Vorgabe: «Computers and a cloud, connected», cubist style, (created by Night Cafe)
Öffentliche, private oder hybride Clouds. Externe Server, Data-Center, Cloud-Services, IaaS, SaaS, Edge Computing und weiteres mehr. Von was sprechen wir hier eigentlich genau? Der Cloud-Spezialist Jörg Thomann hilft uns dabei, eine saubere Auslegeordnung zu machen.
asut: Fangen wir ganz vorne an: Was ist eine Cloud und wozu ist sie gut?
Thomann: Der Begriff ist im eigentlichen Sinn ein bisschen wolkig. Frage ich meine Familie, was Cloud-Computing ist, dann werden meine Söhne vielleicht Spotify erwähnen, Twitter oder Videogames. Und meine Frau würde sagen: E-Mails oder Dropbox. Das ist nicht falsch: All diese Services greifen auf Cloud-Technologien zurück. Aber der Begriff Cloud bleibt für viele schwammig. Eine allgemeingültige, griffige Definition fehlt bis heute.
Am nützlichsten finde ich die fünf Kriterien, die eine Cloud laut der US-amerikanischen Standardisierungsstelle, dem National Insitute of Standard and Technologie (NIST), erfüllen muss. Sie soll erstens einen On-demand Self Service bieten, d.h. dass die Nutzer auf Rechenleistungen nach Bedarf zugreifen können, ohne mit dem Provider interagieren zu müssen. Zum Zweiten muss sie einen Broad Network Access bieten, was bedeutet, dass der Zugriff über beliebige Endgeräte und Netzwerke möglich ist. Sie muss drittens Ressource Pooling bieten, d.h. dass die Anbieter ihre Ressourcen zu Pools zusammenfassen und den Nutzern je nach Bedarf dynamisch zuweisen können. Das vierte Kriterium lautet Rapid Elasticity: Ressourcen können schnell und nach Bedarf hoch- und herunterskaliert werden, so dass sie scheinbar unbegrenzt und jederzeit in beliebiger Menge in Anspruch genommen werden können. Das fünfte und letzte Kriterium heisst Measured Services. Measured Services bedeutet, dass der Cloud-Anbieter die Bereitstellung von Diensten misst oder überwacht, z. B. für die Rechnungsstellung, die effektive Nutzung von Ressourcen oder die allgemeine vorausschauende Planung.
Hätte ich bei mir im Keller einen leistungsfähigen Server stehen, der die ersten vier Kriterien erfüllt, und würde zudem mit jedem Familienmitglied die in Anspruch genommene Rechenleistung nach Nutzen abrechnen, dann würde ich gemäss NIST eine Cloud betreiben. Umgekehrt erfüllen längst nicht alle Unternehmensclouds die fünf wesentlichen Merkmale: Nicht alles, was unter der Etikette Cloud-Computing läuft, ist streng genommen tatsächlich Cloud-Computing.
Grundsätzlich dient eine Cloud also dazu, IT-Ressourcen jederzeit und je nach Bedarf von aussen beziehen zu können ohne die dafür nötige Hard- und Software selber bereitstellen, betreiben und warten zu müssen.
Genau. Cloud Computing bedeutet weg von starren IT-Infrastrukturen, hin zur dynamischen Nutzung von weltweiten Pools aus Hardware, Betriebssystemen, Basissoftware, Applikationen und elektronischen Standard-Services.
Cloud Computing lernen – das Certificate of Advanced Studies (CAS) der Berner Fachhochschule
Cloud Computing bewirkt einen fundamentalen Wandel, wie Unternehmen IT-Ressourcen bereitstellen. Das von der Berner Fachhochschule angebotene CAS Cloud Computing befähigt IT-Verantwortliche in KMUs und IT-Abteilungen Cloud-Lösungen zu planen, zu integrieren und zu betreiben oder selber zu bauen.
Studienort: Biel
Nächste Durchführung: Frühling 2023
Study Guide zum Downloaden hier
Weitere Informationen hier
|
Nun gibt es verschiedene Arten von Clouds. Was sind ihre Vor- und Nachteile?
Das bekannteste Modell ist die Public Cloud. Sie gibt vielen Nutzenden über das öffentliche Internet kostengünstig Zugang zu einer breiten Palette von leistungsfähigen, hochverfügbaren Diensten und Ressourcen. Hardware-, Software- und andere Infrastrukturkomponenten sind Eigentum des Cloudanbieters und werden von diesem verwaltet und nutzungsbezogen abgerechnet. Bei einer privaten Cloud hingegen werden die Cloud Services exklusiv von einer einzigen Organisation genutzt. Alle Dienste und Infrastrukturkomponenten werden, im lokalen Rechenzentrum des Unternehmens oder bei einem externen IT-Dienstleister, in einem privaten Netzwerk verwaltet. Hybride Clouds sind Mischmodelle: Ein Unternehmen möchte vielleicht besonders sensible Daten oder ältere Systeme weiterhin in-house oder in einer Private Cloud verwalten, für andere weniger kritische Anwendungen aber die besten Features und Funktionen verschiedener Public-Cloud-Anbieter beanspruchen. Alle drei Modelle haben Vor- und Nachteile: Eine Hybrid-Cloud-Umgebung bietet viel Flexibilität. Eine Public Cloud ermöglicht Unternehmen mit geringen IT-Ressourcen Zugang zu leistungsstarken und hochskalierbaren Kapazitäten und die Möglichkeit, sich auf ihre eigenen Stärken zu konzentrieren – aber nicht immer lassen sich aus der Wolke die gewünschten IT-Dienstleistungen in der benötigten Qualität beziehen. Private Clouds können Security- und Compliance-Anforderungen eher erfüllen und gewähren ein Höchstmass an Vertraulichkeit.
Wie steht es mit der Sicherheit? Ist eine private Cloud per Definition sicherer als eine öffentliche?
Nein, die Sicherheit in der Cloud hat nichts damit zu tun, ob sie privat oder öffentlich ist. Grosse, hochspezialisierte Public-Cloud-Anbieter betreiben einen enormen Aufwand dafür, damit ihre Cloud-Infrastruktur so sicher und rechtskonform wie möglich ist, und verfügen diesbezüglich sicher über mehr Mittel als das Rechenzentrum eines kleinen oder mittleren Unternehmens. Dazu kommt, dass wer seine IT teilweise oder ganz in die Cloud auslagert, die Verantwortung für die Sicherheit seiner Daten nicht einfach abgibt: Sicherheitslücken und veraltete oder ineffiziente Prozesse oder begrenzte IT-Sicherheitsressourcen im eigenen Unternehmen sind wunde Punkte. Die Verträge der grossen Cloud-Anbieter sehen denn auch Modelle der gemeinsamen Verantwortung vor.
Was ist ein Cloud-Service und wie unterscheiden sich IaaS, PaaS und SaaS?
Der Unterschied besteht darin, welche Dienstleistungen ich über die Cloud in Anspruch nehme: Will ich nur die Ressourcen einer IT-Betriebsumgebung, d.h. Rechen-, Speicher- und Netzwerkleistungen flexibel in Anspruch nehmen, darauf aber meine eigenen Betriebssysteme und Applikationen laufen lassen? Dann handelt es sich um «Infrastructure as a Service» (IaaS), das fundamentalste aller Cloud Service-Modelle. Die nächste Stufe ist «Software as a Service» (SaaS). Dort beziehe ich auch Software aus der Cloud ohne sie lokal am eigenen Rechner installieren zu müssen. Beispiele sind Microsoft Office 365, Slack, MailChimp oder Google Docs. «Platform as a Service» (PaaS) bedeutet, dass der Cloud-Betreiber mir neben der Hardware auch Betriebssystem, Datenbanken und andere Hilfssysteme als Plattform zur Verfügung stellt, auf der ich meine eigenen Applikationen betreiben oder eigene Software entwickeln kann. Beispiele für PaaS-Lösungen sind die Google App Engine und Amazons Elastic Beanstalk.
Explodierende Daten, Fachkräftemangel: Macht ein firmeneigenes Rechenzentrum heute überhaupt noch Sinn?
Der Trend ist der Weg in die Cloud. Vielleicht nicht ganz so schnell, wie es manche vorausgesagt haben: Das Verhältnis dürfte heute in den meisten Unternehmen etwa 20 Prozent Cloud zu 80 Prozent Inhouse betragen. Aber für kleine Unternehmen mit wenig IT-Ressourcen und insbesondere für Start-up-Gründer macht es weit mehr Sinn, standardisierte Cloud Services einzukaufen, als eine Inhouse-IT zu betreiben. Selbst bei grossen Firmen wie Banken und Versicherungen, wo die Nutzung von Clouddiensten lange aus Sicherheits- und Compliancegründen völlig ausgeschlossen schien, beobachte ich eine Bewegung hin zur Cloud, auch wenn der On-Premise-Anteil weiterhin sehr hoch bleibt.
Und was ist mit Edge Computing: Macht es der Cloud Konkurrenz – zum Beispiel dort, wo fehlende Hochgeschwindigkeitsverbindungen die Verfügbarkeit von Clouddiensten schmälern?
Anfang der 2000er-Jahre stellte sich die Frage der Verfügbarkeit durchaus. In Europa, Asien rund um Hongkong und Singapur sowie in Nordamerika ist das im Moment aber kein Thema mehr. Aber auf der anderen Seite erleben wir natürlich ein enormes Datenwachstum. Insbesondere IoT-Sensoren generieren riesige Datenmengen. Und da davon ausgegangen wird, dass die Zahl der IoT-Anwendungen und -Geräte exponentiell anwächst, wird es nötig, diese Daten bereits vor Ort nach ihrer Relevanz vorzusortieren und zu aggregieren, bevor sie ins Data Center übermittelt werden. Edge Computing hilft also dabei, der Datenmenge Herr zu werden und die Data Center noch effektiver zu nutzen. Ein globales Beispiel ist die IBM Weather Company, die für ihre Prognosen extrem viele Daten aus unzähligen regionalen Wetterstationen aggregieren und verarbeiten muss. Ohne einen Edge-Computing-Ansatz wäre das nicht zu bewältigen.
IBM betreibt ebenfalls eine Cloud – laut Gartner Peer Insights Report 2020 sogar mit einer der höchsten Weiterempfehlungsraten weltweit. Wer gehört zu diesen zufriedenen Kunden?
Zum Beispiel hat der weltweit führende Lichthersteller Osram seine ganze Systemlandschaft in unsere Cloud gebracht, um sich stärker auf seine eigenen Kernkompetenzen fokussieren zu können. Der Schweizer Bankensoftware-Hersteller Eri Bancaire, ein Anbieter von Echtzeit-Banking-Lösungen für die globale Finanzindustrie, stellt sein Kernbankensystem «OLYMPIC Banking System» über die IBM Public Cloud als SaaS-Modell zur Verfügung – das soll seinen Kunden erlauben, agiler zu werden und neue digitale Lösungen schneller umzusetzen. Oder die AOK Nordost, eine der grössten Krankenkassen Deutschlands, die alle Input-Management-Lösungen in die IBM Cloud verlagert, um die Skalierbarkeit zu verbessern und die Kosten zu senken.
Aktuell wird im Zusammenhang mit der Cloud die Frage der Datensouveränität und der Abhängigkeit von ausländischen Anbietern kontrovers diskutiert. Braucht die Schweiz eine eigenständige Swiss Cloud?
Das ist eine wichtige Diskussion, die geführt werden muss. Niemand will seine Daten, beispielsweise seine Patientenakte, plötzlich irgendwo auftauchen sehen, wo sie nichts zu suchen haben. Ich glaube, es ist allen Cloud Providern bewusst, dass sie ihre Data Center entsprechend sicher ausbauen und betreiben müssen. Gleichzeitig muss aber auch die bereits angesprochene geteilte Verantwortung betont werden: Data Center und Cloud Provider können noch so zertifiziert sein und punkto Sicherheit alle nötigen Massnahmen getroffen haben, wenn die Kunden dann Software mit Sicherheitslücken draufspielen, dann nützt es nichts, wenn die Cloud in der Schweiz beheimatet ist. Sicherheit in der Cloud wird in der öffentlichen Wahrnehmung oft ganz falsch eingeschätzt. Sie hängt nicht allein von der Lokalität der Daten ab, sondern auch von vielen weiteren Faktoren: Davon, zum Beispiel, welche Schutzvorkehrungen für welche Art von Daten benötigt und gewährleistet werden, wie gut die Verschlüsselung ist, wo hybride Modelle Raum für besonders sensible Daten schaffen können, oder welcher Gerichtsstand im Konfliktfall gilt. Da müssen wir Cloudbetreiber wohl noch einiges an Aufklärungsarbeit leisten.