Gibt es eine tragfähige IT-Strategie unter Vermeidung der Cloud?

Kommentieren Drucken

Unsere eher kritische Grundhaltung zur Infrastructure as a Service IaaS-Cloud ist bekannt und kann zum Beispiel dem Geleit des letzten Netzwerk Insiders entnommen werden. Trotzdem kann man nicht ignorieren, dass auch große und sehr Sicherheits-bewusste Unternehmen einen Teil ihrer IT in der Cloud betreiben. Zur Vorbereitung der ComConsult Technologie-Tage 2016 im November arbeiten wir an einer Analyse der Cloud-Situation und untersuchen dabei folgende Fragen:

  • was ist die Motivation von Unternehmen die Cloud zu nutzen?
  • welche Art von Anwendungen werden in der Cloud betrieben?
  • wie kann man die Sicherheits-Situation in der Cloud einschätzen?
  • was kann man von Unternehmen, die diesen Schritt gemacht haben, lernen?

Unsere Untersuchungen konzentrieren sich dabei auf Unternehmen, die Anwendungen selber in einer IaaS-Lösung in der Cloud betreiben beziehungsweise solche Anwendungen dorthin migriert haben. (Wie schon häufiger angemerkt sehen wir Software as a Service sehr positiv und grenzen diesen Bereich deutlich von Infrastructure as a Service ab. Von daher bezieht sich diese Analyse nicht auf SaaS-Angebote) Wir haben uns für diese Analyse auf Amazon AWS konzentriert. Amazon ist im Moment mit weitem Abstand der Marktführer (auch wenn sich das schon in wenigen Jahren durch das sehr starke Wachstum von Microsoft Azure ändern kann). Als Basis haben wir eine Auswahl der von Amazon benannten Referenzkunden und deren Eigendarstellung zu ihren Cloud-Projekten genommen.

Wir sind dabei zu einer ganzen Reihe wesentlicher und auch interessanter Erkenntnisse gekommen:

  • Anbieter wie Amazon haben sich in den letzten drei Jahren komplett neu positioniert. Aus den einfachen Dienst-Strukturen des Cloud-Beginns sind inzwischen hoch-komplexe und sehr weitgehende Gesamtangebote geworden. Im Kern bedeutet das, dass Produkte wie AWS heute klar Platform as a Service PaaS Angebote sind und immer weniger den Fokus auf die reine Rechenleistung legen (im Moment bietet Amazon 73 Dienste an)
  • Dies drückt sich auch im Kundenverhalten aus: Amazon wurde noch vor wenigen Jahren vor allem wegen seiner Agilität genutzt. Software-Anbieter konnten während der Markteinführung eines Produkts ohne die Bindung von Kapital ihre Leistung ohne Risiken skalieren. Sobald der Markterfolg klar war und der Kapazitätsbedarf der nächsten Jahre abschätzbar war, sind diese Kunden aber dann auf den Eigenbetrieb gewechselt. Dies hat sich inzwischen gewandelt. So sehen wir mittlerweile Kunden, die einen ausgeprägten Eigenbetrieb haben, mit genau klassifizierbaren Anwendungen zu Amazon wechseln.
  • Tatsächlich ist die direkte Wirtschaftlichkeit bzw. das Einsparpotenzial für die Mehrheit der Referenzkunden nicht der entscheidende Grund für die Nutzung der Cloud. Dies entspricht interessanterweise genau den Erfahrungen, die wir im SaaS-Markt machen. Auch deckt sich das mit unserer Sicht zu den Gesamtprozess-Kosten einer Anwendung im Unternehmen. Vereinfacht ausgedrückt muss ein Cloud-Service einen Mehrwert liefern, der über eine simple Einsparung bei einer ausgewählten Ressource hinaus geht.

Ein Beispiel aus dem Bankenbereich soll die Motivation der von uns untersuchten AWS-Kunden verdeutlichen. Die Umsetzung eines Internet-Bankings in der Cloud widerspricht erst einmal allen Erwartungen. Intuitiv hätte man hier erhebliche Sicherheits-Bedenken vermutet. Allerdings muss man die Rahmenbedingungen des Marktes verstehen, um diesen Schritt nachvollziehen zu können. Banken bauen weltweit den Filialbetrieb ab. Die Situation in Deutschland ist dabei noch als sehr positiv einzuschätzen. In England ist es zum Beispiel mit erheblichen Problemen verbunden überhaupt noch einen persönlichen Kontakt zu erhalten. Mit dem Abbau der Filialen geht aber ein wichtiges Kunden-Bindungs-Instrument verloren. Damit kommt dem Internet-Banking eine besondere Bedeutung zu. Hier geht es nicht nur um den technischen Aspekt einer Kontoverwaltung sondern vor allem um die Schaffung einer neuen “Erlebnis-Welt”. Und viele Banken tun sich damit sehr schwer. Meine Hausbank ANZ hat 8 Jahre gebraucht um eine 2-Faktoren Authentifizierung einzuführen und 6 Jahre um die Datenbank der gespeicherten Kontakte von 20 auf unendlich zu erhöhen. Und immer noch gibt es keine Suchfunktion nach einer bestimmten Buchung, auch gibt es keine automatische Erkennung von Transaktionen so wie dies externe Banking-Pakete unterstützen. Auch die deutschen Sparkassen sind hier so träge wie ein Öltanker ohne Ruder. Der Projektbericht der Westpac-Bank, die ihr Internet-Banking auf AWS verlagert hat, spricht von 18 Monaten Vorlaufzeit für relativ kleine Änderungen in ihrer alten Lösung. Mit dem Wechsel auf AWS hat sich diese Vorlaufzeit angeblich auf Tage und Wochen reduziert. Und die Gründe dafür liegen nicht nur in der Agilität der Plattform (ein Hauptargument für IaaS) sondern vor allem im Gesamtfunktionsumfang der AWS-Lösung. Die resultierende Situation für die Westpac-Bank ist damit klar. Im Verbund mit dem weiteren Filialabbau entsteht ein direkter und erheblicher Vorteil im Wettbewerb mit den anderen Banken. Die Tatsache, dass der Hardware-Betrieb dabei 30% günstiger ist, ist dabei komplett unerheblich. Es geht um den Gesamtprozess der Kundenansprache und Kundenbetreuung. Und der wird nach der Wirtschaftlichkeit der angebotenen Bankdienste und nicht nach den Kosten der Rechnerleistung bewertet. Hätte die Westpac das nicht in einer Private Cloud realisieren können? OpenStack liefert heute die notwendige Agilität für Basis-Kapazitäten in einer PrivateCloud-Lösung. Aber die Lösung steckt noch in den Kinderschuhen und liegt in der Grundfassung weit hinter dem Funktionsumfang einer AWS-Lösung zurück (das ist tatsächlich schwer zu bewerten, da OpenStack-Lösungen ja im Prinzip um alles mögliche angereichert werden können). Und was ist mit der Sicherheit? Die Westpac folgt hier der Argumentation, dass sie auch in der Cloud der Gestalter ihrer eigenen Sicherheit ist und kein direkter Nachteil mit der Lösung verbunden ist. Andere Unternehmen wie die New Zealand Defense Forces nutzen die Cloud als Frontend und halten die eigentlichen Daten (dies sind zum Beispiel die Daten, die nicht von aktuellen Transaktionen betroffen sind) weiterhin lokal.

Wir werden das Thema der Sicherheit in der Cloud auf den ComConsult Technologie-Tagen vertiefen. Es gibt natürlich das Argument, dass der Amazon Hypervisor ein herausragendes Angriffsziel für potenzielle Angreifer ist. Und natürlich muss man sich der Frage stellen was es bedeuten würde, wenn ein Angreifer die Kontrolle über den Hypervisor erlangen würde. Aber dies gilt auch und noch mehr für VMware und Konsorten, die zudem den Nachteil haben direkt zugreifbar und testbar zu sein während die Details des Amazon-Hypervisors nach Außen unbekannt sind. Trotzdem ist und bleibt dies das dominante Thema für ein Arbeiten in der Cloud. Mit der Ausweitung der Funktionalität und einer damit verbundenen Verlagerung der Nutzungsmotivation weg von den Kosten und hin zur Funktionalität konzentriert sich alles auf die Sicherheitsfrage. Die Architekturelemente, die in der Cloud für einen Kunden zur Umsetzung von Sicherheit gegeben sind, sind dabei ähnlich denen in der lokalen Umgebung. Im Prinzip kann die komplette bestehende Architektur umgesetzt werden. Nur muss man dabei physikalische Komponenten durch virtuelle Instanzen wie NFV ersetzen. Dies wird ergänzt um Georedundanz und Cloud-spezifische Skalierungsfragen. Wenn also der Angreifer in der Cloud auf dieselben Hindernisse stößt wie in der lokalen Installation, dann muss sich die Diskussion auf die Sicherheit des Frameworks konzentrieren. Aus der Sicht der Betreiber bildet die Cloud neue Zonen ab und passt damit konzeptionell zum bisherigen Zonenmodell. Wie gesagt mehr dazu auf unseren Technologie-Tagen im November.

Unsere Schlussfolgerungen daraus in Kombination mit unserer Gesamtsicht zur Cloud sind:

  • die Mehrheit der in einem RZ betriebenen Anwendungen sollte auch dort bleiben. Aber es gibt bestimmte Typen von Anwendungen, bei denen die Cloud-Frage gestellt werden sollte. Wir werden diese Nutzungsmuster zusammen mit der Sicherheitsfrage auf den Technologietagen 2016 diskutieren.
  • eine Entscheidung für die Cloud ist nicht zwingend eine rein wirtschaftliche Entscheidung. Alle untersuchten Unternehmen haben neben der bereits bekannten Agilität (der schnellen von Verfügbarkeit von Ressourcen) die Funktionalität und Qualität der Gesamtumgebung als wesentlichen Grund angegeben.
  • nach wie vor stellt die Cloud keine existenzielle Bedrohung für ein Rechenzentrum dar. Viele der vorhandenen Anwendungen lassen sich gar nicht in die Cloud migrieren und eine Neuprogrammierung ist jenseits jeder Wirtschaftlichkeit.
  • auch bei den untersuchten Unternehmen wird eine 1:1-Migration mit Fragezeichen versehen. Selbst wenn die bestehende Architektur Cloud-fähig ist, bieten die Cloud-Umgebungen wie AWS viele Dienste, die es so bisher lokal nicht gab. Umgekehrt gibt es lokale Dienste, die es in der Cloud nicht gibt. Zum Beispiel müssen alle physikalischen Instanzen durch virtuelle ersetzt werden (inkl. Firewall, IDS, …). Damit wird selbst im Idealfall eine 1:1 Migration in Frage gestellt.
  • wie im Geleit des September Insiders beschrieben ist es bei dem Vergleich der Wirtschaftlichkeit dringend geboten, Gesamtprozesse als Basis zu nehmen. Die von Cloud-Anbietern zum Teil veröffentlichten Wirtschaftlichkeits-Daten zum Beispiel zum Betrieb von Servern sind Ausschnitte aus Prozessen, die es so in normalen Unternehmen nicht gibt. Dafür sind die Betriebsprozesse in einem Standard-Rechenzentrum am Endanwender orientiert und decken Bereiche wie den Help-Desk oder ein 24/7-Operating ab.
  • die Zeit, in der man die Cloud mit dem simplen Argument der Sicherheit abblocken konnte, sind vorbei. Die Anbieter wie Amazon haben dieses Argument gesehen und bieten heute weit entwickelte Infrastrukturen für Verfügbarkeit und Sicherheit. Die Tatsache, dass das neuseeländische Militär oder auch marktführende Banken mit ihrem Internet-Banking zu den Amazon-Kunden gehören, unterstreicht das. Allerdings wird bei näherer Betrachtung auch klar, dass diese Kunden ihre Lösungen entsprechend ausgelegt haben.

Daher analysieren wir auf den Technologie-Tagen 2016 unter anderem folgende Fragen:

  • welches Grundmuster kann man bei den Cloud-Referenzkunden von Amazon erkennen?
  • inwieweit kann das auf andere Unternehmen und Behörden übertragen werden?
  • welche Arten von Applikationen sollten besser in der Cloud positioniert werden?
  • was bedeutet der Übergang von IaaS auf PaaS für den Markt?
  • wie sehen die Projekterfahrungen ausgewählter Amazon-Kunden aus?
  • wie sieht eine gut strukturierte Sicherheits-Lösung unter Einbeziehung der Cloud aus?
  • welche Technologieelemente werden in der Cloud genutzt und können auch lokal im Rechenzentrum zu einem Effizienzschub führen?
  • wo sind die Grenzen der Cloud und was wird auf Dauer immer im lokalen Eigenbetrieb bleiben müssen?

In diesem Sinne und in der Hoffnung diese Fragen auf den ComConsult Technologie-Tagen mit Ihnen lebhaft diskutieren zu können

zugeordnete Kategorien: Cloud Computing, Data Center, IT-Management
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.