symposia journal edition 01/2011
DESCRIPTION
Bilingual Cloud Computing MagazineTRANSCRIPT
Edition 01 /2011
// Informativ// Qualitativ // Unabhängig
www.symposiajournal.de
Cloud Computing Mobile Computing TechnologienEvents
The PrivateCloud Revolution
DieHerausforderungfür etablierteUnternehmen
Cloud ComputingMotor der IT
Datenschutzwerkzeugefür die CloudTClouds Privacy meets Innovation
ThePersonalisedCloud
Liebe Leser,
nachdem wir dem Cloud Computing bereits in unserer vergangenen Ausgabe denHype abgesprochen haben, wurde Cloud Computing nun auch auf der weltgrößtenComputer Messe CeBIT zum Leitthema.
Der nächste Schritt, die Etablierung, ist damit endgültig erreicht und für Unternehmengilt es nun, sich die Möglichkeiten und Angebote zunutze zu machen, um darausWettbewerbsvortei le zu erzielen und Innovationen zu kreieren.
Aber auch der Privatanwender wird, wenn er dieses nicht schon längst bemerkt hat,die Vortei le der Cloud zu spüren bekommen. Vor al lem Benutzer eines Smartphonesmit dem Android Betriebssystem kommen bereits in den Genuss einer Mobile oderauch personalisierten Cloud.
Es ist also allerhöchste Zeit mit der Adaption zu beginnen! Und schon stehen dieersten Herausforderungen vor der Tür. Unternehmen planen die Migration ihrerInfrastruktur oder Teilen davon und die Rechtsabtei lungen möchten natürl ich auchein Wort mitreden und erheben mahnend ihren Finger bzgl. des Datenschutzes undweiteren rechtl ichen Bedenken.
Dass viele Diskussionen jedoch nicht immer angebracht sind, zeigen wir in dieserAusgabe mit entsprechenden Artikeln von anerkannten nationalen undinternationalen Experten aus dem Bereich des Cloud Computing sowie desDatenschutzes.
Der Adaption des Cloud Computing steht also nichts mehr im Wege! Auf geht’s! : )
Viel Spaß beim Bilden wünschen
Björn Böttcher und René Büst
Informativ | Qualitativ | Unabhängig
01/2011
SymposiaJournal
AWS User Group HamburgEin Rückblick auf den 08.02.2011
Die Amazon Web Services User Group Hamburg blickt erneut auf ein erfolgreichesTreffen am 08.02.2011 zurück. Neben den AWS Solutions Architects Matt Wood undCarlos Conde sowie dem AWS Sales Manager Deutschland Torsten Woywood warmit 35 Teilnehmern wieder ein beachtliches Interesse zu erkennen.
Die Veranstaltung stand ganz im Zeichen von Vorträgen, in denen Matt Wood und CarlosConde alle Beteil igten mit einer Menge von AWS spezifischen Informationen versorgten.Matt übernahm zunächst die AWS Grundlagen und stel lte anschließend die neuenServices der vergangenen Wochen und Monaten vor. Carlos gab danach einen tieferenEinbl ick in den vor kurzem veröffentl ichten Service “Amazon Elastic Beanstalk”.
Den Abschluß übernahm der AWS User Group Teilnehmer Ralph Rebske mit seinem sehrbeeindruckenden und ausführl ichen Vortrag zu dem Thema “AWS: Pricing and Bil l ing”.
Auch das Networking wurde dieses Mal wieder sehr intensiv genutzt, wodurch sich nochbis in die Nacht hinein über Cloud Computing, die Amazon Web Services und persönlicheDinge ausgetauscht wurde.
AWS User Group möchte sich auf diesem Wege erneut bei der SinnerSchrader AG für dasBereitstel len der Räumlichkeiten sowie der Verpflegung mit Bagels, Bier und weiterenLeckereien bedanken!
Bilder zu der Veranstaltung können auf der Flickr Seite von Symposia Conceptsbetrachtet werden. Alle weiteren Informationen bzgl. der Amazon Web Services UserGroup befinden sich auf der dazugehörigen Webseite
Der Vortrag von Ralph Rebske steht auf dem Slideshareaccount von Symposia Conceptszum Download bereit.
Veranstaltungen
6
01/2011
SymposiaJournal
Veranstaltungen
7
01/2011
SymposiaJournal
Cloud Computing Basics
Developing and testing mission-critical applications has never been an effortlessundertaking. In recent years, however, deploying scalable and secure solutions hasbecome even more complex. The result: developers and quality assuranceprofessionals have been hard-pressed to keep up, and increasingly turn tounorthodox, unsafe procedures to get their jobs done. Fortunately, virtualizationpaired with private clouds offers a way out of this predicament.
In this article, which is intended for anyone running an IT organization or tasked withdeveloping or testing software, we’l l enumerate some of the challenges faced during theseprocesses, along with some of the expensive and insecure workarounds that have beenemployed to surmount these obstacles. We’l l then explain how self-service, private cloud-based solutions from Eucalyptus can streamline operations, reduce both cost and risk, andmost importantly: help developers and testers perform their daily responsibi l ities moreeffectively.
Barriers to Efficient Software Development and Testing
Software development and testing professionals are burdened by reduced budgets thathave failed to keep up with their workload, shortened schedules driven by new paradigmssuch as agile development, and a general phi losophy of ‘do more with less’. Thesepressures are found everywhere, but are particularly prevalent in large enterprises andgovernmental organizations, where distributed teams combined with globalizedoutsourcing further complicate the picture. To make matters worse, modern softwareenvironments are multifaceted, and feature many intricate components. These includevarious flavors of operating systems like Linux, Windows, and Mac OS, developmentenvironments such as Eclipse and Visual Studio, numerous types of databases includingOracle, SQL Server, and PostgreSQL, col lections of integrated technologies such as LAMP(Linux, Apache, MySQL, and PHP), and a variety of assorted application servers, Webservers, and other middleware.
The Private Cloud RevolutionMeeting the challenge of provisioning development & test
9
01/2011
SymposiaJournal
All of these factors have coalesced to make provisioning software development andtesting computers more difficult than ever before. Yet despite these headaches, theseprocesses are carried out using many of the same methods as they have for decades. Forexample, functional and load testing are both crucial prior to placing an application or Webservice into production. To accurately test these solutions it’s essential to replicate theconfigurations that wil l be found in production.
To support their efforts, developers and testers look to IT to provide and configure theseenvironments. Sadly, these solicitations are often unfulfi l led, for a variety of reasonsincluding IT backlog, lack of budget, organizational pol icies, or the sheer complexity of therequested configurations. Even in those cases where IT is able to provide the desiredformation, it’s often too late. Fail ing to adequately support the software creation andtesting processes is painful to the entire organization. Applications don’t ship on time, orcontain numerous errors. Correcting these problems and delays can be costly, anddegrade the enterprise’s abil ity to quickly respond to competitors and market realities.
Faced with these impediments, developers and testers must either find a way to workaround them and thus satisfy their job responsibi l ities, or miss their deadlines and sufferthe consequences. As we’ve seen with the rapid adoption of Software as a Service(SaaS), Cloud Computing is a well-proven technique for surmounting internal barriers.This trend has now extended to software developers and testers.
In numerous instances, they use their own credit card to create an Amazon Web Servicesaccount. This gives them access to as many offsite virtual machines as they’re wil l ing topay for. Once the account is set up, the next step is to upload, instal l , and configure anynecessary supporting software components, fol lowed by internal ly-developed software andtest data. In fact, it’s becoming more common for developers to write their applications onthese public cloud-hosted computers.
While this workaround demonstrates dedication to getting the job done and helps expeditethe process of preparing software for production, there are many risks to fol lowing thisapproach. These include loss of control for the organization, software l icensing issues(including potential l iabi l ity), and unexpected costs. In addition, there is significantexposure related to storing intel lectual property and sensitive test data offsite. Fortunately,two separate, yet inter-related technologies have arisen to address the needs ofenterprises seeking to resist the move towards uncontrol lable public cloud adoption.
Self-service Provisioning with Eucalyptus Enterprise Edition
Virtual ization and private clouds are two complementary techniques that offer a better wayto manage essential software development and testing tasks without introducing the risksinherent in using the public cloud. First, virtual ization makes better use of scarce physicalresources such as computers and storage systems. Administrators are free to configurethe machine images to exactly match the requirements for the job at hand. These imagesmay then be reused as often as needed. However, virtual ization by itself isn’t enough: if ITis unable to provide sufficiently rapid turnaround, developers and testers wil l continue touse the public cloud to meet their needs.
Cloud Computing Basics
10
01/2011
SymposiaJournal
Fortunately, private clouds augment virtual ization to deliver the same benefits of publicclouds while remaining within the enterprise’s control. This reduces risk and helpsmanage cost. As an added benefit, as long as a standards-based private cloud has beenchosen, administrators are free to extend their virtual ized environment into the publiccloud. As we’l l see in the next section, Eucalyptus-based private clouds let managementequip their teams with the proper tools to do their jobs more securely and cost-effectivelythan using ad-hoc procedures.
Eucalyptus uses existing IT resources without needing any modifications, specialhardware, or other costly and time-consuming alterations. To maximize portabil ity, it workswith hypervisors from all major virtual ization platforms, including Xen, KVM, vSphere, andESX/ESXi.
To further enhance interoperabil ity, Eucalyptus automatical ly converts virtual machineimages to different hypervisors including Amazon’s Elastic Compute Cloud (EC2). Storagetechnologies such as iSCSI , Storage Area Networks (SAN), and Network AttachedStorage (NAS) are all capable of being managed from within the Eucalyptus private cloud.In keeping with the theme of flexibi l ity combined with proper security, administrators areable to assign fine-grained control over key resources, at the user, group, and role levels.
About Eucalyptus Inc.
Eucalyptus Systems develops the leading independent cloud computing platform. Today,Eucalyptus is the only cloud software that can deliver al l the benefits of industry-standardpublic clouds such as Amazon EC2 on private IT infrastructure. Original ly developed aspart of an NSF-funded academic research project, Eucalyptus software has beendeployed over 25,000 times across government organizations, academic institutions andprivate enterprises. I t is available in two editions: open source Eucalyptus and theEucalyptus Enterprise Edition (EE) — commercial, enterprise-grade infrastructuresoftware designed for large-scale deployments. For more information about Eucalyptus,please visit http: //www.eucalyptus.com.
Cloud Computing Basics
11
01/2011
SymposiaJournal
Um Daten vor dem Zugriff anderer zu schützen, sind tokenbasierteAuthentifizierungen im Unternehmensumfeld schon seit langem ein gutes Mittel.Doch wie sieht es im Cloud-Bereich aus? AWS hat in diesem Feld das sogenannteAWS Multi-Factor Authentication (MFA) System eingeführt. Doch wie funktioniertes? Ist es sinnvoll dieses Art der Authentifizierung zu wählen?
Im Prinzip ist das System sicherl ich für den Einsatz in großen Unternehmen gedachtgewesen. Aber ist es dort sinnvoll einsetzbar? Wenn eine Firma über mehrere Konten -also mehrere E-Mail Adressen und Passwörter - verfügt, hätte damit jeder Mitarbeiter desUnternehmens einen Zugang zu dem System.
Amazon Web Services stel len im Moment einen Standard im Bereich der CloudComputing Infrastrukturanbieter dar. Doch wie sieht es mit der Sicherheit aus? Ist meineAnwendung und mein Unternehmen sicher, wenn der Zugang nur mit einem einfachemPasswort geschützt ist?
Eine Alternative bietet die sogenannte Multi-Factor Authentification. Dabei handelt es sichum ein tokenbasietes Authentifizierungsverfahren. Das Verfahren basiert dabei auf derOATH Referenzarchitektur für zeitabhängige Einmalpasswörter. Das zur Verifizierunggenutzte Gerät beinhaltet dabei eine sehr präzise Uhr. Bei der Registrierung eines neuenGerätes wird dieses mit dem eigenen AWS Konto synchronisiert.
Wenn dieser Vorgang abgeschlossen ist, erzeugt das Gerät auf Knopfdruck einennumerischen Pseudocode berechnet aus der aktuel len Zeit und der unikalenSeriennummer des Gerätes. Zwischen einem Gerät und einem AWS Konto besteht eine1 :1 Beziehung. Dies ist damit schon eine erste Restriktion an diese Art derAuthentifizierung. Es gibt keine Redundanz und das Gerät und somit der Zugang zu denSystemen ist durch und an ein einziges Gerät gebunden. Im Fall von Amazon WebServices ist das Gerät sogar noch an einen Anbieter gebunden: Gemalto.
AWS Multi-Factor Authentifizierungvon Björn Böttcher
Cloud Computing Basics
12
01/2011
SymposiaJournal
Die sogenante Two-Factor Authentification funktioniert in der Anwendung in der erstenStufe über die E-Mail Adresse und einem hinterlegten Passwort. Im zweiten Schritt mussdann der von dem Gerät erzeugte sechs-stel l ige Code eingegeben werden. Erst jetzt istman erfolgreich angemeldet. Diese Art der Authentifizierung wird auch von Tools andererAnbieter wie z.B. Cloud Berry Explorer unterstützt. Wenn die MFA einmal für ein Kontoaktiviert worden ist, so muss diese auch immer mit diesem Konto genutzt werden, bis siewieder nach erfolgreicher Anmeldung deaktiviert worden ist.
Wenn ich das Gerät verloren habe oder die Batterie leer ist, dann habe ich nur noch dieMöglichkeit auf meine Kontoeinstel lungen zuzugreifen, indem ich mich von Amazon alsBesitzer des Kontos verifizieren lasse. Dies geschieht in der Regel über einen Anruf aufder bei Erzeugung des Kontos hinterlegten Telefonnummer. Was auch ohne das Gerätweiterhin funktioniert sind Tools, die über die API auf AWS zugreifen. So kann man z.B.mit Tools wie Decaf EC2 Client auch ohne MFA Gerät auf seine Server zugreifen unddiese überwachen. Diese Tools ermöglichen mir beispielsweise einen Server zu startenoder stoppen. Nur wenn ich auf meine Kontoeinstel lungen und meineSicherheitseinstel lungen zugreifen möchte, dann muss ich mich über die Two-FactorAuthentifizierung anmelden.
Dies kann auch ein Vortei l sein, wenn ich Abrechnungsdetai ls oder Konteninformationennicht mit al len Entwicklern meiner Firma teilen möchte, ihnen jedoch grundsätzl ichZugang zu Cloud Computing Ressourcen zur Verfügung stel len möchte. Ebenso wie dieKontoinformationen sind auch die X.509 Zertifikate, die Zugriffsschlüssel und die AmazonCloudFront Schlüsselpaare geschützt. Dies ermöglicht auch Kunden einen Zugang zuRessourcen über Tools oder Demoversionen zugänglich zu machen und diese wiederentfernen zu können, ohne das der Kunde direkten Einfluss nehmen könnte, oder sich garZugang zu dem System verschaffen könnte. Denn wenn die Zugriffsschlüssel gelöschtbzw. deaktiviert sind, dann kann der Kunde auf das System nicht mehr zugreifen.
Cloud Computing Basics
13
01/2011
SymposiaJournal
Dies könnte er sicherl ich auch ohne AWS-MFA Verfahren. Der Mehrwert ergibt sich aberz.B. durch die folgende Situation: Kunde X bekommt eine Präsentation im eigenen Hauseund der Sales Manager zeigt auch ein wenig hinter den Kulissen, was auf Seiten vonAmazon Web Services alles passiert, um das nötige Vertrauen zu schaffen. Dabei ist erjedoch ein wenig zu forsch und gibt anstel le der E-Mail Adresse das Passwort ein. Im Fallohne AWS-MFA Verfahren, hätte der Kunde X solange Zugriff auf das Konto, bis dasKennwort wieder geändert wird. Wenn es am Abend nach der Demonstration noch zueinem gemeinsamen Abendessen geht, so kann diese Zeitspanne schon kritisch langsein. Mit AWS-MFA kann dies nicht passieren, da das Konto weiterhin geschützt ist.
Ist das AWS-MFA Verfahren damit für den Unternehmenseinsatz geeignet? Nun dieseFrage lässt sich nur eindeutig beantworten, wenn man das Unternehmen kennt, um dases bei dieser Fragestel lung geht. Eine einfache und allgemeingültige Antwort gibt es nicht.Es ist jedoch so, dass für größere Unternehmen dieses Verfahren eher ungeeignet ist. Fürdiese Unternehmen empfiehlt es sich eher das neuere Identity- and AccessmanagementVerfahren zu evaluieren, oder zu prüfen, ob nicht sogar eigeneAuthentifizierungsverfahren integriert werden können. Für kleine Unternehmen mit nureinem Administrator ist dieses Verfahren jedoch sehr empfehlenswert. Es ist also wie mitvielen Dingen momentan im Cloud Computing Umfeld: Es profitieren die jungen Start-Ups– noch.
Cloud Computing Basics
Über Björn Böttcher
Björn Böttcher war als Microsoft Student Partner an derTechnischen Universität Hamburg-Harburg tätig und hat sichschon während seines Studiums als Freelancer in vielenProjekten aktiv in der Wirtschaft uminformationstechnologische Umsetzungen gekümmert. Nachseinem Abschluss als Diplom Informatik-Ingenieuerpromoviert er bei der Paral lel Computing Group an der TUHHim Cloud und Grid Umfeld. Das Interesse an derWissensvermittlung hat er schon früh während seinerAusbildung zum Reserveoffizier entwickelt und bis nach demStudium erhalten und intensiviert.
14
01/2011
SymposiaJournal
01/2011
SymposiaJournal
Cloud Computing Basics
Cloud Computing Anbieter stellen Unternehmen erweiterbare, zuverlässige, flexibleund kostengünstige Plattformen für Cloud Services zur Verfügung. VieleUnternehmen setzen bereits Cloud-Anwendungen erfolgreich ein. Andere befindensich derzeit in der Bewertungsphase um die Kosten und Nutzen einer Umstellungder gesamten IT-Infrastruktur auf Cloud-Computing zu evaluieren. Dieser Artikelbeschreibt die beim Cloud Computing entstehenden Kosten im Vergleich zu denKosten der klassischen IT-Infrastrukturen. Dazu wird ein Vergleich derBetriebskosten wie z.B. Hardware, Datenhaltung, Sicherheit, Strom und Personalangestellt. Neben den direkten Kosten werden ebenfalls die indirekten Kosten fürden Betrieb eines Rechenzentrums diskutiert.
Direkte Kosten
Nutzung bestehender HardwareDie Serverauslastung in klassischen unternehmenseigenen Rechenzentren l iegt imJahresmittel bei einem Maximum von ca. 20%. Investitionen inVirtual isierungstechnologien (bspw. der Aufbau einer Private Cloud) können dieServerauslastung verbessern. Dennoch haben Umfragen unter IT-Entscheidern ergeben,dass der maximale Nutzungsgrad durch Virtual isierung den Wert von 25% nicht übersteigt.
Die Nutzung bestehender Hardware gehört zu den Kernkompetenzen von CloudComputing Anbietern, wodurch Unternehmen einen enorm Vortei l erhalten können. AufBasis der Preismodelle des Cloud Computing, bei der die Abrechnung nach dertatsächlichen Nutzung erfolgt, kann eine Auslastung von 1 00% erreicht werden. Der CloudComputing Anbieter erzielt wiederum seinen Benefit über einen großen Kundenstamm, umdamit die Gesamtauslastung seiner eingesetzten Hardware zu optimieren.
Die Lastvertei lung innerhalb der Systeme des Cloud Anbieters findet auf Basis von Kundenaus unterschiedl ichen Branchen statt. Die Anforderungen der jeweil igen Kunden
Cloud Computing vs. eigene IT-Infrastruktur
von René Büst
16
01/2011
SymposiaJournal
01/2011
SymposiaJournal
Cloud Computing Basicsdivergieren, wodurch sich Lastspitzen- und einbrüche über einen Tag gegenseitigausgleichen. Bspw. gibt es Unternehmen, deren Webshop am Tag Hochkonjunktur hat. Inder Nacht dagegen aber wenig besucht wird. Und Unternehmen, die in der Nacht ihreBatchverarbeitungen durchführen, dafür am Tag aber minimale Ressourcen benötigen.
Hinzu kommt, dass Cloud Anbieter auf Grund einer hohen Kundenanzahl höhereInvestitionen in ihre Infrastruktur vornehmen können, als es ein einzelnes Unternehmentätigen könnte, was die Effizienz der Infrastruktur erhöht und wiederum allen Kundenzugutekommt.
Mit Cloud Computing Konzepten wie das Auto Scaling oder das Elastic Load Balancingwie es z.B. die Amazon Web Services anbieten, haben Unternehmen die Möglichkeit ihregenutzten Ressourcen je nach Bedarf automatisch zu skalieren und damit eineAuslastung von nahezu 1 00% zu erzielen.
Kosten der HardwareUnternehmen investieren über Jahre hinweg viele Mil l ionen Euro in die Erweiterung undWartung ihrer Infrastruktur. Dazu gehören die Anfangsinvestitionen in die Rechenzentrenund die zwingend erforderl iche technologische Aufrüstung aller Systeme. Ab einemZeitpunkt bleiben die Kosten zwar gleich, was sich aber ebenfal ls auf die Leistung derSysteme auswirkt.
Cloud Anbieter machen sich das Skalierungskonzept des Cloud Computing zunutze,indem sie sich eine immens große Hardwarelandschaft zu niedrigen Kosten aufbauen,von der ebenfal ls die Kunden des Cloud Anbieters hinsichtl ich der Kosten und Leistungprofitieren. Weiterhin profitieren beide von dem Konzept des Pay-per-Use, da die Kostenfür die Kühlung, sowie die Stromkosten eines einzelnen Systems von der Nutzungabhängig sind. Ein einzelnes Unternehmen hat in seinem eigenen Rechenzentrum nichtdie Möglichkeit diese Kosten zu kontrol l ieren.
Wirtschaftliches StrommanagementUm die Wirtschaftl ichkeit des Strommanagement zu messen, wird die sogenannteStromnutzungseffizienz betrachtet. Im Schnitt l iegt diese in Rechenzentren bei ca. 2,5.Das bedeutet, dass jedes Watt an Strom, das für die Server verbraucht wird, 1 ,5 Watt anFixkosten benötigen wird. Damit Unternehmen allerdings Strom sparen, müssen sie dafürsorgen, dass alle technischen sowie IT-Ressourcen auch dementsprechend eingesetztwerden. Unternehmen, die eigene Rechenzentren betreiben, stehen daher vor derHerausforderung, die Investitionen zu erhöhen, um die Effizienz der Stromnutzung zuerhöhen. Allerdings sehen viele nicht den Nutzen dieser Investitionen.
Cloud Computing Anbieter hingegen investieren hohe Summen in ihre Rechenzentren,was dazu führt, dass die Effizienz weit über dem eigentl ichen Durchschnitt l iegt.
RedundanzeffekteUnternehmen stehen immer mehr vor der Herausforderung, über eine zuverlässige undhochverfügbare IT-Infrastruktur zu verfügen. Dazu benötigen sie neben zuverlässigen
17
01/2011
SymposiaJournal
Cloud Computing BasicsSicherheits- und Speicherlösungen ebenfal ls eine zuverlässige Netzwerkinfrastruktur inkl.redundanter Hardware sowie Transitverbindungen und physikal ischen (Backup)-Leitungenzwischen den einzelnen Rechenzentren.
Dieses Konzept ist nicht mit einer gewöhnlichen RAID Konfiguration zu vergleichen.Weiterhin müssen neben einer Sicherung und der Bereitstel lung einer zuverlässigenNetzwerkinfrastruktur auch ein Konzept für ein Worst-Case Szenario vorhanden sein.Dazu gehört das Bereitstel len von Daten (Informationen) und Applikationen in mehrerenvertei lten Rechenzentren auf Basis einer hochverfügbaren Software oder bekannten Hot-oder Cold Standby Konzepten. Um ein vollständiges Backupkonzept zu realisieren ist esunumgänglich dazu alle aktiven vorhandenen Rechenzentren und die darin betriebenenServer ständig zu nutzen. Sollte ein Rechenzentrum nicht dauerhaft in Betrieb sein, wirdes in dem Moment da es benötigt wird, nicht wie erwartet zur Verfügung stehen undbetriebsbereit sein. Die Kosten und die Komplexität hinter diesem Konzept dürfen dabeivon den Unternehmen nicht vernachlässigt werden.
Cloud Computing Anbieter können das oben genannte Konzept auf Basis der breitenKundenbasis bereitstel len und dazu mehrere Verfügbarkeitszonen anbieten. So verfügenbspw. die Amazon Web Services über die sogenannten Availabi l ity Zones.
SicherheitEin beliebter Punkt der auf Grund von Kosten von Unternehmen gerne vernachlässigtwird, ist das Sicherstel len, der Schutz und die Verfügbarkeit der Unternehmensdaten, dieim Regelfal l unternehmenskritisch sind. Zu den Investitionen gehören dabeiNetzwerkhardware und Softwarel izenzen zur Erhöhung der Sicherheit, Kosten für dasPersonal, Kosten durch Vorgaben von Behörden und physikal ischeSicherheitsvorkehrungen wie Chipkarten etc.
Optimierte BereitstellungKlassische Rechenzentren sind nicht hinsichtl ich der Skalierbarkeit konzipiert. Das führtzu Kapazitätsproblemen, die auf Grund zeitl icher Diskrepanzen von der Bestel lung derHardware bis zur Instal lation und Bereitstel lung entstehen. Ein vollständigerBereitstel lungsprozess kann schon einmal mehrere Monate in Anspruch nehmen.Unternehmen “lösen” diese Probleme, indem sie ihre Infrastruktur überdimensionieren.Das führt al lerdings zu höheren Kosten und treibt die Uneffizienz des Rechenzentrumsvoran, da dadurch viele Systeme einfach nicht benötigt werden.Cloud Computing Anbieter können sich auf Grund einer breiten Kundenbasis eineÜberdimensionierung ihrer Kapazitäten leisten. Sie nutzen dazu Skaleneffekte und habendamit bessere Verhandlungsmöglichkeiten mit ihren Zulieferern und können damit ihreInvestitionen amortisieren.
MitarbeiterMitarbeiter in einem Rechenzentrum gehören, auch wenn es nicht offensichtl ich ist,heutzutage zu den wichtigeren Personen im Unternehmen. Diese verursachen natürl ichauch Kosten. Die Arbeit in einem Rechenzentrum sollte aber nicht unterbewertet werden.Das Personal ist hier neben der Verwaltung der heterogenen Serverlandschaft für dasSicherstel len neuer Systeme etc. und den Entwurf neuer Rechenzentrumskonzepte
18
01/2011
SymposiaJournal
Cloud Computing Basicszuständig. Weiterhin müssen die Verträge mit Zul ieferern immer wieder neu verhandeltund die Skalierbarkeit des Rechenzentrums sichergestel lt werden. Weiterhin muss7x24x365 ein Team in jedem Rechenzentrum vor Ort sein, um den reibungsfreien Betriebzu garantieren, der für ein Unternehmen heutzutage unerlässl ich ist.
Indirekte Kosten
Wartung und BetriebDie Betrachtung der direkten Kosten sollte nicht vernachlässigt werden. Jedoch solltenicht der Fehler gemacht werden, die indirekten Kosten nicht zu betrachten. Dazugehören die Kosten für den Betrieb und die Wartung der Infrastruktur. Für die Verwaltungeiner heute gängigen hochverfügbaren IT-Infrastruktur ist ein entsprechend ausgebildetesPersonal notwendig. Das führt dazu, dass Unternehmen hier mehr in das Personalinvestieren müssen, um die Risiken zu minimieren, dabei aber den Fokus auf ihreChancen zur Erweiterung ihres Kerngeschäfts verl ieren.
ErweiterungDie IT-Budgets vieler Unternehmen werden immer mehr gekürzt, wodurch nichtausreichend Kapital zur Verfügung steht, um die Infrastruktur nach den gewünschten undeigentl ich benötigten Bedürfnissen auszubauen. Aus diesem Grund werden die meistenProjekte nicht real isiert.
Neue ChancenAuf Grund der Flexibi l ität einer Cloud Infrastruktur erhalten Unternehmen die Gelegenheit,ihre Kernkompetenzen direkt umzusetzen und neue Ideen und Projekte zu testen.Weiterhin sol lte die Skalierbarkeit einer Cloud Infrastruktur nicht vernachlässigt werden.So können Webseiten Lastspitzen z.B. zu Weihnachten ohne bedenken überstehen.Forschungsunternehmen haben die Möglichkeit sich Rechnerleistungen für umfangreicheSimulationen zu mieten, ohne dabei in eigene Ressourcen zu investieren.
FazitCloud Computing sollte nicht nur als ein Konzept betrachtet werden um Kosten zuminimieren. Unternehmen erhöhen damit deutl ich ihre Produktivität und können imVergleich zum eigenen Rechenzentrum flexibler und schneller reagieren, indem sieRessourcen on-Demand nutzen können.
Über René Büst
René Büst ist Cloud Computing Evangelist & Stratege, Cloud Architekt& Trainer, Analyst, Managing Director von Symposia Concepts undGründer & Autor von CloudUser | Ξxpert. Er hat ein Informatik Diplomder Hochschule Bremen und ist Cand. M.Sc. in IT-Management an derFHDW Paderborn.
19
01/2011
SymposiaJournal
Cloud Computing Meinung
Cloud Computing hat sich vom technischen Experiment schon lange weg entwickeltund findet in den Chefetagen viel Beachtung, weil die betriebswirtschaftlichenAuswirkungen einer On-Demand Umgebung verlockend sind. Das erklärt auch dieBemühungen etablierter Unternehmen, die Prozesse so auszurichten, dass mangeschäftlich von den unterschiedlichen Ansätzen des Cloud Computing profitierenkann.
Das Interesse für Cloud Computing auf den Führungsebenen hat auf der anderen Seite dieWirkung, dass jeder IT Herstel ler seine Produkte in „Cloud“ umbenennt – leider meist ohnetatsächlich die Skalierbarkeit oder On-Demand Anforderungen konzeptionel l umzusetzen.Eines ist klar: Jeder, der heute IT im Hause hat, ist vom Cloud Virus befal len und jeder derIT anbietet, wil l auf den Zug aufspringen. Dieser Beitrag erläutert real istisch, warum CloudComputing neuen Unternehmen einen erheblichen Marktvortei l verschafft, warum der Wegin die Cloud für etablierte Unternehmen ein steiniger ist und warum das Thema Migration –auch wenn in den enthusiastischen Cloud Diskussionen nicht oft angesprochen – derentscheidende Faktor für nachhaltigen Erfolg für etablierte Unternehmen sein kann.
Der geschäftliche Nutzen von Cloud ist offensichtlichEgal welche Cloud Philosophie man verfolgt oder über welche der Cloud Ansätze manliest. Das Ziel ist es, immer IT Services so anzubieten, dass diese nach Bedarf verfügbargemacht werden und dementsprechend auch nach Bedarf bezahlt werden. Dieverschiedenen Cloud Ansätze (z. B. IaaS, SaaS, PaaS, etc.) unterscheiden sich dabeiledigl ich von der Fertigungstiefe, in der dieses Modell angewandt wird. Bei Iaas(Infrastructure as a Service) ist die geringste Fertigungstiefe, weil man tatsächlich bisherphysische Hardware durch dynamisch buchbare virtuel le Hardware ersetzt. Bei SaaS(Software as a Service) ersetzt man komplexe individuel le Entwicklungen durchstandardisierte Anwendungen von deren Entwicklung und Pflege ein ganzer Kreis anBenutzern profitiert und bei PaaS (Plattform as a Service) reduziert man die
Die Herausforderung für etablierte Unternehmen
von Hans-Christian Boos
21
01/2011
SymposiaJournal
Cloud Computing MeinungFertigungstiefe sogar auf das Niveau der Geschäftsprozessunterstützung. Gemeinsamhaben diese Ansätze alle, dass man eine Überinvestition in grundlegende IT Ressourcenoder Entwicklungen verhindern wil l und stattdessen lieber die notwendigen Ressourcengenau dann einkauft, wenn diese gebraucht werden.
Das mag sich nach einem technologisch verspielten Ziel anhören, al lerdings sollte mansich aber folgendes vor Augen führen: Auf Seiten der Infrastruktur nutzen die meistenetablierten Unternehmen durchschnittl ich unter 1 0% und im Maximum nicht einmal 20%ihrer vorhandenen IT Ressourcen. Folgl ich wären zwischen 80% und 90% allerAnschaffungen in diesem Bereich vollkommen unnötig. Hierin sieht man den enormenbetriebswirtschaftl ichen Hebel, der sich hinter dem Thema Cloud Computing versteckt.Genau aus diesem Grund ist der zynischen Aussage, dass Cloud Computing die Ankunftder al ler ersten IT Konzepte in der Finanzabteilung sei (bereits die Hosts in den 70 Jahrenarbeiteten mit Virtual isierung), einiges abzugewinnen.
Formuliert man die Ergebnisse der Nutzung von Cloud Computing im vorgesehenenSinne – und die Geschäftsmodelle der meisten Anbieter bilden diesen noch nicht zu 1 00%ab – kurz, bedeutet Cloud Computing eine Reduktion der notwendigen Investitionen in ITAssets um mindestens 80%.
Es ist also offensichtl ich: Wer einem solch gravierenden Vortei l nicht folgen kann, derkann künftig unmöglich eine nachhaltig erfolgreiche Marktposition besetzen.
Für die Jugend ist der Himmel näherEs überrascht nicht, dass junge Unternehmen (Startups) es leichter haben, von solchenneuen Konzepten zu profitieren. Und dazu muss man gar nicht die Psychologie bemühen,die besagt, dass Menschen sich nur unter Druck aus der Komfortzone bewegen undetablierte Verfahren ändern. Ein junges Unternehmen kann schlicht und einfach dieEntscheidung treffen, wie es sich im Bezug auf IT Architektur, Datenhaltung,Softwarenutzung, Fertigungstiefe in der IT etc. aufstel len wil l und diese Entscheidungeneinfach umsetzen. In einem etablierten Unternehmen kann die Entscheidung über dasZiel genauso schnell und einfach getroffen werden – auch wenn hier die Prozesse umeine Entscheidung zu finden alleine meist schon ungleich länger sind – aber dieUmsetzung dieser Entscheidung ist ungleich komplizierter. Diese Komplexität rührt daher,dass man nicht einfach auf der grünen Wiese anfängt und IT so entwirft, wie man siehaben wil l . Es bestehen vielmehr etablierte IT Prozesse, die das Unternehmen auch jedenTag zum Arbeiten braucht und diese sehr stark untereinander vernetzt sind. Wil l man nurfür einen kleinen Teil dieser Landschaft Cloud Computing Prinzipien anwenden, hat dasnicht nur Auswirkungen auf die betreffenden Dienste. Da bei einem Umzug diese anderenDiensten nicht mehr zur Verfügung stehen und ggf. keine Kompetenz im Betrieb oder inder fachlichen Nutzung vorl iegt, kann das schnell Auswirkungen auf die gesamte IT desUnternehmens haben. Gerade durch den Vernetzungsgrad, den wir nicht nur dramatischerhöht haben, sondern dessen Stabil ität auch erheblich gesteigert wurde, wird dieEinführung von Cloud Computing in etablierten, IT-fokussierten Unternehmen zu einerungeheuren Herausforderung.
22
01/2011
SymposiaJournal
Cloud Computing MeinungVon der technischen Herausforderung zum ExistenzkampfDie bisherige Ausführung beschreibt das Problem, in einer etablierten Umgebung einenotwendige Veränderung durchzuführen. Die Schwierigkeiten, die entstehen, wenn mandiese Veränderung nicht ausführt, sol lten aber noch plastischer sein:Angenommen ein großes deutsches Unternehmen hat ca. 5000 Anwendungen und einBudget von 800 Mio. € p.a. in der IT und hat errechnet, dass allein durch die Nutzungeiner Hybrid Cloud auf Infrastrukturebene ca. 1 00 Mio € p.a. für nicht benötigteHardwareanschaffungen, nicht benötigte Lizenzen und nicht verbrauchte Energieeingespart werden können. Man entscheidet sich also dafür, unbedingt „dieses CloudZeug“ zu machen. Und stel lt dann fest, dass man dazu alle 5000 Anwendungen -zumindest im Sinne der Infrastruktur auf der diese laufen - zumindest umziehen und ineinigen Fällen sogar anpassen muss.
Jeder der schon einmal eine Migration zu einem Outsourcinganbieter mitgemacht hat,weiß was das bedeutet – sehr viel Arbeit und quasi Sti l lstand in der IT.
Untersucht man den notwendigen Migrationsaufwand – nur in Zeit – und stel lt fest, dasseine Anwendung ca. 3 Monate Migrationszeit hat. Bei 5000 Anwendungen sind das 1 500Monate. Kann man 1 00 Projekte gleichzeitig durchführen – und das ist schon rechtenthusiastisch – bleiben 1 50 Monate oder 1 2,5 Jahre. Die Idee in einem großenUnternehmen die IT für 1 2 Jahre lahmzulegen, dürfte im besten Falle mit einem mildenLächeln und im schlimmsten Falle mit dem Rauswurf des Architekten enden, der dieserealistischen Schätzungen auf den Tisch legt. Und selbst wenn ein weit bl ickenderVorstand sich auf eine solche Migration einlassen würde, hat das Jungunternehmen, dasdem Platzhirsch den Rang ablaufen wil l , 1 2 Jahre Zeit. 1 2 Jahre in denen der Platzhirschwegen der Migration wenig IT Innovation erbringen wird und 1 2 Jahre in denen derPlatzhirsch jedes Jahr 1 00 Mio. € ausgibt, die beim Jungunternehmen niemals als Kostenanfal len können.
Den gordischen Knoten der Migration durchschlagenEs muss also eine Lösung für das Problem der Migration gefunden werden. Aber andiesem Problem arbeiten sehr viele Outsourcing-Anbieter und deren Kunden schon vieleJahre, denn ohne die aufwändigen Migrationen, wären die meisten Outsourcing-Projektewesentl ich profitabler und die Kunden wesentl ich glückl icher, weil sie nicht mehr dasGefühl hätten, bei einem Dienstleister gefangen zu sein. Es erscheint also nichtreal istisch, dass man eine Möglichkeit finden kann, mit der eine Migration wie obenbeschrieben einfach in einem Monat erledigt ist. Man muss also nach einer Lösungsuchen, die einerseits die Migrationszeit verkürzt und andererseits einen zusätzl ichenVortei l aus der durchgeführten Migration zieht.
Wenn man eine etablierte IT Landschaft besitzt und es gut finanzierte Jungunternehmengibt, die in den eigenen Markt eindringen wollen, erscheint das Unterfangen nachhaltig imMarkt bestehen zu wollen, viel leicht hoffnungslos. Dies wird jedoch zu einer machbarenHerausforderung, wenn man das Problem der Migration hinreichend lösen könnte.Glückl icher Weise reagieren Unternehmen auf derartige Herausforderungen besser alsdie Politik dies meistens tut und packen sie tatsächlich an.
23
01/2011
SymposiaJournal
Cloud Computing MeinungWissen und seine Anwendung sind die LösungDen Vortei l , den etablierte Unternehmen immer haben, ist das Wissen, das sie bei ihrerbisherigen Tätigkeit angehäuft haben. Wenn man es schafft, dass dieses Wisseneingesetzt wird, um Innovationen schneller nutzbar zu machen, so kann ein etabliertesUnternehmen immer einen gehörigen Vortei l gegenüber einem neuen Markttei lnehmererwirtschaften.
Aber was haben diese philosophischen Gedanken mit dem Thema IT Migration zu tun?Bei einer Migration wird gewöhnlicher Weise das gesamte Wissen über die zumigrierende Anwendung, ihren geschäftl ichen Nutzen, ihre Abhängigkeiten zu anderenAnwendungen, ihre Infrastruktur aufgearbeitet, übergeben und dafür genutzt, dieAnwendung in einer neuen Umgebung wieder zum Laufen zu bekommen.
Schon einmal klar, warum Migrationen etwas mit Wissen zu tun haben. Die Frage, wiediese Erkenntnis die Migrationszeit reduzieren kann und gleichzeitig einen weiteren Vortei lfür das folgende Geschäft etabl ieren kann, ist aber noch nicht beantwortet. Dazu mussman sich den typischen Business Case eines Outsourcingdeals ansehen: Bei diesem wirddavon ausgegangen, dass wenn man einmal die zu übernehmenden Applikationenverstanden hat, eine bessere Cost-Income-Ratio dadurch erzielt werden kann, weil Teiledieses Wissens bereits verfügbar sind. Dadurch kann man damit nicht nur dieSkaleneffekte verbessern, sondern da sich aus der Kombination des bestehenden undneuen Wissens neue Leistungen ergeben, den Marktauftritt verbessern. Nur bei einerMigration der gesamten IT, wie es für Cloud Computing notwendig ist, geht diesedauerhafte Verbesserung der Kosten nicht auf, weil schl icht und einfach der Markt fehlt,der die Umsetzung der Kostenverbesserung in zusätzl iche Marge oder weitere Projekteermöglicht. Umgekehrt kann man das bei einer Migration anfal lende Wissen anwenden,um andere Teile der Migration zu automatisieren und damit Migrationszeiten zu verkürzen.Außerdem kann man dieses Wissen dann gleichzeitig auf den Betrieb der migriertenUmgebung anwenden.
Dadurch senken sich die Migrationskosten nicht nur um den „Cloud Faktor“, sondern auchnoch um den Wissensfaktor: Mit der richtigen Methode, die zur Automation pures Wissennutzt und dieses Wissen damit skalierbar macht, kann man den eigentl ichen Overheadder Migration – den Transfer von Wissen – in einen dauerhaften Vortei l verwandeln.
Das Schlüsselwort für den Weg etablierter Unternehmen in die Cloud ist also Automation.Damit ist aber nicht Automation gemeint, wie sie schon seit 4 Jahren in der IT angewendetwird, sondern Automation, die Wissen aufnimmt und dieses dynamisch auf neueUmgebungen und Situationen anwendet, so dass die Automation nicht dieStandardisierung erzwingt – die in sich wieder aufwändig ist – sondern dieWeiterentwicklung und Innovation unterstützt.
24
01/2011
SymposiaJournal
Über Hans-Christian Boos
Hans-Christian Boos gründete 1 995 das Unternehmenarago - Institut für komplexes Datenmanagement AG. Inseinen Verantwortungsbereich fal len die technischenGeschäftsbereiche des Systembetriebs und derProduktentwicklung sowie die strategische Ausrichtungdes Unternehmens. Er studierte Informatik an derEidgenössischen Technischen Hochschule (ETH) inZürich sowie an der Technischen HochschuleDarmstadt. Seinen berufl ichen Werdegang begann er
anschließend im Finanzbereich. Heute ist er neben seiner Funktion bei arago alsAufsichtsrat und Berater bei verschiedenen Unternehmen und Organisationen tätig. Hans-Christian Boos ist Autor zahlreicher Fachpublikationen zu den Themen IT Automatisierung,Information Modell ing und IT-Strategien und gefragter Gesprächspartner der Medien imBereich Cloud Computing. Unter anderem wurde er vom renommierten Economic ForumDeutschland mit dem National Leadership Award für herausragende Leistungen in der IT-Branche ausgezeichnet.
Cloud Computing Meinung
25
01/2011
SymposiaJournal
Cloud Computing Meinung
Cloud Computing – Motor der ITvon Dr. Martin Reti
Für die einen ist es der Stein der Weisen, ein neues IT-Paradigma, für die andereneine neue Sau, die durchs globale IT-Dorf getrieben wird und für die größtenSkeptiker ist es nur alter Wein in neuen Schläuchen – und alle zusammen meinenCloud Computing, eine Weiterentwicklung der Virtualisierung in ein neuesGeschäftsmodell.
Bei kaum einem anderen IT-Thema gehen die Meinung momentan weiter auseinander.Eine Ursache dafür lässt sich in der Vielzahl der konkurrierenden Definitionen finden, eineandere darin, dass immer mehr Anbieterfirmen unterschiedl ichster Couleur das Thema fürsich entdecken und ihre Services auch unter den Mantel der Cloud ordnen.
Potenzial für UmwälzungDabei hat gerade Cloud Computing, wie der Bitkom in seinen Leitfäden feststel lt, dasPotenzial für eine echte Revolution – und zwar nicht nur in der IT-Branche, sondern fürdas Geschäftsleben insgesamt. Durch die Bank sehen auch Analysten das großePotenzial, das Cloud Computing innewohnt. IDCs Frank Gens geht sogar so weit, CloudComputing als den Motor für die nächsten zwanzig Jahre der IT-Branche zu bezeichnen.
Und auch die IT-Entscheider in den Unternehmen bestätigen diese Ansicht: In der StudieLIFE2 unter Federführung von Prof. Dr. Tobias Kretschmer der LMU München artikul iertdie Hälfte der Befragten, dass Cloud Computing zur dominierenden Sourcingvariantewerden wird, weitere zehn Prozent gehen noch einen Schritt weiter: Sie postul ieren einekomplette Abkehr von eigener IT. „T-Systems summiert diese Entwicklungen als einenTrend zum Dynamic Net-Centric Sourcing. Darunter verstehen wir einen dynamischenBezug von ICT-Ressourcen adaptiert an das aktuel le Business des Kunden – mit einerentsprechenden Flexibi l isierung der Kosten“, ergänzt Dr. Michael Pauly, bei T-Systemseiner der Experten für Cloud Computing.
26
01/2011
SymposiaJournal
Cloud Computing MeinungMit seinen zentralen Versprechen der Kostenreduktion, Flexibi l isierung, Geschwindigkeitund Einfachheit adressiert Cloud Computing aktuel le Herausforderungen aller IT-Verantwortl ichen. Mehr Flexibi l ität in Business und IT zu erhalten bei geringeren bzw.flexiblen Kosten – wer würde da nicht aufhorchen? Tatsächlich hat Cloud Computing ineinigen Projekten schon bewiesen, wozu es fähig ist. In einem legendären Szenario hatdie New York Times 11 Mio. Texte und Bilder in das pdf-Format konvertiert – zu einemBruchtei l der Kosten eines klassischen IT-Projekts. Viele andere Unternehmen, vor al lemin den USA, greifen bereits auf Dienste wie Infrastructure as a Service oder Software as aService zurück.
Cloud ist nicht gleich CloudHäufig bestehen bei den IT-Entscheidern jedoch Bedenken gegenüber Cloud Computing.Und das nicht ohne Grund: In der aktuel len Diskussion um Cloud Computing rangierenThemen wie Compliance, Rechtsrahmen oder Datenschutz ganz weit oben.
Tatsächlich dürfen personenbezogene oder auch steuerrelevante Daten nicht ohneweiteres über Landesgrenzen oder zu Subunternehmern verschoben werden. Währenddie Public Cloud hier schnell an ihre Grenzen kommt, versprechen Private Clouds eineLösung. Hier kann auch kundenindividuel l vereinbart werden, dass beispielweiseausschließlich Ressourcen innerhalb bestimmter Rechtsräume eingesetzt werden.Und in Private Clouds ist auch der dynamische Betrieb von unternehmenskritischenServices möglich, weil Service Levels vereinbart werden können. Abgesehen davon, dassder Kunde keine Abstriche an der Funktionalität hinnehmen muss.
„Im Jahr 2004 sind wir mit unserem Dynamic Services Angebot gestartet“, erläutert Pauly.„Dieses bildet genau die Ansprüche ab, die Großunternehmen an moderne IT-Dienstleister haben und im Cloud Computing kristal l isieren: Flexible Bereitstel lung undBezahlung von IT-Services, die das Investitionsrisiko dramatisch senken“. T-Systemsbetreibt insbesondere SAP-Applikationen auf dieser Basis – und das für weit mehr als 1 00Großunternehmen wie Shell , Linde, MAN oder die Deutsche Telekom. Sie nutzen etwa 1 5Mio. SAPS für knapp 2 Mio. Nutzer. Ende 201 0 betrieb der ICT-Dienstleister rund 75%seiner SAP-Systeme dynamisch – was SAP mit einer Zertifizierung zum SAP CloudHoster kürte. Aber auch andere Standardanwendungen erobern die dynamische Plattformimmer weiter.
„Die Nachfrage nach bedarfsgerechten IT-Leistungen lässt sich nicht wegdiskutieren“,resümiert Pauly. Aber Dynamik und Kostenreduktion sind nur eine Seite der Medail le – imBusinessumfeld müssen Anbieter die Sicherheit und Zuverlässigkeit der Outsourcing-Weltmit den Möglichkeiten der neuen Cloudwelt für ihre Kunden zusammenführen. Und wennman über Cloud Computing spricht, ist es auch wichtig, über die Sicherheit undBelastbarkeit der Netze zu reden. Dann erweist sich ein Anbieter, der sowohl IT- als auchTK-Leistungen aus einer Hand erbringen kann, als gute Wahl. Denn dadurch könnendurchgängige Servicelevels für komplette Services vereinbart werden.
27
01/2011
SymposiaJournal
Cloud Computing MeinungNicht stehenbleibenWer in der IT-Branche stehenbleibt, der wird überholt. „Cloud Computing hat dieDiskussion um dynamische IT-Dienste abermals massiv befeuert“, weiß Pauly.
T-Systems hat sich deswegen entschlossen, seine Famil ie der Dynamic Services um einkostengünstiges IaaS-Angebot zu erweitern: Dynamic Services for Infrastructure.Interessierte können den Dienst ausprobieren. Ende November 201 0 wurde er IT-Analysten präsentiert und erntete positive Kritiken.Im Gegensatz zu den Dynamic Services, die als Plattform mit integrierter Sicherheitunternehmenskritische Prozesse unterstützen, bietet der neue Infrastrukturdienst seinenNutzern weitgehende Gestaltungsfreiheit. Innerhalb von Minuten werden virtuel leMaschinen mit dem gewünschten Betriebssystem bereitgestel lt, auf denen beispielsweiseApplikationen getestet oder entwickelt werden können. Dynamic Services forInfrastructure werden im Laufe des Jahres auch in einem „managed“-Modus angeboten,der komplette vorkonfigurierte Images inklusive Betriebssystem bietet.Auch auf der PaaS- und SaaS-Ebene erweitert T-Systems sein Servicespektrum: MitDynamic Services for Collaboration wird in der zweiten Jahreshälfte ein Officepaket ausder privaten Cloud verfügbar, mit Dynamic Services for SAP Projects werden inMinutenschnelle SAP-Landschaften für Test-, Entwicklungs- und Schulungszwecke überdas Netz bereitgestel lt.
Strategie entwickelnCloud Computing als neue Sourcingalternative stößt auch die Diskussion um denrichtigen Sourcingmix wieder an. Auch wenn Cloud Computing schnell genutzt werdenkann – der Sprung in die Cloud hat weit reichende Auswirkungen auf ein Unternehmen.So muss beispielsweise der Einkauf sich auf neue Prozesse einstel len, Nutzer müssenmehr Verantwortung auch für die Sicherheit übernehmen. Und die neuen Servicesmüssen sich in die bestehende ICT-Landschaft integrieren. Dafür muss ein verbindl icherRahmen geschaffen werden, sonst wird Cloud Computing schnell zum Albtraum. Mit demAngebot der Cloud Readiness Services helfen Experten bei T-Systems, den richtigen Mixzu finden und die neuen Cloud Services mit der bestehenden ICT-Welt und denBusinessprozessen zu versöhnen.„Ganzheitl ich gedacht und implementiert bietet Cloud Computing Unternehmenbedeutende Chancen. Angst vor dem neuen Geschäftsmodell ist aber nicht angebracht –insbesondere, wenn man einen erfahrenen Partner an der Seite hat“, fasst Paulyzusammen.
Über Dr. Martin Reti
Dr. Martin Reti, ein digitaler Imigrant, arbeitet im Solution Marketingvon T-Systems und verfolgt das Thema Cloud Computing intensiv.Der Kommunikationsmann ist einer der Autoren des Bitkom-Leitfadens "Cloud Computing – Evolution in der Technik, Revolutionim Business".
28
01/2011
SymposiaJournal
Cloud Computing Meinung
Datenschutzwerkzeuge für die Cloudvon Sven Thomsen
Regelmäßig findet man in Artikeln oder einzelnen Presseerklärungen Aussagen wie„Datenschutz ist größtes Hindernis beim Cloud-Computing“ oder „Cloud-Computing mit Datenschutz nicht vereinbar“. Allein schon aufgrund der Vielfalt derheute dem Cloud-Computing zugerechneten Dienste und der unterschiedlichenEinsatzszenarien sind solche generellen Aussagen eher unangebracht.
Vielmehr müssen Anwenderinnen und Anwender von cloud-basierten Diensten sich derHerausforderung stel len, solche Dienste mit bewährten Mitteln und erprobtenVorgehensweisen sicher und ordnungsgemäß zu betreiben.
Es zeigt sich, dass beim Cloud-Computing datenschutzspezifische, zusätzl iche Risikenbetrachtet und angemessenen behandelt werden müssen. Der Großteil der in deraktuel len Diskussion dem Datenschutz zugeschriebenen Hindernisse l iegt jedoch imBereich der Datensicherheit und dem Control l ing von Outsourcing.
Im Folgenden werden vor al lem Szenarien in den Vordergrund gestel lt, die in der häufiganzutreffenden Typisierung wie zum Beispiel der CloudSecurityAll iance einer „PublicCloud“ zuzurechnen sind. Ansätze wie „Private Clouds“ oder „Community Clouds“ sindzwar auch mit spezifischen Risiken versehen, die Behandlung dieser Risiken ist jedochdurch die deutl ich besseren inter- oder intra-organisationel len Steuerungsmöglichkeiten imVergleich zu „Public Clouds“ deutl ich einfacher. Die häufig angeführten Probleme imZusammenhang mit mangelnder Transparenz und dem damit einhergehendenKontrol lverlust sind besonders stark ausgeprägt bei „Public Clouds“.
Verantwortung und VerträgeGrundlage jegl icher professioneller Geschäftsbeziehungen ist der schriftl iche Vertrag.Ausnahmen hiervon mögen in Einzelfäl len funktionieren, aber Vereinbarungen zuprofessionellen IT-Dienstleistungen trifft man besser nicht mit dem eher für Viehauktionengeeigneten „kaufmännischen Handschlag“.
30
01/2011
SymposiaJournal
Cloud Computing MeinungZiel solcher Verträge ist es, die Rechte und Pfl ichten der jeweil igen Vertragspartner klarund vor al lem: messbar darzulegen. Gerade im Krisenfal l , also einer mangelhaftenLeistung des Anbieters oder bei unzureichender Mitwirkung des Kunden, wird einekonkret messbare Leistungserbringung wichtig.
Potentiel le Anwender von cloud-basierten Diensten stehen in der aktuel len Marksituationjedoch vor dem Problem, vom Anbieter gerade keine oder nur äußerst vageLeistungsbeschreibungen oder konkreter: Leistungszusagen zu erhalten. Häufig sindselbst elementare Zusagen zur Verfügbarkeit, wie man sie von „klassischen“ Verträgen imIT-Umfeld kennt, nicht vorhanden.
Diese mangelhaften Leistungszusagen müssen Kunden dann häufig durch eigene,zusätzl iche Maßnahmen kompensieren, um ein nachvollziehbaresRisikomanagementsystem mit tragbaren Restrisiken aufzubauen.
Die Probleme mit unzureichenden IT-Verträgen sind älter als der Begriff „Cloud-Computing“. Es ist sinnvoll , die bereits bestehenden Lösungen zu betrachten und diesefür die neue, spezifische Situation des Cloud-Computing anzupassen.
Der CIO des Bundes [1 ] hat auf seinen Webseiten viele Werkzeuge undStandardvorgehensweisen zur IT-Planung und –Steuerung zusammengefasst. Für dieVertragsgestaltung finden sich dort mit den Ergänzende Vertragsbedingungen für dieBeschaffung von IT-Leistungen (EVB-IT) [2] gute Vorlagen für vertragl iche Regelungen,die auch für das Anbieten oder Einkaufen von cloud-basierten IT-Leistungen Anwendungfinden können. Interessierte sollten insbesondere die umfangreichen Anlagen und Musterbetrachten, die im Rahmen der Entwicklung der EVB-IT entstanden sind.
Viele der Regelungen in den EVB-IT sind bereits geeignet, einen Großteil dergesetzl ichen Anforderungen aus dem Bundesdatenschutzgesetz oder den jeweil igenLandesdatenschutzgesetzen in Bezug auf die Datenverarbeitung im Auftrag oder dieDatenübermittlung zu erfül len.
Gerade Anbieter von cloud-basierten Diensten abseits der großen Platzhirsche wieMicrosoft, Google oder Amazon sollten sich durch konkrete, nachvollziehbare undmessbare vertragl iche Regelungen einen Wettbewerbsvortei l verschaffen.
OutsourcingDie Outsourcing-Welle der 80er- und 90er-Jahre des letzten Jahrtausends hat deutl icheSpuren in der IT-Landschaft hinterlassen. Die mit dem Outsourcing verbundenen Risikenund Herausforderungen haben jedoch zu einer ganzen Gruppe von speziel len „StandardsOf Good Practice“ in diesem Bereich geführt.
Für deutschsprachige Anwender sehr lesenswert ist der Baustein B1 .1 1 desGrundschutzkatalogs [3] des Bundesamts für Sicherheit in der Informationstechnik.Gemäß der Vorgaben der Standards [4] 1 00-1 bis 1 00-3 werden hier für typischeGefährdungen und Einsatzszenarien Maßnahmenempfehlungen ausgesprochen, um eineakzeptable Risikobehandlung im Bereich des Outsourcings durchzuführen.
31
01/2011
SymposiaJournal
Cloud Computing MeinungDer Baustein kann direkt auch auf die Nutzung von cloud-basierten Diensten angewendetwerden und bietet eine strukturierte Vorgehensweise, um einen Großteil der notwendigentechnischen und organisatorischen Maßnahmen zu betrachten und ggfs. mit leichtenVeränderungen anzuwenden. Neben dem Ausfal l von Weitverkehrsnetzen, fehlendenoder unzureichen Test- und Freigabeverfahren und unzureichendenNotfal lvorsorgekonzepten werden explizit auch die zu hohe Abhängigkeit von einemOutsourcing-Dienstleister oder auch „weiche Faktoren“ wie die Störung desBetriebsklimas durch ein Outsourcing-Vorhaben thematisiert. DieMaßnahmenempfehlungen sind tei lweise sehr detai l l iert und regeln neben der Erstel lungeines IT-Sicherheitskonzepts für das Outsourcing-Vorhaben oder der Vertragsgestaltungmit dem Outsourcing-Dienstleister auch die Vorgehensweisen für eine geordneteBeendigung eines Outsourcing-Dienstleistungsverhältnisses.
Auch ohne die strikte Orientierung an der Grundschutz-Vorgehensweise des BSI bietetder Baustein 1 .1 1 Anbietern und Kunden gute Hinweise und erprobte Vorgehensweisenauch für cloud-basierte Dienstleistungen.
DatensicherheitDie aktuel le Marktsituation im Bereich des Cloud-Computing ist in Bezug auf konkreteSicherheitszusagen eher unbefriedigend. Viele Anbieter treffen keine konkreten Aussagenzu den bei ihnen getroffenen technischen und organisatorischen Maßnahmen.
Dies wird noch unverständl icher, wenn man bedenkt, dass für die bei vielen Anbietern voncloud-basierten Diensten im Einsatz befindl ichen Standardkomponenten seitens derHerstel ler konkrete Sicherheitsvorgaben und –empfehlungen ausgesprochen wurden.
Am Beispiel marktübl icher IaaS-Angebote lässt sich dies leicht nachvollziehen: Kaum einAnbieter stel lt die auf Betriebssystem-Ebene getroffenen Sicherheitsmaßnahmennachvollziehbar dar. Ein nachvollziehbares Sicherheitsniveau ist in den wenigsten Fällengegeben. Auch hier verbleibt die Hauptlast in Fragen der IT-Sicherheit beim Anwenderund nicht wie eigentl ich zu erwarten: beim Anbieter.
Im Bereich des Cloud-Computing müssen sich hier Standard-Vorgehensweisen und–Nachweise zur IT-Sicherheit etabl ieren. Dies kann unter anderem auch durchZertifizierungsverfahren erreicht werden. Ein großer, erster Schritt wäre jedoch dasVeröffentl ichen von nachvollziehbaren Beschreibungen der technischen undorganisatorischen Sicherheitsmaßnahmen seitens der Anbieter.
DatenschutzÜber die Anforderungen zur IT-Sicherheit hinaus sind spezifische Anforderungen seitensdes Datenschutzes zu erfül len. Das Grundrecht auf informationel le Selbstbestimmungdarf nicht durch die Nutzung ungeeigneter cloud-basierter Angebote beeinträchtigtwerden. Wesentl iche Voraussetzung hierfür ist, dass auf Seiten der Kunden einDatenschutzmanagementsystem etabliert wird. Dieses muss durch anlassbezogene undregelmäßige Kontrol len, konkreten Vorgaben zum Umgang mit Datenschutzproblemenund –verstößen und einer generel len Integration in die Unternehmensprozesse für einegeregelte Bearbeitung des Themenbereichs Datenschutz sorgen.
32
01/2011
SymposiaJournal
Cloud Computing MeinungEin betriebl iches oder behördl iches Datenschutzmanagement muss vor al lem dieUmsetzung der Betroffenenrechte in den Vordergrund stel len. Betroffene haben dasRecht auf Löschung, Berichtigung oder Sperrung ihrer personenbezogenen Daten. DiesesRecht müssen Anwender auch gegenüber dem Anbieter durchsetzen können.
Auch im Bereich des Cloud-Computing gelten die Grundsätze der Datensparsamkeit undder Zweckbindung bei der Verwendung personenbezogener Daten. Es dürfen nur dienachgewiesen zwingend notwendigen Daten ausschließlich zu dem Zweck verarbeitetwerden, zu dem sie auch erhoben wurden.
Die hierfür notwendigen Prozesse sind bereits seit mehreren Jahren etabliert. Diezuständigen Aufsichtsbehörden für Datenschutz stehen potentiel len Anwendern voncloud-basierten Diensten hier beratend, prüfend und bewertend zur Verfügung.
Konkrete, cloud-spezifische Risiken für den Datenschutz ergeben sich bei manchenAngeboten vor al len aus fehlenden, konkreten Zusagen zum Ort der Datenverarbeitung.Während für das Anbieten, Nutzen und Betreiben von cloud-basierten Diensten keinetechnischen Gründe zur Berücksichtigung territorialer Grenzen bestehen, muss bei derAnwendung des Datenschutzrechts der Ort der Datenverarbeitung stets berücksichtigtwerden. Bei weltweit vertei ltem Cloud Computing können ohne zusätzl iche Zusicherungenzur Lokalität der Datenverarbeitung und -speicherung Anwenderinnen und Anwender nichtentscheiden, ob in den für den genutzten Dienst und den für die Erbringung des Dienstesvorgesehenen Ländern ein angemessenes Datenschutzniveau gewährleistet ist. EineAnwendung solcher Cloud-Dienste ohne konkrete Ortsvorgaben oder -zusagen zurVerarbeitung personenbezogener Daten ist datenschutzrechtl ich nicht zulässig.
Sollen personenbezogene Daten in einem cloud-basierten Dienst verarbeitet werden, somuss für al le Schritte der Datenverarbeitung der konkrete Ort festgelegt werden undfeststel lbar sein.
FazitCloud-Computing "erbt" in vielen Bereichen bereits bekannte Risiken und Gefährdungender automatisierten Datenverarbeitung. Für diese Risiken sind jedoch in gängigen (inter-)nationalen Sicherheitsstandards (vgl. ISO27001 , BSI Grundschutz) geeigneteGegenmaßnahmen und Vorgehensweisen zur Risikoanalyse definiert.
Anbieter von cloud-basierten Diensten können hier auf bestehende Vorarbeit undfunktionierende Werkzeuge zurückgreifen.
Nutzer von cloud-basierten Diensten sollten vor der Aufnahme einer Datenverarbeitunggeeignete Nachweise einer sicheren Datenverarbeitung in Form vonSicherheitskonzepten und detai l l ierten Prozessbeschreibungen im Sinne einesintegrierten Datenschutz- und Sicherheitsmanagements einfordern und als Nachweis indie eigene Sicherheitsdokumentation übernehmen.
Setzt man die bereits bekannten und funktionierenden Prozesse und Maßnahmen um, dieauch im Bereich der Datensicherheit und des Datenschutzes bei der „klassischen“
33
01/2011
SymposiaJournal
Datenverarbeitung für Konformität mit den datenschutzrechtl ichen Vorgaben sorgen, sohat man auch einen Großteil der Datenschutzrisiken gängiger cloud-basierter Dienste imGriff.
Datenschutz wird hierbei nicht zum Verhinderer von Cloud-Computing, sondern vielmehrzum Erfolgsfaktor.
Onlinequellen[1 ] http: //www.cio.bund.de/cln_093/DE/Home/home_node.html
[2] http: //www.cio.bund.de/cln_093/DE/IT-Angebot/IT-Beschaffung/EVB-IT_BVB/evb-it_bvb_node.html
[3] https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/baust/b01 /b01 011 .html
[4] https://www.bsi.bund.de/cln_1 56/DE/Themen/ITGrundschutz/
ITGrundschutzStandards/ITGrundschutzStandards_node.html
Über Sven Thomsen
Sven Thomsen leitet beim Unabhängigen Landeszentrum fürDatenschutz (ULD) in Kiel das technische Referat. Er ist
zuständig für den Systemdatenschutzes bei der automatisiertenVerarbeitung personenbezogener Daten. Nach einem Studium
der Informatik war er zunächst als freier Berater mitSchwerpunkt auf Unix- und Firewallsystemen tätig. Als IT-Projektleiter hat er beim Norddeutschen Rundfunk mehrereProjekte zur Serverkonsolidierung und IT-Sicherheit betreut.
Cloud Computing Meinung
34
01/2011
SymposiaJournal
01/2011
SymposiaJournal
Cloud Computing Meinung
Die Mobile Cloud: Der wahre Megatrendvon René Büst
Genau genommen laufen die beiden Megatrends Mobile Computing und CloudComputing bereits seit mehreren Jahren Hand in Hand nebeneinander her. Auf das,worauf viele Anbieter wie z.B. Apple jahrelang verzichtet haben, hat Google bereitswährend der Einführung von Android besonderen Wert gelegt und damit dasenorme Wachstumspotential erkannt. So hat Google z.B. seine Dienste wie Mail,Kalender etc. sowie das App Deployment über den Market Cloud basiertausgerichtet.
Das erste Android Endgerät (HTC Dream | T-Mobile G1 ) kam am 22.1 0.2008 auf denMarkt. Zielgruppe waren in erster Linie Privatnutzer, die mit einem Googlekonto ihre E-Mails, Termine, Kontakte etc. synchronisieren wollten. Nach etwas über einem Jahrentwickelte sich das System langsam aber sicher zu einer mobilen Plattform für denUnternehmenseinsatz. Das Update auf Android 1 .6 brachte nun auch die lang ersehnteMöglichkeit, das Endgerät via VPN mit einer Gegenstel le zu verbinden. Verbindungenkönnen hierbei über die Protokolle PPTP und L2TP (IPsec PSK bzw. IPsec CRT)hergestel lt werden.
Für den Einsatz im Unternehmen stehen Anwendungen für unterschiedl iche Bereiche zurVerfügung. Als mobiler Dateimanager ist der Astro File Manager eine gute Alternative. Wieschon auf den Palm Handhelds hat Dataviz ebenfal ls für Android eine Version seinermobilen Office Suite Documents To Go im Portfol io. Über einen kostenlosen Viewerkönnen Word Dokumente, Excel Dateien und Power Point Präsentationen betrachtetwerden. Die kostenpfl ichtige Version gestattet dann auch das Erstel len und Bearbeiten deroben genannten Dateien und zusätzl ich das Betrachten von PDF-Dateien. FürAdministratoren steht das Programm Server up bereit. Damit können Netzwerke undWebserver mobil überwacht werden und es informiert über unterschiedl iche Arten u.a. perSMS oder E-Mail , wenn z.B. ein Server nicht mehr erreichbar ist. Salesforce, Anbieter vonGeschäftsanwendungen (u.a. CRM) stel lt seine Produkte ebenfal ls als mobile Versionenmit dem Namen Salesforce Mobile zur Verfügung. Da diese allerdings über den
36
01/2011
SymposiaJournal
Cloud Computing MeinungWebbrowser genutzt werden, sind sie aber nicht auf Android beschränkt. Für den Abrufvon E-Mails bzw. die Synchronisation mit einem Microsoft Exchange Server stehen u.a.Anwendungen wie K-9 Mail , TouchDown oder Aardvark bereit.
Der meiner Ansicht nach größte Vortei l von Android, der auch für den Einsatz imUnternehmen spricht, ist die Portabil ität. Neben Smartphones funktioniert Android auf denbeliebten Netbooks und Tablets. Aber ebenso der Einsatz auf modernenKassensystemen, MDEs (Mobile Datenerfassung) und jeder Art von Embedded Systemsist vorstel lbar.
Optimales SzenarioDas bisher noch einfachste und bzgl. Android mit dem wenigsten Aufwand verbundeneSzenario ist der vollständige Einsatz der Google Infrastruktur. Das setzt al lerdings voraus,dass von dem Unternehmen bereits Google Apps für die E-Mail Kommunikation und dieVerwaltung der Kalender und Kontakte eingesetzt werden. Android ist per se vollständig indie Google Infrastruktur integriert. Somit werden alle Änderungen, die z.B. im E-MailPostfach oder im Kalender stattfinden, automatisch mit den Google Servernsynchronisiert. Daher sind die Daten eines Benutzers – egal an welchem Arbeitsplatz(Desktop/ Mobil) er sitzt – immer auf dem aktuel len Stand. E-Mails werden über denPush-Mail Dienst automatisch auf das mobile Endgerät zugestel lt. Dies ist wohlgemerktdas optimale Szenario und kann so nicht ohne einen Mehraufwand umgesetzt werden,wenn z.B. ein Exchange Server eingesetzt wird.
Ideal für eine Cloud StrategieAndroid verfolgt u.a. den Ansatz des Cloud Computing, das heißt die Daten l iegen dabeiin einer Serverfarm im Internet und synchronisieren sich in diesem Fall mit dem mobilenEndgerät.Entscheidet sich ein Unternehmen z.B. für das oben beschriebene Szenario, bei dem dieDaten bei Google gespeichert werden, kann hier auf die Bereitstel lung und Wartung dermobilen Infrastruktur im eigenen Rechenzentrum verzichtet werden, was einen klarenKostenvortei l bedeutet. Durch das Speichern der Unternehmensdaten auf den Servernund nicht auf dem mobilen Endgerät sind die Daten geschützt. Das Endgerät kann imFalle eines Diebstahls oder anderen Missgeschicken jederzeit zentral gesperrt bzw.generel l zentral administriert werden. Telefongespräche können über dasUnternehmensnetzwerk stattfinden. Die Gespräche werden vom mobilen Endgerätgestartet und anschließend vom Unternehmensnetzwerk geroutet (z.B. in das Festnetz)und gesteuert. Der Vortei l besteht in der deutl ichen Trennung von privaten undgeschäftl ichen Gesprächen, der Nutzung einer einzigen Rufnummer und den Zugriff aufdie zentrale Kontaktdatenbank des Unternehmens. Neben (mobilen) Telefonkonferenzenüber das Unternehmensnetzwerk unabhängig von Ort/ Zeit und beliebig vielen Benutzernbesteht die Möglichkeit, den aktuel len Status jedes Benutzers abzufragen um so zusehen, ob dieser gerade verfügbar ist. Weiterhin haben u.a. AußendienstmitarbeiterZugriff auf sämtl iche Daten (z.B. CRM oder ERP) von jedem Ort mittels einer (mobilen)Internetverbindung.
37
01/2011
SymposiaJournal
Cloud Computing MeinungFazitDie Mobile Cloud ist kein Zukunftsthema sondern bereits seit längerer Zeit in derGegenwart angekommen. In ihr verschmelzen die beiden Megatrends Mobile Computingund Cloud Computing zu einem Hypertrend (wenn man diesen so bezeichnen darf) undermöglichen Unternehmen und ihren Mitarbeitern somit den Zugriff auf sämtl iche Datenvon jedem Ort und zu jeder Zeit.
Über René Büst
René Büst ist Cloud Computing Evangelist & Stratege, Cloud Architekt& Trainer, Analyst, Managing Director von Symposia Concepts undGründer & Autor von CloudUser | Ξxpert. Er hat ein Informatik Diplomder Hochschule Bremen und ist Cand. M.Sc. in IT-Management an derFHDW Paderborn.
38
01/2011
SymposiaJournal
Cloud Computing Science
One of the most current developments in the field of information technologies is therapidly growing variety of cloud computing services, which are brought to themarket for a multitude of usage purposes. While experts and scientists still discussabout a universal definition of the term “Cloud Computing”, many businesscompanies already try to position themselves on this evolving market. Their cloudservices are being offered via networks like the internet in a cost-efficient mannerand tailored to suit the customers’ needs.
Nevertheless, privacy and data security are the biggest challenges when it comes tostoring and processing critical business or personal data in a cloud. Many users andpotential customers hesitate to take advantage of the possibi l ities a cloud infrastructureoffers them. They point out that not only the general security of the data, but also therequirements of national and international data protection laws are a major concern. As aconsequence, this leads to a stronger market growth of just so-cal led private andcommunity clouds which are aligned more to the specific requirements of single customersor a narrowly defined user group. But these approaches cannot exploit the ful l potential ofcloud computing.
Overview over privacy issuesThe protection of informational privacy in Europe is based on a harmonised legalframework on data protection that primari ly addresses data that are related to individuals,the so-cal led “data subjects”. [1 ] The entity that determines the purposes and means of theprocessing of personal data of the data subjects is the so-cal led “data control ler” whereasthe “data processor” is the entity that processes personal data on behalf of the control ler.Once a company puts data of natural persons such as employees or customers into acloud computing environment, it is in charge of the data protection, in particular of thesecurity of processing, and it has to implement appropriate technical and organisationalmeasures to protect personal data against accidental or unlawful access. This legalresponsibi l ity is not dispensable by outsourcing the processing to another party.
TClouds - Privacy meets Innovationby Eva Schlehahn and Marit Hansen
39
01/2011
SymposiaJournal
Cloud Computing ScienceAside from these above mentioned measures, the first and foremost privacy issue is thelawfulness of processing of personal data: I t is lawful only if permitted or ordered byregulation or if the data subject has provided consent. To comply with data protection law,among others the basic data protection principles such as data minimisation, purposebinding and data subject rights have to be taken into account. I t is a prerequisite that thedata subject can sufficiently understand what happens with his/her data in the cloud andwho has access to them.
Cross-border cloud infrastructures add further complexity: According to the European dataprotection framework, personal data may only be transferred to third countries if thatcountry provides an adequate level of protection. In this context the certification of UScompanies within the Safe Harbor framework that was introduced to guarantee a sufficientdegree of data protection to transfer data from the European Union is being criticised: TheGalexia Study [2] has pointed out significant weaknesses of the Safe Harbor certificationprocess regarding legal certainty when it comes to data flows across the border. Inconsequence, the supreme supervisory authorities for data protection in the non-publicsector in Germany stated in their resolution the deficiency of the Safe Harboragreement. [3]
The question of applicable law and the precise privacy requirements is of evidentrelevance for any cloud service provider which conducts cross-border data processing.Some European countries even go beyond the legal EU framework by implementingparticular specifics into their legal statutes. In this respect, particular attention should bedirected to processing of sensitive data l ike information about race, ethnicity, pol iticalopinion, rel igion or philosophical bel iefs, health or sex life of a person. Therefore, toenable lawful cross-border business, it is advisable to not only focus on the minimalrequirements of privacy, but on an all-embracing solution that al lows a higher degree ofdata protection or enables the necessary adjustments in case these are needed to complywith national specifics.
The TClouds projectThe above mentioned privacy issues are the challenges the European Commissionfunded project „Trustworthy Clouds – TClouds“ uses as starting point. The goal of theproject is to develop a trustworthy cloud computing infrastructure, which enables acomprehensible and audit proof processing of personal or otherwise sensitive data in acloud without l imiting the solution to just a physical ly separated private cloud. Within thiscontext, TClouds focuses on the concept of the infrastructure cloud, on which services l ikePaaS and SaaS can rely upon without losing the advantages regarding cost-efficiency,scaleabil ity and data availabi l ity.
In two scenarios, the TClouds infrastructure wil l be tested and evaluated. TClouds worksin cooperation with the I tal ian hospital San Raffaele in Milano on applications in theeHealth sector and with Portugal’s leading energy supplier Energias de Portugal (EDP) aswell as the electronics company EFACEC in the field of smart power grids. In bothscenarios, the level of data protection and security within a cloud system must bedetermined under consideration of the specific use cases and the sensitivity of theconcerned data.
40
01/2011
SymposiaJournal
Cloud Computing ScienceTechnical implementation of privacy and securityTClouds wil l focus on privacy functionality in communication protocols between differentcloud service providers, new open security standards, APIs and effective managementcomponents for cloud security. The TClouds components wil l be as far as possibledeveloped as Open Source; this wil l make it easier for stakeholders outside the project touse the results. The legal tasks within the project comprise an analysis of al l relevant dataprotection regulation, the deduction of requirements and the evaluation ot the projectresults regarding these aspects.
TClouds builds upon the idea of a so-cal led “Intercloud” [4] (cloud-of-clouds), whichincorporates the interoperabil ity of resources and services from several independent cloudservice providers. This superordinate cloud environment wil l increase resil ience andprivacy protection and enable the cloud subscribers to implement their own requirementsof security and privacy in both a single-provider cloud and in a cloud-of-cloudsstructure.[5]For this purpose, a federated cloud-of-clouds middleware wil l be developed. Preparatorywork of the project partners, which wil l be further developed and tested for the practicalapplication address dependabil ity and intrusion tolerance [6] as well as the protection ofdata confidential ity and integrity. [7,8]
Status of the TClouds projectThe TClouds project has started in October 201 0 and is being funded by the EuropeanCommission with 7.5m Euro. The total project volume is about 1 0.5m Euro. 1 3 partnersfrom industry and science in Europe participate in the project. The TClouds consortiumhas great interest in cooperation with other cloud-initiatives – both on international andnational level. Interim results and publications wil l be available on the project website:http: //www.tclouds-project.eu
TClouds Fact SheetTrustworthy Clouds – Privacy and Resil ience for Internet-scale Critical InfrastructureWebseite: http: //www.tclouds-project.euProject number: 257243Amount of funding: € 7.5mDuration: 01 .1 0.201 0 unti l 30.09.201 3Partners:Technikon Forschungs- und Planungsgesellschaft mbH (AT), IBM Research GmbH (CH),Phil ips Electronics Nederland B.V. (NL), Sirrix AG security technologies (DE), Fundacaoda Faculdade de Ciencias da Universidade de Lisboa (PT), UnabhängigesLandeszentrum fuer Datenschutz Schleswig-Holstein (Independent Centre for PrivacyProtection Schleswig-Holstein, Germany) (DE), The Chancellor, Masters and Scholars ofthe University of Oxford (GB), Politecnico di Torino (IT), Friedrich-Alexander-UniversitätErlangen-Nürnberg (DE), Fondazione Centro San Raffaele Del Monte Tabor (IT),Electricidade de Portugal (PT), UNU MERIT (Universität Maastricht) (NL), EFACECEngenharia SA (PT), Technische Universität Darmstadt (DE)
41
01/2011
SymposiaJournal
About Eva SchlehahnAssessorin jur. Eva Schlehahn has studied law at theUniversity of Bremen in Germany and passed a special istsol icitor training in IT law. She is now working as a legalcounsellor for the data protection authority of Schleswig-Holstein “Unabhaengiges Landeszentrum fuer DatenschutzSchleswig-Holsten” (Engl. “Independent Centre for PrivacyProtection Schleswig-Holstein”), Germany. There she isactive in legal research for the TClouds project; her tasksencompass the analysis of legal privacy and dataprotection requirements and the evaluation of the projectresults with regard to these requirements.
About Marit HansenMarit Hansen is Deputy Privacy & Information Commissioner of
Land Schleswig-Holstein, Germany, and Deputy Chief ofUnabhaengiges Landeszentrum fuer Datenschutz (ULD). WithinULD she is in charge of the “Privacy Enhancing Technologies
(PET)” Division and the “Innovation Centre Privacy & Security”.Since her diploma in computer science in 1 995 she has beenworking on security and privacy aspects especial ly concerninganonymity, pseudonymity, identity management, biometrics,
multi lateral security, and e-privacy from both the technical andthe legal perspectives. In several projects she and her team
actively participate in technology design in order to support PETand give feedback on legislation.
Cloud Computing Science
Online Sources[1 ] Article 29 Data Protection Working Party: Opinion 4/2007 on the concept of personal data, WP1 36,
http: //ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp1 36_en.pdf
[2] Galexia Study: The US Safe Harbor – Fact or Fiction? (December 2008)
http: //www.galexia.com/public/about/news/about_news-id1 43.html
[3] Resolution of the supreme supervisory authorities for data protection in the non-public sector
(Duesseldorfer Kreis) about Safe Harbor (l ink to PDF fi le): http: //www.datenschutz-
berl in.de/attachments/71 0/Resolution_DuesseldorfCircle_28_04_201 0EN.pdf?1 28531 61 29
[4] Kelly: A Cloudbook for the Cloud, 2007,
http: //www.kk.org/thetechnium/archives/2007/11 /a_cloudbook_for.php
[5] Cachin/Haas/Vukolić: Dependable Storage in the Intercloud, Research Report RZ 3783, IBM
Research – Zurich, October 201 0,
http: //domino.research. ibm.com/l ibrary/cyberdig.nsf/papers/630549C46339936C852577C200291 E78/$Fil
e/rz3783.pdf
[6] Verissimo et al. : Intrusion-Resil ient Middleware Design and Validation, in: Information Assurance,
Security and Privacy Services, pp. 61 5-678, 2009
[7] Shraer et al. : Venus: Verification for Untrusted Coud Storage, in: Proc. Workshop on Cloud
Computing Security ACM, 201 0
42
01/2011
SymposiaJournal
Cloud Computing Science
Cloud computing is changing the way services are created, delivered and consumedfor both the consumer and the enterprise. It promises significant gains in efficiencyand flexibility, at a time when data centres are increasingly challenged by the rapidgrowth in the number of users and volume of data. Yet, while much of thediscussion of the cloud tends to focus on the data centre, devices of all typescontinue to play an essential to how, when and where these services are consumed.Importantly, they are being used to build “personalised clouds” based onarchitectures that enhance and optimise access to content and processing.
Why a personalised cloud experience is importantToday;s end users are increasingly l ikely to uti l ise multiple devices, including smart-phones, tablets, and notebooks to access information. They embrace new applications anddevices in their personal l ife, and expect those same capabil ities to be available at work.Yet when it comes to the abil ity to access, display, manipulate, store or secure data, somedevices are clearly more capable than others.
Larger displays, better graphics, greater storage, enhanced security; the reality is thatdifferent devices have different capabil ities. Unfortunately, most services have fol lowed theearl ier web paradigm, and have been reduced to their lowest common denominator offunctionality, with only l imited abil ity to take advantage of device capabil ities or suit theform factor. Enabling cloud-based applications to comprehend device capabil ities isemerging to take advantage of them, in order to scale up or down to the device in terms ofthe greatest common multiple of functionality.
Additional ly, for many, the definition of the workplace has changed from a single location towhich they travel, to an activity in which they engage from anywhere, any time. Mobileworkers are amongst the most productive employees. For them, the office is their set ofdevices – notebook, net-book, tablet, and smartphone. Cloud-based applications oftenrequire users to be connected to access information, yet the networks they rely upon aresubject to broad variations in the quality of service, and thus can often be intermittently
The Personalised Cloudby Charlton Barreto, Ph.D.
43
01/2011
SymposiaJournal
Cloud Computing Scienceavailable or slow. Also, users may be working from a location without any network access,which is more common than is often thought. Cloud services must enable users to accessand update data, even when working offl ine.
Rather than relying solely on the data centre to drive cloud capabil ities, devices canprovide resources to power them a part of a “personalised cloud.” End users and cloudproviders each have unique needs that can be well addressed through this combinedapproach. Taking advantage of the combined capabil ities of devices and the data centre,services, cloud providers, and enterprises have greater flexibi l ity to optimise applicationdelivery through the cloud. End users can also benefit from improved applicationperformance and the abil ity to remain productive, even when working offl ine.
Benefits of a personalised cloudEnd users are driven by the need to access their data and applications anywhere, anytime, in a consistent, mobile manner. Cloud computing has represented a leap forward inthis respect, yet devices have, unti l recently, largely accessed the cloud in a siloed, hub-and-spoke fashion. At the same time, the benefits of cloud can be overshadowed by pooruser experience and the lack of ubiquitous connectivity. To succeed, solutions thataddress these user needs must be delivered.
End users and service providers can benefit from a device-aware, distributedinfrastructure. For cloud-based applications, it’s important to look beyond simpleavailabi l ity metrics to take into account end-user experience.
User Benefits• Responsiveness – For cloud-based applications, response time is dependent on multiplefactors including network performance, application performance, and cloud infrastructureperformance. Enabling device-side, distributed execution for cloud-based applications canhelp improve end-user experience, especial ly for applications that are compute-intensiveor bandwidth-constrained.
• Productivity – Cloud services that are device-aware can enable a user to access data orinformation whether working in onl ine or offl ine mode, as well as across devices. Oncereconnected, applications can synchronise and save changes from the last connection.
Provider Benefits• Application delivery – In cases where cloud servers supporting a particular applicationare heavily subscribed or the network is constrained, the abil ity to execute a givenapplication or portions of an application on the end point enables service providers toimprove application delivery.
• Flexible architecture – For most service providers, the transition to the cloud has and wil lcontinue to be evolutionary rather than revolutionary. Public clouds are being leveragedfor well-defined, commoditised, low-risk applications and services. More complex,sensitive or customised applications wil l be supported using existing model, or deployedto private or hybrid clouds.
44
01/2011
SymposiaJournal
Cloud Computing ScienceDevices provide a flexible infrastructure able to support a variety of computeenvironments, distribute processing, and mesh together data and processing for any time,anywhere availabi l ity.
Enabling the Cloud to be PersonalIn the personalised cloud, attributes and capabil ities of devices are exposed to the cloudand to one another. Cloud-based applications - which share processing between devicesand the data centre - use this information to determine how best to execute a givenapplication and/or share content.
As an example, with devices such as smart-phones, tablets, netbooks, integrated mediadevices, etc. , the cloud may detect l imited device capabil ities, and decide to run anapplication entirely from the cloud-based data centre, with l ittle support from the device.Alternatively, with more powerful devices, such as notebooks, set-top boxes, internet TVs,desktop PCs, in-vehicle infotainment systems, etc. - that meet security, storage andprocessing policies - the application may decide to run on the device, taking advantage ofperformance and graphics to improve delivery.
At the same time, these devices wil l detect the availabi l ity and proximity of others that areidentified as authenticated and authorised for a specific user or process, and rather thansynchronising information across them, access the last good version or state of data.Thus, users wil l be able to access their content in a way that reduces data duplication,since the personalised cloud can present the latest version of preferences and content.
To enable this personalised cloud, devices are becoming capable of:• Transparent, automatic, intel l igent connections between devices and the environment.• Experiencing transition appropriately according to the user’s environment and devices.• Devices gather and share contextual ly appropriate and available content to the user• Leveraging the cloud that accesses and provides both information and capabil itiesavailable in the user’s environment.
which is achieved through:
• Device composabil ity: Enhancing user experiences by changing the way servicesexecute, according to the devices at hand at any given moment. Stacks allowing devicesand services to discover and form the cloud of devices are in development by a number ofvendors, along with APIs for developers so they can create their services with this in mind.
• Usage suggestion: Users want to use content in different ways depending on the devicethat is using to access that content. This is as simple as a tag cloud, or complex as a textminer service, plus ontology engines.
• Presence detection: Users inform the cloud of which device is active at any time throughtheir interaction, so content can fol low them from device to device, based on that activity.
45
01/2011
SymposiaJournal
• Intuitive user interface (UI): A consistent UI is the glue that makes this al l work, anddepends upon providing the same experience, whilst targetting the form factor of eachdevice.
• Content services: When users transfer content among devices, this data wil l bedistributed across the devices in the personal cloud.
Today many of these capabil ities are already available across a number of devices. Thepersonal cloud allows people to discover new usages based on their content, beyond theircurrent perception. To the end user, they wil l soon be able to have their phones, cars, TVand your notebooks connect to each other and share information.
For example, a user takes a Voice over IP (VoIP) cal l , the cloud routes the audio (andvideo, as appropriate) streams to the device which is active. A user can initiate the VoiPsession from their notebook, and when they switch to their smart-phone and begininteracting with it, the streams are moved to that smart-phone, and the call continues on it.When that user interacts with their TV, the streams can be moved to the available set-topbox and/or internet TV control ler, and they can take advantage of the TV display for animproved video VoIP call experience, along with visuals of attached/associated contentsuch as RSS feeds, documents, etc. The user can than go to the kitchen and begininteracting with the integrated media device on their counter-top, and the call (andcontent) can fol low them there.
End users benefit from a better overal l experience across a range of devices; serviceproviders benefit from improved resource uti l isation, ensuring applications are delivered inthe most secure and efficient way. When privi leged data and/or processing are accessed,the abil ity to execute a given application or access a given fi le on a device requires thatthe device comply with security policies. Many devices include hardware-basedcapabil ities to enable enhanced security, which are then determined and leveraged at run-time.
SummaryWith an understanding of the needs and challenges faced by consumers andorganisations using and implementing cloud services in their environment, vendors areworking with systems and software solution providers to help develop end-to-endsolutions that address these needs. Reference architectures that provide practicalguidance on how to build clouds and implement personal cloud device-aware capabil itiesare being developed and distributed through such programs as the Open Data CenterAll iance and Intel ’s Cloud Builders. The future direction of cloud is being shaped todaythrough the architecture and development of the personalised cloud. This is only thebeginning - as devices improve their features and properties, they wil l only be able tobetter distribute and balance their capabil ities amongst each other, across a cloud whichno longer differentiates between your smartphone and a server rack in a data centre.
Cloud Computing Science
46
01/2011
SymposiaJournal
Cloud Computing ScienceAbout Charlton Barreto, Ph.D.
Charlton is an accomplished Cloud, Web and DistributedComputing expert with a proven track record of drivingstrategy, product and operational initiatives to success.As a Technology Strategist at Intel, Charlton has matchedemerging technologies with innovative business modelsin developed and emerging markets. In this capacity, hehas served as a advisor to corporations large and small ,non-profits and governmental organizations on issues oftechnology. He has taken roles as visionary,
solution architect, project manager, and has undertaken the technical execution inadvanced proof of concept projects with corporate end users and inside Intel i l lustrating theuse of emerging technologies.
Charlton received a B.S. in Applied Mathematics and Computer Science from theUniversity of California, Berkeley, and a Ph.D. in Computer Science for his research indistributed computing from Columbia University, and has worked as a post-doctoralResearcher at the University of Cambridge.
47
Since Amazon Elastic Beanstalk wasreleased it led to discussions over theweb, that AWS might bring other PaaSvendors into trouble, even those whichoffer a service for using the AWSplatform.
Weʼve picked out some blog postsregarding this topic.
01/2011
SymposiaJournal
AWS Elastic Beanstalk: A Quick and Simple Way into the Cloud
“Flexibi l ity is one of the key principles of Amazon Web Services - developerscan select any programming language and software package, any operatingsystem, any middleware and any database to build systems and applicationsthat meet their requirements. Additional ly customers are not restricted to AWSservices; they can mix-and-match services from other providers to bestmeet their needs. A whole range of innovative new services, ranging frommedia conversion to geo-location-context services have been developed byour customers using this flexibi l ity and are available in the AWS ecosystem.To enable this broad choice, the core of AWS is composed of building blockswhich customers and partners can use to build any system or application inthe way they see fit. The upside of the primitive building block approach isultimate flexibi l ity but the fl ipside is that developers always have to put theseblocks together and manage them before they can get started, even if theyjust quickly want to deploy a simple application.”
Web Discussions
http://jrnl.de/allthingsdistributed
50
01/2011
SymposiaJournal
Web Discussions
Integrating AWS CloudFormation and Chef
“The cloud ecosystem was a-thundering this Friday with AmazonWeb Services' announcement on CloudFormation. Much of itpositive, and a whole lot said about AWS whacking at the partnerecosystem. The twitter pundits who probably haven't usedCloudFormation, Chef or Puppet were quick to claim thatCloudFormation is a replacement. At initial glance I thought so aswell , but then I looked under the covers and quickly realized that tothe contrary, CloudFormation wil l actual ly simplify and make ourrecipes more portable.
How? Because we have cookbooks and a fair bit of code to set upand manage AWS resources. By abstracting these resources up tothe CloudFormation level the recipes should be easier to structureacross multiple cloud platforms. I am hoping the other cloudproviders wil l fol low the CloudFormation lead and create similarframeworks.”
http://jrnl.de/full360
51
01/2011
SymposiaJournal
Web Discussions
Amazon Elastic Beanstalk - Trouble for other PaaS vendors?
“Amazon announced their new PaaS offering this week. According toKrishnan of Cloudave.com, this may not be that good for other PaaSstartups out there, especial ly the ones using the AWS platform.
Since the new Amazon elastic Beanstalk is using EC2 (and otherservices) and not charging on top of the ressource costs, it might behard for other PaaS players also using the AWS platform to compete.However, Amazon is talking about working with solution partners toextend the Beanstalk offering (see here).
I am curious to see how the other PaaS vendors wil l respond.”
http://jrnl.de/cstreit
52
01/2011
SymposiaJournal
Web DiscussionsPaaS Is The Future Of Cloud Services:Amazon Enters The PaaS World
“As expected, Amazon has final ly stepped into the PaaS world. I have longbeen arguing in this space that PaaS is the future of Cloud Services andmany in the Clouderati and some pundits were waiting for Amazon to go upthe stack to PaaS. Even in a recent post on Amazon’s Android App Storestrategy, I talked about Amazon’s impending foray into PaaS.
Unlike startups, enterprises are a different kind of beast and Amazon wil lneed a strong presence on all three layers of the cloud, IaaS, PaaS andSaaS. Even though I expect them to go deep on PaaS in the near future, Idon’t envision them being a SaaS player. I t is not easy to become a multipleapp SaaS provider targeting the enterprise market. Instead they can take anapp store approach to SaaS (an opinion shared by fel low Clouderati JamesUrquhart). In future, they could establish an app store for web applications(l ike Chrome web store) as well as business applications suitable forenterprises. By doing this, they wil l not only have a SaaS channel but alsohave a direct relationship with those developers and vendors, which canfurther help their AWS business.”
http://jrnl.de/cloudave
53
01/2011
SymposiaJournal
What Amazon Beanstalk and its pricing means for the PaaS market
“Two days ago Amazon announced its long awaited move into the PaaSspace. Elastic Beanstalk is designed to make the deployment and scaling ofJava applications on top of Amazon EC2 effortless. (Don’t be fooled otherlanguages wil l fol low soon.)
Platform as a ServiceNow some say this last part, the deployment and scaling of single webapplications is what most PaaS providers consider their sweet spot – thesingle reason how they justify their own margin. Be it Heroku, Engine Yard,phpfog, Scalarium, us or almost any of the impressive l ist of newcomers haveone thing in common. Most sit on top of Amazon Web Services. The singlemost important reason for that is, there really isn’t much alternatives outthere. Yes it’s true, there are other IaaS providers around but most of themare sti l l trying to figure out why an API is a must have feature. This comes asno surprise, because the hosting industry isn’t used to innovate in software.For years they simply used Paral lels stuff and competed in pricing. Only thistime Paral lels missed the bus and is way late to the Cloud party. (On a sidenote, that “Understanding the Cloud” article is probably the worst piece of infoI ’ve come across in a very long time.)”
http://jrnl.de/serverwolken
Web Discussions
54
01/2011
SymposiaJournal
EditorialImpressumAutoren dieser Ausgabe
Chris Boos, Dr. Martin Reti, Sven Thomsen,Eva Schlehahn, Marit Hansen, CharltonBarreto, Eucalyptus Inc. , Björn Böttcher, RenéBüst
Cover & Design
Björn Böttcher & René Büst
Photos AWS User Group HH
Symposia Concepts GbR
Karikaturen
Oliver WidderInternet: http: //geekandpoke.typepad.com
Copyright © 2011 Symposia Concepts GbR
ImpressumHerausgeber & Verlag
Symposia Concepts GbRSchützenstr. 1 121 266 JesteburgTel. : 041 83 / 94 89 40Fax: 041 83 / 77 39 30E-Mail : [email protected]: http: //www.symposiaconcepts.de
Anzeigenleitung
Dipl. -Ing. Björn BöttcherE-Mail : [email protected]. -Informatiker (FH) René BüstE-Mail : [email protected]
Redaktion
Björn Böttcher, René Büst
Symposia Journal 02/2011erscheint am 1 3.06.2011 .
Redaktionsschluss: 30.05.2011Anzeigenschluss: 06.06.2011
56
