Cloud Computing bietet enorme Chancen zu dauerhafter IT-Kostenreduktion, höherer Flexibilität und verbesserter Wettbewerbsfähigkeit. Andererseits holt das Cloud-Szenario viele neue Service-Partner mit ins Boot und macht Grenzen von Rechenzentren durchlässig. Unternehmen, die von Cloud-Vorteilen profitieren wollen, kommen daher an der Auseinandersetzung mit neuartigen Security-Herausforderungen nicht vorbei.

Von Wolken handelt gemeinhin der Wetterbericht. Oder sie sind Gegenstand von Alltagsgesprächen, wenn es sonst nichts Interessantes zu erzählen gibt. An interessanten Neuigkeiten mangelt es in der IT-Welt nicht. Und dennoch gehören Wolken derzeit zu den Top-Themen der Branche. Techniker und Manager reden allerdings nicht über das meteorologische Phänomen. Ihnen dient ‚Wolke‘ oder ‚Cloud‘ vielmehr als Metapher, die eine neue Bereitstellungsform von Software und Infrastruktur-Diensten über das Internet umschreibt. Marktforscher von Forrester bis Gartner sind sich einig: Cloud Computing kommt einem Paradigmenwechsel gleich und ist ein Mega-Trend für die kommenden fünf bis sieben Jahre.

Losgelöst von der IT-Infrastruktur

Wer indessen nach einer allgemeingültigen Begriffsbestimmung sucht, wird enttäuscht. Hersteller, Service-Anbieter und Analysten heben je nach Sichtweise und Interessenlage unterschiedliche Aspekte hervor. Allen Definitionen gemeinsam ist der Gedanke einer Wolke in der IT-Infrastruktur, die das Wo und Wie von IT-Diensten vor den Anwendern verbirgt. Cloud Computing erweitert vorhandene Service-orientierte Konzepte wie SOA oder SaaS in Richtung einer Multi-Mandanten- beziehungsweise Marktplatz-Architektur: IT-Services laufen irgendwo in der Wolke und sind dort jederzeit abrufbar. Nutzer werden dadurch vollkommen unabhängig von der zugrundeliegenden Infrastruktur.

Von der privaten zur öffentlichen Cloud

Bislang wird das Cloud-Geschäftsmodell vorrangig mit dem Konsumentenmarkt in Verbindung gebracht. Gmail und Google Docs sind prominente Beispiele dafür. Besonders sinnfällig wird der Cloud-Gedanke zudem an Backup-Diensten wie Mozy von EMC: Als Service für private Windows-Anwender gestartet, können inzwischen auch Firmen und Mac-User kritische Informationen für wenige Cent je Gigabyte via Internet auf eine abgesicherte externe Speicherplattform kopieren.

Generell erlauben Clouds die Auslieferung jeder Art von Applikation oder Infrastrukturdienstleistung als Service. Anwendungen samt dazugehöriger Speicher-, Netzwerk- und Server-Kapazitäten fungieren hierbei als eigenständige Einheiten, als sogenannte Clouds. Jede Cloud ist innerhalb der Infrastruktur vollkommen mobil und belegt nur die aktuell benötigten Ressourcen in der physikalischen Infrastruktur.

Eine solche dynamische Infrastruktur braucht auf allen Ebenen im Rechenzentrum konsequent virtualisierte Architekturen – vom Server über die Speicher bis hin zum Netzwerk. Kernstück ist ein virtuelles Betriebssystem, mit dem alle Server als umfassender Computing Pool verwaltet werden. Die Speichervirtualisierung hat zum Ziel, allen virtuellen Maschinen parallel Speicherkapazitäten zur Verfügung zu stellen. Und im Netzwerk lautet die Herausforderung, mangels fest zugeordneter Verbindungen die klassischen Funktionen von Switches zu virtualisieren. Die letzten Ankündigungen von VMware, EMC und Cisco zeigen deutlich, dass die technischen Voraussetzungen geschaffen wurden.

Cloud Computing rechnet sich

Für Unternehmen stehen naturgemäß die wirtschaftlichen Aspekte von Cloud Computing im Vordergrund. Dazu zählen höhere Effizienz und Flexibilität der IT sowie die Möglichkeit, schwer kalkulierbare Infrastrukturinvestitionen in planbare Fixkosten zu verwandeln. Dabei bietet das Modell der abgeschlossenen Cloud interessante Möglichkeiten: Wer seine Anwendungen als gut geschützte Clouds in der eigenen Infrastruktur betreibt, kann bei Bedarf zusätzliche Ressourcen von externen Anbietern ergänzen. Voraussetzung dafür sind natürlich einheitliche Standards. Ein Versandhändler kann Lastspitzen zur Weihnachtszeit abfangen, indem virtuelle Maschinen aus dem eigenen Rechenzentrum einfach in eine externe Cloud-Infrastruktur verschoben werden. Neben vermiedenen Investitionen verursachen kleiner dimensionierte Rechenzentren auch geringere Betriebs- und Energiekosten, und sie sind besser ausgelastet. Prinzipiell kann sich jedes Unternehmen mit Saisongeschäft auf diese Weise von der Notwendigkeit befreien, eigene Kapazitäten lediglich für den Fall der Fälle vorzuhalten. Neben vermiedenen Investitionen verursachen kleiner dimensionierte Rechenzentren auch geringere Betriebs- und Energiekosten. Im Gegenzug steigt der Auslastungsgrad des vorhandenen IT-Equipments signifikant. Voraussetzung dafür ist allerdings, dass für interne und externe Clouds die gleichen Standards gelten. Nur so lassen sich die Möglichkeiten des Cloud Computing voll ausschöpfen.

Clouds erfordern informationszentriertes Security-Konzept

So sehr der Gedanke besticht, die eigenen IT-Ressourcen bei Bedarf um öffentliche Kapazitäten zu erweitern: Den wenigsten wird dabei wirklich wohl zumute sein. Denn wer kann schon ruhig bleiben, wenn sensible Informationen und Prozesse in einer öffentlichen Infrastruktur verarbeitet werden sollen. Vertrauen allein kann in einem solchen Szenario nicht die Antwort sein. Wenn Cloud Computing tatsächlich eine Zukunft haben soll, müssen neue Sicherheitskonzepte entwickelt werden, die das komplexe Beziehungsgeflecht von Nutzern und Servicepartnern in einer öffentlichen Cloud zu schützen vermag. Es klingt wie die Quadratur des Kreises: IT-Organisationen müssen einerseits Kontrollfunktionen abgeben, dürfen anderseits aber die Vertraulichkeit und Integrität sensibler Unternehmensdaten dadurch nicht in Frage stellen. Hinzu kommen stetig wachsende Compliance-Anforderungen, die für Cloud-User natürlich genauso verbindlich sind wie für traditionell arbeitende Rechenzentren.

Drei Security-Säulen für Clouds

Wer Security-Verantwortung partiell an Cloud-Partner abgibt, muss diesen Partnern und ihren Systemen vertrauen können. Cloud Computing setzt folglich eine Trust-Infrastruktur voraus, auf deren Basis sich sämtliche Beziehungen und Prozesse zwischen Providern und Nutzern innerhalb von Clouds lückenlos verifizieren lassen. Etliche Elemente einer solchen Trust-Infrastruktur sind bereits in Rechenzentren etabliert und können von dort aus nahtlos zunächst auf Private und von dort aus auf Public Clouds ausgedehnt werden. Im Wesentlichen geht es dabei um folgende drei Bereiche:

• Identitätsmanagement: Dafür muss eine Cloud-weite Ende-zu-Ende-Lösung implementiert sein. Dies schließt Third-Party-Authentifizierung ebenso ein wie sogenannte föderierte Identitäten, die netzwerkübergreifend Gültigkeit besitzen. Einfache Nutzer- und Passwortkennungen sind durch starke Authentifizierungsmethoden wie One-Time-Passwords abzulösen und durch risikobasierte Authentifizierungsfunktionen zu ergänzen, zum Beispiel durch kontextbezogene Verhaltensprotokollierung.
  
• Informationssicherheit: Traditionelle Rechenzentren garantieren Integrität, Authentizität und Vertraulichkeit von Daten vorrangig durch Schutzvorkehrungen an ihren Außengrenzen. Im Cloud-Szenario werden derartige Schutzwälle jedoch durchlässig. Informationen brauchen demnach also eine Art von Schutzhülle, die sie auf ihrer Reise durch die Cloud begleitet. Notwendig ist somit ein dezidiert informationszentrierter Security-Ansatz. Hinzu kommt, dass Clouds als Multi-Mandanten-Infrastruktur viele Anwender versorgen. Deren Daten müssen durch Virtualisierung, Verschlüsselung und Zugriffskontrolle sicher gegeneinander abgeschottet sein – nicht nur auf Dateiebene, sondern auch auf Satz-, Feld- und Blockebene. Effizient umsetzen lässt sich all dies nur mit einem flexibel steuerbaren Richtlinienframework, das den gesamten Lebenszyklus von Informationen abdeckt. Unverzichtbar sind überdies effektive Klassifikationstools, mit denen sich das Schutzbedürfnis und die Zugriffspriorität für jeden Informationstyp präzise einstellen lassen. Um Governance- und Compliance-Ansprüchen gerecht zu werden, ist schließlich eine Art digitales Cloud-Logbuch erforderlich, das sämtliche Event- und Statusinformationen lückenlos dokumentiert.
  
• Infrastruktursicherheit: Die dritte Security-Säule für Clouds setzt zunächst einmal Sicherheit aller beteiligten Komponenten und deren Schnittstellen voraus. Komplementiert wird dies durch effektive Security-Funktionen auf Prozessebene, zum Beispiel beim Konfigurations- und Change Management. Die Gesamtarchitektur als solche muss von Grund auf als selbstverteidigende und selbstheilende Infrastruktur ausgelegt sein. Mit Blick auf die Wirtschaftlichkeit von Clouds als Multi-User-Plattform darf Sicherheit jedoch nicht zulasten der Flexibilität gehen, schon gar nicht, wenn es um die kundenindividuelle Ressourcen-Bereitstellung bei sehr unterschiedlichen Anforderungen geht. An dieser Stelle zeigt sich, wie eng Security und Resource Lifecycle Management in einer Cloud zusammenhängen.

Fazit

In den frühen Tagen der Industriegeschichte hatte jede Manufaktur ihre eigene Stromversorgung, etwa ein hölzernes Rad in einem Fluss, dessen Strömung Webmaschinen in Gang hielt. Mitte des 19. Jahrhunderts traten dann die ersten firmenübergreifenden Energieerzeuger auf den Plan. Schnell entwickelte sich eine flächendeckende Versorgungsinfrastruktur, die ihrerseits zum Treiber der weiteren Industrialisierung wurde. Eine vergleichbare Rolle kommt Cloud Computing in der Informationsgesellschaft zu. Gemeinsam genutzte IT-Infrastrukturen verändern grundlegend die Ökonomie heutiger Rechenzentren: mehr IT-Effizienz, verbesserte Kostenkontrolle sowie höhere Agilität auf den globalisierten Märkten. Grundbedingung aller positiven Cloud-Effekte ist jedoch die Bewältigung spezifischer Security-Herausforderungen. Im Kern geht es hier um einen Wechsel der Perspektive: weg vom autarken Rechenzentrum, das einer Festung gleicht, hin zu einem übergreifenden, informationszentrierten Security-Ansatz.