbeitung in Form von Sicherheitskonzepten und detaillierten Prozessbeschreibungen im Sinne eines integrierten Datenschutz- und Sicherheitsmanagements einfordern und als Nachweis in die eigene Sicherheitsdokumentation übernehmen. Setzt man die bereits bekannten und funktionierenden Prozesse und Maßnahmen um, die auch im Bereich der Datensicherheit und des Datenschutzes bei der „klassischen“ SymposiaJournal
33
01/2011
Cloud Computing Meinung
Datenverarbeitung für Konformität mit den datenschutzrechtlichen Vorgaben sorgen, so hat man auch einen Großteil der Datenschutzrisiken gängiger cloud-basierter Dienste im Griff. Datenschutz wird hierbei nicht zum Verhinderer von Cloud-Computing, sondern vielmehr zum Erfolgsfaktor.
Über Sven Thomsen Sven Thomsen leitet beim Unabhängigen Landeszentrum für Datenschutz (ULD) in Kiel das technische Referat. Er ist zuständig für den Systemdatenschutzes bei der automatisierten Verarbeitung personenbezogener Daten. Nach einem Studium der Informatik war er zunächst als freier Berater mit Schwerpunkt auf Unix- und Firewallsystemen tätig. Als ITProjektleiter hat er beim Norddeutschen Rundfunk mehrere Projekte zur Serverkonsolidierung und IT-Sicherheit betreut.
Onlinequellen
[1 ] http://www.cio.bund.de/cln_093/DE/Home/home_node.html [2] http://www.cio.bund.de/cln_093/DE/IT-Angebot/IT-Beschaffung/EVB-IT_BVB/evb-it_bvb_node.html [3] https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b01 /b01 011 .html [4] https://www.bsi.bund.de/cln_1 56/DE/Themen/ITGrundschutz/ ITGrundschutzStandards/ITGrundschutzStandards_node.html 34
SymposiaJournal
Geek and Poke
SymposiaJournal
01/2011
35
01/2011
Cloud Computing Meinung
Die Mobile Cloud: Der wahre Megatrend von René Büst
Genau genommen laufen die beiden Megatrends Mobile Computing und Cloud Computing bereits seit mehreren Jahren Hand in Hand nebeneinander her. Auf das, worauf viele Anbieter wie z.B. Apple jahrelang verzichtet haben, hat Google bereits während der Einführung von Android besonderen Wert gelegt und damit das enorme Wachstumspotential erkannt. So hat Google z.B. seine Dienste wie Mail, Kalender etc. sowie das App Deployment über den Market Cloud basiert ausgerichtet. Das erste Android Endgerät (HTC Dream | T-Mobile G1 ) kam am 22.1 0.2008 auf den Markt. Zielgruppe waren in erster Linie Privatnutzer, die mit einem Googlekonto ihre EMails, Termine, Kontakte etc. synchronisieren wollten. Nach etwas über einem Jahr entwickelte sich das System langsam aber sicher zu einer mobilen Plattform für den Unternehmenseinsatz. Das Update auf Android 1 .6 brachte nun auch die lang ersehnte Möglichkeit, das Endgerät via VPN mit einer Gegenstelle zu verbinden. Verbindungen können hierbei über die Protokolle PPTP und L2TP (IPsec PSK bzw. IPsec CRT) hergestellt werden. Für den Einsatz im Unternehmen stehen Anwendungen für unterschiedliche Bereiche zur Verfügung. Als mobiler Dateimanager ist der Astro File Manager eine gute Alternative. Wie schon auf den Palm Handhelds hat Dataviz ebenfalls für Android eine Version seiner mobilen Office Suite Documents To Go im Portfolio. Über einen kostenlosen Viewer können Word Dokumente, Excel Dateien und Power Point Präsentationen betrachtet werden. Die kostenpflichtige Version gestattet dann auch das Erstellen und Bearbeiten der oben genannten Dateien und zusätzlich das Betrachten von PDF-Dateien. Für Administratoren steht das Programm Server up bereit. Damit können Netzwerke und Webserver mobil überwacht werden und es informiert über unterschiedliche Arten u.a. per SMS oder E-Mail, wenn z.B. ein Server nicht mehr erreichbar ist. Salesforce, Anbieter von Geschäftsanwendungen (u.a. CRM) stellt seine Produkte ebenfalls als mobile Versionen mit dem Namen Salesforce Mobile zur Verfügung. Da diese allerdings über den 36
SymposiaJournal
Cloud Computing Meinung
01/2011
Webbrowser genutzt werden, sind sie aber nicht auf Android beschränkt. Für den Abruf von E-Mails bzw. die Synchronisation mit einem Microsoft Exchange Server stehen u.a. Anwendungen wie K-9 Mail, TouchDown oder Aardvark bereit. Der meiner Ansicht nach größte Vorteil von Android, der auch für den Einsatz im Unternehmen spricht, ist die Portabilität. Neben Smartphones funktioniert Android auf den beliebten Netbooks und Tablets. Aber ebenso der Einsatz auf modernen Kassensystemen, MDEs (Mobile Datenerfassung) und jeder Art von Embedded Systems ist vorstellbar.
Optimales Szenario
Das bisher noch einfachste und bzgl. Android mit dem wenigsten Aufwand verbundene Szenario ist der vollständige Einsatz der Google Infrastruktur. Das setzt allerdings voraus, dass von dem Unternehmen bereits Google Apps für die E-Mail Kommunikation und die Verwaltung der Kalender und Kontakte eingesetzt werden. Android ist per se vollständig in die Google Infrastruktur integriert. Somit werden alle Änderungen, die z.B. im E-Mail Postfach oder im Kalender stattfinden, automatisch mit den Google Servern synchronisiert. Daher sind die Daten eines Benutzers – egal an welchem Arbeitsplatz (Desktop/ Mobil) er sitzt – immer auf dem aktuellen Stand. E-Mails werden über den Push-Mail Dienst automatisch auf das mobile Endgerät zugestellt. Dies ist wohlgemerkt das optimale Szenario und kann so nicht ohne einen Mehraufwand umgesetzt werden, wenn z.B. ein Exchange Server eingesetzt wird.
Ideal für eine Cloud Strategie
Android verfolgt u.a. den Ansatz des Cloud Computing, das heißt die Daten liegen dabei in einer Serverfarm im Internet und synchronisieren sich in diesem Fall mit dem mobilen Endgerät. Entscheidet sich ein Unternehmen z.B. für das oben beschriebene Szenario, bei dem die Daten bei Google gespeichert werden, kann hier auf die Bereitstellung und Wartung der mobilen Infrastruktur im eigenen Rechenzentrum verzichtet werden, was einen klaren Kostenvorteil bedeutet. Durch das Speichern der Unternehmensdaten auf den Servern und nicht auf dem mobilen Endgerät sind die Daten geschützt. Das Endgerät kann im Falle eines Diebstahls oder anderen Missgeschicken jederzeit zentral gesperrt bzw. generell zentral administriert werden. Telefongespräche können über das Unternehmensnetzwerk stattfinden. Die Gespräche werden vom mobilen Endgerät gestartet und anschließend vom Unternehmensnetzwerk geroutet (z.B. in das Festnetz) und gesteuert. Der Vorteil besteht in der deutlichen Trennung von privaten und geschäftlichen Gesprächen, der Nutzung einer einzigen Rufnummer und den Zugriff auf die zentrale Kontaktdatenbank des Unternehmens. Neben (mobilen) Telefonkonferenzen über das Unternehmensnetzwerk unabhängig von Ort/ Zeit und beliebig vielen Benutzern besteht die Möglichkeit, den aktuellen Status jedes Benutzers abzufragen um so zu sehen, ob dieser gerade verfügbar ist. Weiterhin haben u.a. Außendienstmitarbeiter Zugriff auf sämtliche Daten (z.B. CRM oder ERP) von jedem Ort mittels einer (mobilen) Internetverbindung.
SymposiaJournal
37
01/2011
Cloud Computing Meinung
Fazit
Die Mobile Cloud ist kein Zukunftsthema sondern bereits seit längerer Zeit in der Gegenwart angekommen. In ihr verschmelzen die beiden Megatrends Mobile Computing und Cloud Computing zu einem Hypertrend (wenn man diesen so bezeichnen darf) und ermöglichen Unternehmen und ihren Mitarbeitern somit den Zugriff auf sämtliche Daten von jedem Ort und zu jeder Zeit.
Über René Büst René Büst ist Cloud Computing Evangelist & Stratege, Cloud Architekt & Trainer, Analyst, Managing Director von Symposia Concepts und Gründer & Autor von CloudUser | Ξxpert. Er hat ein Informatik Diplom der Hochschule Bremen und ist Cand. M.Sc. in IT-Management an der FHDW Paderborn.
38
SymposiaJournal
Cloud Computing Science
01/2011
TClouds - Privacy meets Innovation by Eva Schlehahn and Marit Hansen
One of the most current developments in the field of information technologies is the rapidly growing variety of cloud computing services, which are brought to the market for a multitude of usage purposes. While experts and scientists still discuss about a universal definition of the term “Cloud Computing”, many business companies already try to position themselves on this evolving market. Their cloud services are being offered via networks like the internet in a cost-efficient manner and tailored to suit the customers’ needs. Nevertheless, privacy and data security are the biggest challenges when it comes to storing and processing critical business or personal data in a cloud. Many users and potential customers hesitate to take advantage of the possibilities a cloud infrastructure offers them. They point out that not only the general security of the data, but also the requirements of national and international data protection laws are a major concern. As a consequence, this leads to a stronger market growth of just so-called private and community clouds which are aligned more to the specific requirements of single customers or a narrowly defined user group. But these approaches cannot exploit the full potential of cloud computing.
Overview over privacy issues
The protection of informational privacy in Europe is based on a harmonised legal framework on data protection that primarily addresses data that are related to individuals, the so-called “data subjects”.[1 ] The entity that determines the purposes and means of the processing of personal data of the data subjects is the so-called “data controller” whereas the “data processor” is the entity that processes personal data on behalf of the controller. Once a company puts data of natural persons such as employees or customers into a cloud computing environment, it is in charge of the data protection, in particular of the security of processing, and it has to implement appropriate technical and organisational measures to protect personal data against accidental or unlawful access. This legal responsibility is not dispensable by outsourcing the processing to another party. SymposiaJournal
39
01/2011
Cloud Computing Science
Aside from these above mentioned measures, the first and foremost privacy issue is the lawfulness of processing of personal data: It is lawful only if permitted or ordered by regulation or if the data subject has provided consent. To comply with data protection law, among others the basic data protection principles such as data minimisation, purpose binding and data subject rights have to be taken into account. It is a prerequisite that the data subject can sufficiently understand what happens with his/her data in the cloud and who has access to them. Cross-border cloud infrastructures add further complexity: According to the European data protection framework, personal data may only be transferred to third countries if that country provides an adequate level of protection. In this context the certification of US companies within the Safe Harbor framework that was introduced to guarantee a sufficient degree of data protection to transfer data from the European Union is being criticised: The Galexia Study [2] has pointed out significant weaknesses of the Safe Harbor certification process regarding legal certainty when it comes to data flows across the border. In consequence, the supreme supervisory authorities for data protection in the non-public sector in Germany stated in their resolution the deficiency of the Safe Harbor agreement.[3] The question of applicable law and the precise privacy requirements is of evident relevance for any cloud service provider which conducts cross-border data processing. Some European countries even go beyond the legal EU framework by implementing particular specifics into their legal statutes. In this respect, particular attention should be directed to processing of sensitive data like information about race, ethnicity, political opinion, religion or philosophical beliefs, health or sex life of a person. Therefore, to enable lawful cross-border business, it is advisable to not only focus on the minimal requirements of privacy, but on an all-embracing solution that allows a higher degree of data protection or enables the necessary adjustments in case these are needed to comply with national specifics.
The TClouds project
The above mentioned privacy issues are the challenges the European Commission funded project „Trustworthy Clouds – TClouds“ uses as starting point. The goal of the project is to develop a trustworthy cloud computing infrastructure, which enables a comprehensible and audit proof processing of personal or otherwise sensitive data in a cloud without limiting the solution to just a physically separated private cloud. Within this context, TClouds focuses on the concept of the infrastructure cloud, on which services like PaaS and SaaS can rely upon without losing the advantages regarding cost-efficiency, scaleability and data availability. In two scenarios, the TClouds infrastructure will be tested and evaluated. TClouds works in cooperation with the Italian hospital San Raffaele in Milano on applications in the eHealth sector and with Portugal’s leading energy supplier Energias de Portugal (EDP) as well as the electronics company EFACEC in the field of smart power grids. In both scenarios, the level of data protection and security within a cloud system must be determined under consideration of the specific use cases and the sensitivity of the concerned data. 40
SymposiaJournal
Cloud Computing Science
01/2011
Technical implementation of privacy and security
TClouds will focus on privacy functionality in communication protocols between different cloud service providers, new open security standards, APIs and effective management components for cloud security. The TClouds components will be as far as possible developed as Open Source; this will make it easier for stakeholders outside the project to use the results. The legal tasks within the project comprise an analysis of all relevant data protection regulation, the deduction of requirements and the evaluation ot the project results regarding these aspects. TClouds builds upon the idea of a so-called “Intercloud” [4] (cloud-of-clouds), which incorporates the interoperability of resources and services from several independent cloud service providers. This superordinate cloud environment will increase resilience and privacy protection and enable the cloud subscribers to implement their own requirements of security and privacy in both a single-provider cloud and in a cloud-of-clouds structure.[5] For this purpose, a federated cloud-of-clouds middleware will be developed. Preparatory work of the project partners, which will be further developed and tested for the practical application address dependability and intrusion tolerance [6] as well as the protection of data confidentiality and integrity.[7,8]
Status of the TClouds project
The TClouds project has started in October 201 0 and is being funded by the European Commission with 7.5m Euro. The total project volume is about 1 0.5m Euro. 1 3 partners from industry and science in Europe participate in the project. The TClouds consortium has great interest in cooperation with other cloud-initiatives – both on international and national level. Interim results and publications will be available on the project website: http://www.tclouds-project.eu
TClouds Fact Sheet
Trustworthy Clouds – Privacy and Resilience for Internet-scale Critical Infrastructure Webseite: http://www.tclouds-project.eu Project number: 257243 Amount of funding: € 7.5m Duration: 01 .1 0.201 0 until 30.09.201 3 Partners: Technikon Forschungs- und Planungsgesellschaft mbH (AT), IBM Research GmbH (CH), Philips Electronics Nederland B.V. (NL), Sirrix AG security technologies (DE), Fundacao da Faculdade de Ciencias da Universidade de Lisboa (PT), Unabhängiges Landeszentrum fuer Datenschutz Schleswig-Holstein (Independent Centre for Privacy Protection Schleswig-Holstein, Germany) (DE), The Chancellor, Masters and Scholars of the University of Oxford (GB), Politecnico di Torino (IT), Friedrich-Alexander-Universität Erlangen-Nürnberg (DE), Fondazione Centro San Raffaele Del Monte Tabor (IT), Electricidade de Portugal (PT), UNU MERIT (Universität Maastricht) (NL), EFACEC Engenharia SA (PT), Technische Universität Darmstadt (DE)
SymposiaJournal
41
01/2011
Cloud Computing Science About Eva Schlehahn
Assessorin jur. Eva Schlehahn has studied law at the University of Bremen in Germany and passed a specialist solicitor training in IT law. She is now working as a legal counsellor for the data protection authority of SchleswigHolstein “Unabhaengiges Landeszentrum fuer Datenschutz Schleswig-Holsten” (Engl. “Independent Centre for Privacy Protection Schleswig-Holstein”), Germany. There she is active in legal research for the TClouds project; her tasks encompass the analysis of legal privacy and data protection requirements and the evaluation of the project results with regard to these requirements.
About Marit Hansen
Marit Hansen is Deputy Privacy & Information Commissioner of Land Schleswig-Holstein, Germany, and Deputy Chief of Unabhaengiges Landeszentrum fuer Datenschutz (ULD). Within ULD she is in charge of the “Privacy Enhancing Technologies (PET)” Division and the “Innovation Centre Privacy & Security”. Since her diploma in computer science in 1 995 she has been working on security and privacy aspects especially concerning anonymity, pseudonymity, identity management, biometrics, multilateral security, and e-privacy from both the technical and the legal perspectives. In several projects she and her team actively participate in technology design in order to support PET and give feedback on legislation.
Online Sources
[1 ] Article 29 Data Protection Working Party: Opinion 4/2007 on the concept of personal data, WP1 36, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp1 36_en.pdf [2] Galexia Study: The US Safe Harbor – Fact or Fiction? (December 2008) http://www.galexia.com/public/about/news/about_news-id1 43.html [3] Resolution of the supreme supervisory authorities for data protection in the non-public sector (Duesseldorfer Kreis) about Safe Harbor (link to PDF file): http://www.datenschutzberlin.de/attachments/71 0/Resolution_DuesseldorfCircle_28_04_201 0EN.pdf?1 28531 61 29 [4] Kelly: A Cloudbook for the Cloud, 2007, http://www.kk.org/thetechnium/archives/2007/11 /a_cloudbook_for.php [5] Cachin/Haas/Vukolić: Dependable Storage in the Intercloud, Research Report RZ 3783, IBM Research – Zurich, October 201 0, http://domino.research.ibm.com/library/cyberdig.nsf/papers/630549C46339936C852577C200291 E78/$Fil e/rz3783.pdf [6] Verissimo et al.: Intrusion-Resilient Middleware Design and Validation, in: Information Assurance, Security and Privacy Services, pp. 61 5-678, 2009 [7] Shraer et al.: Venus: Verification for Untrusted Coud Storage, in: Proc. Workshop on Cloud Computing Security ACM, 201 0 42
SymposiaJournal
Cloud Computing Science
01/2011
The Personalised Cloud by Charlton Barreto, Ph.D.
Cloud computing is changing the way services are created, delivered and consumed for both the consumer and the enterprise. It promises significant gains in efficiency and flexibility, at a time when data centres are increasingly challenged by the rapid growth in the number of users and volume of data. Yet, while much of the discussion of the cloud tends to focus on the data centre, devices of all types continue to play an essential to how, when and where these services are consumed. Importantly, they are being used to build “personalised clouds� based on architectures that enhance and optimise access to content and processing. Why a personalised cloud experience is important
Today;s end users are increasingly likely to utilise multiple devices, including smartphones, tablets, and notebooks to access information. They embrace new applications and devices in their personal life, and expect those same capabilities to be available at work. Yet when it comes to the ability to access, display, manipulate, store or secure data, some devices are clearly more capable than others. Larger displays, better graphics, greater storage, enhanced security; the reality is that different devices have different capabilities. Unfortunately, most services have followed the earlier web paradigm, and have been reduced to their lowest common denominator of functionality, with only limited ability to take advantage of device capabilities or suit the form factor. Enabling cloud-based applications to comprehend device capabilities is emerging to take advantage of them, in order to scale up or down to the device in terms of the greatest common multiple of functionality. Additionally, for many, the definition of the workplace has changed from a single location to which they travel, to an activity in which they engage from anywhere, any time. Mobile workers are amongst the most productive employees. For them, the office is their set of devices – notebook, net-book, tablet, and smartphone. Cloud-based applications often require users to be connected to access information, yet the networks they rely upon are subject to broad variations in the quality of service, and thus can often be intermittently SymposiaJournal
43
01/2011
Cloud Computing Science
available or slow. Also, users may be working from a location without any network access, which is more common than is often thought. Cloud services must enable users to access and update data, even when working offline. Rather than relying solely on the data centre to drive cloud capabilities, devices can provide resources to power them a part of a “personalised cloud.” End users and cloud providers each have unique needs that can be well addressed through this combined approach. Taking advantage of the combined capabilities of devices and the data centre, services, cloud providers, and enterprises have greater flexibility to optimise application delivery through the cloud. End users can also benefit from improved application performance and the ability to remain productive, even when working offline.
Benefits of a personalised cloud
End users are driven by the need to access their data and applications anywhere, any time, in a consistent, mobile manner. Cloud computing has represented a leap forward in this respect, yet devices have, until recently, largely accessed the cloud in a siloed, huband-spoke fashion. At the same time, the benefits of cloud can be overshadowed by poor user experience and the lack of ubiquitous connectivity. To succeed, solutions that address these user needs must be delivered. End users and service providers can benefit from a device-aware, distributed infrastructure. For cloud-based applications, it’s important to look beyond simple availability metrics to take into account end-user experience.
User Benefits
• Responsiveness – For cloud-based applications, response time is dependent on multiple factors including network performance, application performance, and cloud infrastructure performance. Enabling device-side, distributed execution for cloud-based applications can help improve end-user experience, especially for applications that are compute-intensive or bandwidth-constrained. • Productivity – Cloud services that are device-aware can enable a user to access data or information whether working in online or offline mode, as well as across devices. Once reconnected, applications can synchronise and save changes from the last connection.
Provider Benefits
• Application delivery – In cases where cloud servers supporting a particular application are heavily subscribed or the network is constrained, the ability to execute a given application or portions of an application on the end point enables service providers to improve application delivery. • Flexible architecture – For most service providers, the transition to the cloud has and will continue to be evolutionary rather than revolutionary. Public clouds are being leveraged for well-defined, commoditised, low-risk applications and services. More complex, sensitive or customised applications will be supported using existing model, or deployed to private or hybrid clouds. 44
SymposiaJournal
Cloud Computing Science
01/2011
Devices provide a flexible infrastructure able to support a variety of compute environments, distribute processing, and mesh together data and processing for any time, anywhere availability.
Enabling the Cloud to be Personal
In the personalised cloud, attributes and capabilities of devices are exposed to the cloud and to one another. Cloud-based applications - which share processing between devices and the data centre - use this information to determine how best to execute a given application and/or share content. As an example, with devices such as smart-phones, tablets, netbooks, integrated media devices, etc., the cloud may detect limited device capabilities, and decide to run an application entirely from the cloud-based data centre, with little support from the device. Alternatively, with more powerful devices, such as notebooks, set-top boxes, internet TVs, desktop PCs, in-vehicle infotainment systems, etc. - that meet security, storage and processing policies - the application may decide to run on the device, taking advantage of performance and graphics to improve delivery. At the same time, these devices will detect the availability and proximity of others that are identified as authenticated and authorised for a specific user or process, and rather than synchronising information across them, access the last good version or state of data. Thus, users will be able to access their content in a way that reduces data duplication, since the personalised cloud can present the latest version of preferences and content. To enable this personalised cloud, devices are becoming capable of: • Transparent, automatic, intelligent connections between devices and the environment. • Experiencing transition appropriately according to the user’s environment and devices. • Devices gather and share contextually appropriate and available content to the user • Leveraging the cloud that accesses and provides both information and capabilities available in the user’s environment. which is achieved through: • Device composability: Enhancing user experiences by changing the way services execute, according to the devices at hand at any given moment. Stacks allowing devices and services to discover and form the cloud of devices are in development by a number of vendors, along with APIs for developers so they can create their services with this in mind. • Usage suggestion: Users want to use content in different ways depending on the device that is using to access that content. This is as simple as a tag cloud, or complex as a text miner service, plus ontology engines. • Presence detection: Users inform the cloud of which device is active at any time through their interaction, so content can follow them from device to device, based on that activity.
SymposiaJournal
45
01/2011
Cloud Computing Science
• Intuitive user interface (UI): A consistent UI is the glue that makes this all work, and depends upon providing the same experience, whilst targetting the form factor of each device. • Content services: When users transfer content among devices, this data will be distributed across the devices in the personal cloud. Today many of these capabilities are already available across a number of devices. The personal cloud allows people to discover new usages based on their content, beyond their current perception. To the end user, they will soon be able to have their phones, cars, TV and your notebooks connect to each other and share information. For example, a user takes a Voice over IP (VoIP) call, the cloud routes the audio (and video, as appropriate) streams to the device which is active. A user can initiate the VoiP session from their notebook, and when they switch to their smart-phone and begin interacting with it, the streams are moved to that smart-phone, and the call continues on it. When that user interacts with their TV, the streams can be moved to the available set-top box and/or internet TV controller, and they can take advantage of the TV display for an improved video VoIP call experience, along with visuals of attached/associated content such as RSS feeds, documents, etc. The user can than go to the kitchen and begin interacting with the integrated media device on their counter-top, and the call (and content) can follow them there. End users benefit from a better overall experience across a range of devices; service providers benefit from improved resource utilisation, ensuring applications are delivered in the most secure and efficient way. When privileged data and/or processing are accessed, the ability to execute a given application or access a given file on a device requires that the device comply with security policies. Many devices include hardware-based capabilities to enable enhanced security, which are then determined and leveraged at runtime.
Summary
With an understanding of the needs and challenges faced by consumers and organisations using and implementing cloud services in their environment, vendors are working with systems and software solution providers to help develop end-to-end solutions that address these needs. Reference architectures that provide practical guidance on how to build clouds and implement personal cloud device-aware capabilities are being developed and distributed through such programs as the Open Data Center Alliance and Intel’s Cloud Builders. The future direction of cloud is being shaped today through the architecture and development of the personalised cloud. This is only the beginning - as devices improve their features and properties, they will only be able to better distribute and balance their capabilities amongst each other, across a cloud which no longer differentiates between your smartphone and a server rack in a data centre.
46
SymposiaJournal
Cloud Computing Science
01/2011
About Charlton Barreto, Ph.D. Charlton is an accomplished Cloud, Web and Distributed Computing expert with a proven track record of driving strategy, product and operational initiatives to success. As a Technology Strategist at Intel, Charlton has matched emerging technologies with innovative business models in developed and emerging markets. In this capacity, he has served as a advisor to corporations large and small, non-profits and governmental organizations on issues of technology. He has taken roles as visionary, solution architect, project manager, and has undertaken the technical execution in advanced proof of concept projects with corporate end users and inside Intel illustrating the use of emerging technologies. Charlton received a B.S. in Applied Mathematics and Computer Science from the University of California, Berkeley, and a Ph.D. in Computer Science for his research in distributed computing from Columbia University, and has worked as a post-doctoral Researcher at the University of Cambridge.
SymposiaJournal
47
01/2011
48
Geek and Poke
SymposiaJournal
Since Amazon Elastic Beanstalk was released it led to discussions over the web, that AWS might bring other PaaS vendors into trouble, even those which offer a service for using the AWS platform. We始ve picked out some blog posts regarding this topic.
Web Discussions
01/2011
AWS Elastic Beanstalk: A Quick and Simple Way into the Cloud “Flexibility is one of the key principles of Amazon Web Services - developers can select any programming language and software package, any operating system, any middleware and any database to build systems and applications that meet their requirements. Additionally customers are not restricted to AWS services; they can mix-and-match services from other providers to best meet their needs. A whole range of innovative new services, ranging from media conversion to geo-location-context services have been developed by our customers using this flexibility and are available in the AWS ecosystem. To enable this broad choice, the core of AWS is composed of building blocks which customers and partners can use to build any system or application in the way they see fit. The upside of the primitive building block approach is ultimate flexibility but the flipside is that developers always have to put these blocks together and manage them before they can get started, even if they just quickly want to deploy a simple application.�
h ttp : //jrn l. d
50
e/all th in g s d
SymposiaJournal
is trib u ted
Web Discussions
h ttp : //jrn l. d
01/2011
e/fu ll 3 6 0
Integrating AWS CloudFormation and Chef “The cloud ecosystem was a-thundering this Friday with Amazon Web Services' announcement on CloudFormation. Much of it positive, and a whole lot said about AWS whacking at the partner ecosystem. The twitter pundits who probably haven't used CloudFormation, Chef or Puppet were quick to claim that CloudFormation is a replacement. At initial glance I thought so as well, but then I looked under the covers and quickly realized that to the contrary, CloudFormation will actually simplify and make our recipes more portable. How? Because we have cookbooks and a fair bit of code to set up and manage AWS resources. By abstracting these resources up to the CloudFormation level the recipes should be easier to structure across multiple cloud platforms. I am hoping the other cloud providers will follow the CloudFormation lead and create similar frameworks.� SymposiaJournal
51
Web Discussions
01/2011
h ttp : //jrn l. d
e/cs treit
Amazon Elastic Beanstalk - Trouble for other PaaS vendors? “Amazon announced their new PaaS offering this week. According to Krishnan of Cloudave.com, this may not be that good for other PaaS startups out there, especially the ones using the AWS platform. Since the new Amazon elastic Beanstalk is using EC2 (and other services) and not charging on top of the ressource costs, it might be hard for other PaaS players also using the AWS platform to compete. However, Amazon is talking about working with solution partners to extend the Beanstalk offering (see here). I am curious to see how the other PaaS vendors will respond.�
52
SymposiaJournal
Web Discussions
01/2011
PaaS Is The Future Of Cloud Services: Amazon Enters The PaaS World “As expected, Amazon has finally stepped into the PaaS world. I have long been arguing in this space that PaaS is the future of Cloud Services and many in the Clouderati and some pundits were waiting for Amazon to go up the stack to PaaS. Even in a recent post on Amazon’s Android App Store strategy, I talked about Amazon’s impending foray into PaaS. Unlike startups, enterprises are a different kind of beast and Amazon will need a strong presence on all three layers of the cloud, IaaS, PaaS and SaaS. Even though I expect them to go deep on PaaS in the near future, I don’t envision them being a SaaS player. It is not easy to become a multiple app SaaS provider targeting the enterprise market. Instead they can take an app store approach to SaaS (an opinion shared by fellow Clouderati James Urquhart). In future, they could establish an app store for web applications (like Chrome web store) as well as business applications suitable for enterprises. By doing this, they will not only have a SaaS channel but also have a direct relationship with those developers and vendors, which can further help their AWS business.”
h ttp : //jrn l. d
e/clo u d ave
SymposiaJournal
53
01/2011
Web Discussions
What Amazon Beanstalk and its pricing means for the PaaS market “Two days ago Amazon announced its long awaited move into the PaaS space. Elastic Beanstalk is designed to make the deployment and scaling of Java applications on top of Amazon EC2 effortless. (Don’t be fooled other languages will follow soon.)
Platform as a Service
Now some say this last part, the deployment and scaling of single web applications is what most PaaS providers consider their sweet spot – the single reason how they justify their own margin. Be it Heroku, Engine Yard, phpfog, Scalarium, us or almost any of the impressive list of newcomers have one thing in common. Most sit on top of Amazon Web Services. The single most important reason for that is, there really isn’t much alternatives out there. Yes it’s true, there are other IaaS providers around but most of them are still trying to figure out why an API is a must have feature. This comes as no surprise, because the hosting industry isn’t used to innovate in software. For years they simply used Parallels stuff and competed in pricing. Only this time Parallels missed the bus and is way late to the Cloud party. (On a side note, that “Understanding the Cloud” article is probably the worst piece of info I’ve come across in a very long time.)”
h ttp : //jrn l. d
54
e/s erverwo
SymposiaJournal
lken
Editorial
01/2011
Impressum
Impressum
Symposia Concepts GbR Schützenstr. 11 21 266 Jesteburg Tel.: 041 83 / 94 89 40 Fax: 041 83 / 77 39 30 E-Mail: verlag@symposiaconcepts.de Internet: http://www.symposiaconcepts.de
Chris Boos, Dr. Martin Reti, Sven Thomsen, Eva Schlehahn, Marit Hansen, Charlton Barreto, Eucalyptus Inc., Björn Böttcher, René Büst
Herausgeber & Verlag
Autoren dieser Ausgabe
Anzeigenleitung Dipl.-Ing. Björn Böttcher E-Mail: bjoern@symposiaconcepts.de Dipl.-Informatiker (FH) René Büst E-Mail: rene@symposiaconcepts.de
Redaktion
Cover & Design Björn Böttcher & René Büst
Photos AWS User Group HH Symposia Concepts GbR
Karikaturen Oliver Widder Internet: http://geekandpoke.typepad.com
Björn Böttcher, René Büst
Symposia Journal 02/2011 erscheint am 1 3.06.2011 . Redaktionsschluss: 30.05.2011 Anzeigenschluss: 06.06.2011
Copyright © 2011 Symposia Concepts GbR 56
SymposiaJournal