Analysten sagen dem weltweiten „Infrastructure as a Service“- (IaaS-) Bereich bis zum Jahr 2017 eine rosige Zukunft voraus: Aktuelle Marktzahlen von IDC liegen bei 107 Milliarden Dollar [1], die von Gartner sogar bei 244 Milliarden Dollar [2]. Im Vergleich dazu schätzt Crisp Research die Ausgaben für Public IaaS im Jahr 2013 in Deutschland auf etwa 210 Millionen Euro, während man in Aufbau und Wartung von Private-Cloud-Infrastrukturen 2,3 Milliarden Euro investierte. Deutsche Unternehmen setzen bevorzugt auf Private Clouds, da Datenschutz und Datensicherheit höchste Priorität besitzen. Vor diesem Hintergrund versammelt dieser Beitrag die wichtigsten Kriterien, die es bei der Auswahl eines IaaS-Providers zu beachten gilt.Deutsche Unternehmen müssen sich erst an die Public Cloud gewöhnen, um gewisse Teile – zum Teil auch kritischere Systeme – mit öffentlichen Clouds zu verbinden oder teilweise dorthin auszulagern. Losgelöst von kritischen Workloads existieren zahlreiche weitere, die sich in eine Public Cloud verschieben lassen. Diese muss das Unternehmen im Einzelfall bestimmen. Daraus ergeben sich die Voraussetzungen für die Anforderungen an einen IaaS-Anbieter. Zwei Typen von IaaS-Anbietern sind zu unterscheiden: Public-Cloud- und Hosted-Private-Cloud-Anbieter.
Public-Cloud-Anbieter stellen ihre Infrastrukturen innerhalb eines Shared-Modells bereit: Viele Kunden teilen sich eine gemeinsame physische Infrastruktur. Die Trennung der einzelnen Mandanten („Multi-Tenancy“) erfolgt auf Basis von Virtualisierung. Bei einem Public-Cloud-Anbieter ist zu beachten, dass dieser lediglich die Ressourcen bereitstellt, mit der ein Kunde ein eigenes virtuelles Rechenzentrum aufbauen kann. Per se handelt es sich zu 100 Prozent um einen Self-Service für die Bereitstellung. Das bedeutet im Umkehrschluss, dass der Kunde ebenfalls zu 100 Prozent für den Aufbau der virtuellen Infrastruktur, dessen Betrieb und den der darauf ausgeführten Applikationen und Systeme verantwortlich ist.
Bei den erfolgreichsten Workloads in der Public Cloud handelt es sich um Web-Applikationen für den Massenmarkt und weniger um spezifische Unternehmensapplikationen. Die Untersuchung des europäischen Cloud-Markts [3] hat zudem ergeben, dass der Großteil der Unternehmen für die Cloud nicht vorbereitet, sondern auf Hilfe angewiesen ist und gleichermaßen Unterstützung auf dem Weg in die Cloud sowie während des Betriebs der Anwendungen und Systeme erwartet.
Unternehmen sind am Cloud Computing und dessen Eigenschaften – Skalierbarkeit, Flexibilität oder Bezahlung nach Gebracuh (Pay per Use) – interessiert. Allerdings gestehen sie sich selbst ein, dass sie nicht über das Wissen und die Zeit verfügen oder es einfach nicht zu ihrem Kerngeschäft gehört, IT-Systeme zu betreiben und dies stattdessen von dem Cloud-Anbieter übernehmen lassen. Es geht also um eine flexible Art von Managed-Services. Darauf sind Public-Cloud-Anbieter schlecht vorbereitet, da ihr Geschäft darin besteht, hochstandardisierte Infrastrukturen, Plattformen, Applikationen und Services bereitzustellen.
 
Public Cloud versus Hosted Private Cloud
Für diesen Fall existieren so genannte Business Clouds: Cloud-Anbieter, die kein Public-Cloud-Modell betreiben, sondern mittels Managed-Services den Kunden dabei helfen, den Weg in die Cloud zu meistern, den Betrieb übernehmen und damit einen „Alles aus einer Hand“-Service bieten. Das erfolgt im Normalfall nicht auf Basis einer Shared-Infrastruktur, sondern innerhalb einer Hosted Private Cloud oder Dedicated Cloud. Hier befindet sich ein Kunde explizit in einem isolierten Bereich. Professional-Services, die bei der Integration, Schnittstellen und der Weiterentwicklung helfen, runden hier das Portfolio ab.
Business Clouds sind aufgrund dieser Service-Leistungen, der Exklusivität und höherer Sicherheit (in der Regel physische Isolation) teurer als Public Clouds. Betrachtet man jedoch den Aufwand, den man als Unternehmen selbst in der einen oder anderen Public Cloud betreiben muss, um tatsächlich erfolgreich zu sein, oder wenn man sich Hilfe von einem zertifizierten Systemintegrator holt, dann ist der Kostenvorteil meistens eliminiert.
 
Arten von IaaS-Anbietern
Innerhalb der IaaS-Anbieter lassen sich zwei Klassen unterschieden. Grundsätzlich geht es beim IaaS darum, Rechenleistung, Speicherplatz und weitere Infrastrukturleistungen wie Netzwerkkapazitäten anzubieten. Daran halten sich auch in etwa 98 Prozent aller Anbieter strikt und stehen damit im direkten Wettbewerb zueinander. Die erfolgreichen Anbieter mit den größten Marktanteilen beschränken sich hingegen nicht auf das Angebot reiner Infrastruktur, sondern haben ein Portfolio infrastrukturnaher Services aufgebaut.
Der IaaS-Markt hat bei Weitem noch nicht seinen Zenit erreicht. Dennoch ist Infrastruktur zur Commodity (Gut des alltäglichen Gebrauchs) geworden und nichts Innovatives mehr. Die Cloud ist an einem Punkt angekommen, wo es darum geht, die Cloud-Infrastrukturen zu nutzen, um darauf Services vertikal aufzubauen. Dafür benötigen Unternehmen und Entwickler neben virtueller Rechenleistung und Speicherplatz auch Services vom Provider, um das eigene Angebot performant, skalierbar und ausfallsicher zu betreiben.
 
Art der Skalierbarkeit entscheidend
Skalierbarkeit bedeutet, dass die Leistung eines Systems durch das Hinzufügen weiterer Ressourcen wie ganzer Rechnersysteme oder granularer Einheiten wie CPU und Arbeitsspeicher erhöht wird. Das System kann dann mit zunehmender beanspruchter Leistung linear mitwachsen. So lassen sich plötzliche Lastspitzen abfangen, das System bricht unter ihnen nicht zusammen. Zu unterscheiden sind Scale-up und Scale-out. Scale-out (horizontale Skalierung) steigert die Leistung eines Systems, indem man weitere vollständige Rechner (virtuelle Systeme) zum Gesamtsystem hinzufügt, so wie ein Cluster skaliert, indem es immer um die benötigte Anzahl an Rechnern erweitert wird. Scale-up (vertikale Skalierung) hingegen steigert die Leistung des Systems durch das Hinzufügen weiterer granularer Ressourcen zum Rechnersystem. Dabei kann es sich um Speicherplatz, CPUs oder Arbeitsspeicher handeln.
Betrachtet man die Top-Cloud-Anwendungen, handelt es sich um Startup-Applikationen, unkritische Workloads oder komplett neue Entwicklungen, die in der Cloud verarbeitet werden. Dies bedeutet, dass die meisten bestehenden IT-Systeme von Unternehmen sich noch gar nicht in der Cloud befinden. Das hängt neben den Bedenken um Kontrollverlust und Compliance damit zusammen, dass es das Scale-out-Prinzip für Unternehmen beliebig kompliziert macht, ihre Anwendungen und Systeme in die Cloud zu migrieren. Am Ende läuft es darauf hinaus, dass sie von vorne beginnen müssen, da ein nicht verteilt entwickeltes System nicht so funktioniert, wie es auf einer verteilten Cloud-Infrastruktur laufen sollte – Stichworte: Skalierbarkeit, Hochverfügbarkeit, Nutzung mehrerer Availability Zones. So wird selbst die Migration eines vermeintlich einfachen Webshops zur Herausforderung für Unternehmen, die nicht über die Zeit und das notwendige Cloud-Wissen verfügen, um den Webshop für die (Scale-out-)Cloud-Infrastruktur neu zu entwickeln. Diese Kosten sollte man nicht unterschätzen.
Unabhängig davon, welches Cloud-Deployment-Modell am Ende Verwendung findet, ist die Eigenverantwortung ein wichtiges Thema. Ein Benutzer darf nicht die gesamte Verantwortung auf die Seite des Anbieters schieben. Es steht fest, dass der Anbieter für die Infrastruktur verantwortlich ist – aber der Kunde muss seine Hausaufgaben machen. Er muss im Falle einer Public-Scale-out-Infrastruktur selbst für Skalierbarkeit und Verfügbarkeit der virtuellen Systeme sorgen, also ebenfalls für das „Design for Failure“. IaaS bedeutet in erster Linie, dass der Provider nur Ressourcen zur Verfügung stellt, mit denen der Kunde ein eigenes virtuelles, skalierbares Rechenzentrum aufbauen kann. Bei einer Hosted Private Cloud sieht das anders aus, da hier die Professional-Services des Anbieters eine höhere Bedeutung haben.
Um die Skalierbarkeit und Verfügbarkeit einer Applikation innerhalb der Cloud sicherzustellen, helfen von den Anbietern bereitgestellte Services und APIs. Zudem stehen bei einigen Anbietern weitere infrastrukturnahe Services zur Verfügung, die das Leben sichtlich einfacher machen. Allerdings ist der Lock-in (Abhängigkeit von einem Anbieter) damit vorprogrammiert. Zwar muss Lock-in nichts Schlechtes sein, solange der Anbieter die gewünschten Anforderungen erfüllt. Dennoch sollte sich ein Unternehmen vorher überlegen, ob es diese Services tatsächlich zwingend benötigt. Virtuelle Maschinen, Daten und Standard-Workloads lassen sich relativ einfach umziehen. Bei Services, die tief in die eigene Applikationsarchitektur eingreifen, sieht es anders aus.
Hat ein Unternehmen seine funktionalen Anforderungen anhand des eigenen Use Cases identifiziert und definiert, muss es den Anbieter im Detail untersuchen. Hierzu sind die technischen Anforderungen, die Themen Compliance und Verträge sowie die individuellen Anbietereigenschaften zu betrachten.
 
Technische Anforderungen
Zugriff auf die Daten: Der Anbieter sollte Import- und Export-Schnittstellen zur Verfügung stellen, mit denen der Kunde Daten auf eine einfache Art und Weise in die Cloud übertragen wie auch herunterladen kann.
Verschlüsselungsstandards: Ermöglicht der Anbieter die (maximal) sichere Übertragung und Speicherung der Daten? Setzt er in diesem Zusammenhang auf neueste Verschlüsselungsstandards wie Advanced Encryption Standard (AES 256) zur Verschlüsselung der Daten sowie auf Diffie-Hellman und RSA 3072 für den Schlüsselaustausch? Besteht die Möglichkeit, eine Ende-zu-Ende Verschlüsselung der gesamten Kommunikation zu realisieren?
Backup-Maßnahmen: Nimmt der Anbieter regelmäßige Backups der Kundeninfrastruktur vor? In jedem Fall sollten Services und Mechanismen zur Verfügung stehen, die ein Kunde nutzen kann, um dies auf eine einfache Art und Weise selbst vorzunehmen.
Verfügbarkeit: Die Verfügbarkeit wird grundsätzlich im SLA festgehalten. Jedoch hat ein Kunde innerhalb einer Public-Cloud-Infrastruktur selbst für die Verfügbarkeit seiner virtuellen Infrastruktur und der darauf betriebenen Applikationen und Systeme zu sorgen. Der IaaS-Anbieter muss die notwendigen Mittel und Wege in Form von Services bereitstellen.
Performance: Wie ist die Leistung der Infrastruktur zu bewerten? Hier sollte man unabhängige Performance-Vergleiche heranziehen, wenn die Performance für die eigene Applikation und Systeme entscheidend ist, und zudem auf das Preis-Leistungs-Verhältnis achten.
Benutzerfreundlichkeit: Wie lässt sich die virtuelle Infrastruktur aufbauen und steuern? Neben einer umfangreichen und gut dokumentierten API sollte ebenfalls eine gut nutzbare Web-Oberfläche zur Verfügung stehen, da viele Administratoren keine Entwickler sind und dadurch zwangsläufig nicht wissen, wie sie die APIs aktueller IaaS-Anbieter nutzen sollen, um programmatisch eine komplexe Cloud-Infrastruktur aufzubauen.
Benutzer-Management: Eine Infrastruktur wird nicht von einer einzelnen Person aufgebaut und betreut. Aus diesem Grund muss ein umfangreiches Benutzer-Management inklusive der Zuweisung von granularen Zugriffsrechten zur Verfügung stehen.
 
Compliance und Verträge
Auftragsdatenverarbeitung: Stellt der Anbieter eine Auftragsdatenverarbeitung für die Verarbeitung von personenbezogener Daten nach §11 BDSG aus? Dies sollte normalerweise kostenlos der Fall sein.
Technische und organisatorische Sicherheitsmaßnahmen: Erfüllt der Anbieter alle technischen und organisatorischen Sicherheitsmaßnahmen nach der Anlage zu §9 BDSG?
Weitere domänenspezifische Vorgaben: Kann der Anbieter weitere spezielle Anforderungen erfüllen, zum Beispiel zu steuerrelevanten Vorschriften (GDPdU, GoBS)?
Unternehmensspezifische Vorgaben: Lassen sich mittels der Infrastruktur des Anbieters spezifische unternehmensrelevante Anforderungen erfüllen wie beispielsweise der Geheimnisschutz bei Rechtsanwälten, Ärzten und Versicherungen?
Internationale Regelungen: Lassen sich internationale Gesetze und Regelungen erfüllen, zum Beispiel der Sarbanes-Oxley Act (SOX)?
Vertragsinhalte: Sind die Vertragsinhalte vollständig? Dazu gehören unter anderem eine abstrakte Leistungsbeschreibung, die Haftung, Laufzeit sowie mögliche Kündigungsfristen. Hier sollte man Rechtsberatung in Anspruch nehmen.
Anlagen: Sind die Anlagen zum Vertrag vollständig? Dazu gehören unter anderem eine Preis-/ Mengenvereinbarung, Schnittstellen, Verfahren, Gremien, Datensicherheit und der Datenschutz. Auch hier sollte man Rechtsberatung hinzuziehen.
Service-Level-Agreement (SLA): Entspricht das von dem Anbieter vorgeschlagene SLA den eigenen Anforderungen? Darin sollte unter anderem beschrieben sein: eine exakte Leistungsbeschreibung, Mitwirkungs- und Beistellpflichten, das Service-Level (Verfügbarkeit, Performance, Fehlerbehebung) sowie Monitoring und Reporting.
 
Individuelle Anbietereigenschaften
Testzugang: In der Regel bieten Public-IaaS-Anbieter einen kostenlosen 30-Tage-Testzugang mit eingeschränkter Ressourcennutzung. Selbiges sollte ein Hosted-Private-Cloud-Anbieter ebenfalls ermöglichen, damit der Kunde ein Gefühl für die Infrastruktur bekommt.
Unterstützung: Hilft der Anbieter auf dem Weg in die Cloud und bei der Durchführung von Projekten anhand von Professional Services oder einem Partnersystem? Public-IaaS-Anbieter setzen normalerweise auf Self-Service. Beratungsleistungen kann man zusätzlich vom Anbieter oder einem zertifizierten Partner einkaufen. Hosted-Private-Cloud-Anbieter führen Professional Services als integrierte Bestandteile ihres Geschäftsmodells.
Schulungs- und Trainingsangebote: Stehen online wie auch offline Schulungsangebote zur Verfügung, mit denen man den Umgang mit der Infrastruktur anhand von Beispielen erlernen kann?
Support-Hotline: Stellt der Anbieter eine Hotline für wichtige Fragen bereit, im besten Fall in der gewünschten Landessprache?
Self-Support: Stehen Unterlagen zum autodidaktischen Lernen zur Verfügung? Dazu gehören FAQs und aussagekräftige Dokumentationen zur Infrastruktur selbst sowie zu deren Nutzung. Zudem sollte eine Community des Anbieters für den Erfahrungsaustausch vorhanden sein.
Finanzieller Hintergrund: Wie ist die wirtschaftliche Lage des Anbieters? Von wie vielen Mitarbeitern und (zahlenden) Kunden kann der Anbieter berichten? Der Interessent sollte die finanzielle Situation des Anbieters im Rahmen einer Risikoabschätzung auf jeden Fall in Betracht ziehen.
Dazu gehört ebenfalls ein Blick auf die Bilanz und die Fähigkeiten des Managements. Wenn dieses regelmäßig ausgetauscht wird, ist Vorsicht angesagt.
Track Record: Der Track Record – die Erfolgshistorie eines Anbieters – sagt etwas über dessen Popularität in Bezug auf namenhafte Kunden und erfolgreich abgeschlossene Projekte aus. Den Track Record sollte man sowohl national wie auch international betrachten.
F&E-Aktivität/Release Roadmap: Wie sehen die Roadmap und die F&E-Aktivitäten des Anbieters in der Zukunft aus? Sind diese Änderungen und Erweiterungen relevant für die eigene Strategie oder Produkterweiterung?
Öko- und Partnersystem : Verfügt der Anbieter über ein umfangreiches und gut ausgebildetes Netzwerk von Partnern, die mit Beratungs- und Integrationsleistungen weiterhelfen? Das gilt insbesondere für einen Public-IaaS-Anbieter.
Auszeichnungen und Gütesiegel: Verfügt der Anbieter über aussagekräftige Auszeichnungen oder Gütesiegel (TÜV, ULD, Eurocloud), die eine unabhängige Aussage über dessen Qualität treffen?
Rechenzentren: Verfügt der Anbieter über eigene Rechenzentren, werden diese von Dritten betrieben oder nutzt der Anbieter lediglich Co-Locations? Gibt es Aussagen und Dokumentationen über die Maßnahmen zur organisatorischen und physischen Sicherheit der Rechenzentren? Auch der Standort, an dem die Unternehmensdaten gespeichert werden, ist zu beachten. Die lokale Speicherung der Daten im eigenen Land ist zwar keine Garantie für die Rechtssicherheit der Daten, jedoch ist es damit einfacher, lokales Recht anzuwenden. Auch hier sollte man wieder Rechtsberatung in Anspruch nehmen.
Zertifikate: Kann der Anbieter Zertifikate nachweisen, die zum Beispiel seine Sicherheit und Datenschutzgüte bestätigen? Dazu gehören unter anderem TÜV, DIN ISO/IEC 27001, DSS/PCI, SOC 1 oder DIACAP. Eines ist wichtig zu wissen: Safe Harbor ist eine reine Selbstzertifizierung und daher nicht aussagekräftig.

Quellen
[1] www.idc.com/getdoc.jsp?containerId=prUS24298013
[2] www.gartner.com/id=2598217
[3] research.gigaom.com/report/the-state-of-europes-homegrown-cloud-market

Der Weg eines Unternehmens sollte auf einer klar strukturierten Cloud Strategy Roadmap beruhen. Bild: New Age Disruption

Public Clouds und Private Cloud nutzen unterschiedliche Skalierungsmodelle. Dies kann für Unternehmen im Hinblick auf die verwendeten Applikationen Probleme bereiten. Bild: SecuraHosting

Bei Public-Cloud-IaaS-Services stellt der Service-Provider Infrastruktur als Dienstleistung bereit, der Kunde bezahlt ausschließlich für deren Nutzung. Bild: Pironet NDH