Flexibel, schnell und wirtschaftlich soll sie sein, die Cloud. Doch Sicherheit, Zuverlässigkeit und Datenschutz sind mindestens ebenso wichtig. Nur eine Strategie, die gezielt auf hybride Infrastrukturen und Multi-Cloud-Szenarien ausgerichtet ist, kann die unterschiedlichen Erwartungen erfüllen. Bei ihrer Umsetzung soll eine leistungsfähige Cloud-Management-Plattform helfen.

Die Zukunft der IT-Infrastruktur ist hybrid. Kein Wunder: Die Erfahrung zeigt, dass Nutzer von hybriden Infrastrukturen Kosten sparen und effizienter arbeiten. Möglich wird dies durch die Einbindung von Cloud-Services. Laut Bitkom Cloud Monitor 2017 nutzen bereits rund zwei Drittel (65 Prozent) der Unternehmen Services aus der Cloud. Die große Herausforderung ist dabei für die Unternehmen: Sie müssen zunehmend komplexe Umgebungen managen. Denn keine Cloud kann alles. So wird aus einer hybriden Infrastruktur schnell eine Multi-Cloud-Infrastruktur. IDC-Analyst Giorgio Nebuloni schätzt, dass schon bald nahezu jedes europäische Unternehmen unterschiedliche Cloud Services nutzen wird. Allerdings ergab die Studie von IDC auch, dass nur knapp ein Zehntel (neun Prozent) der Organisationen in Europa reif sind für eine Multi-Cloud-Umgebung. Und laut Bitkom Cloud Monitor haben zwei Drittel der Unternehmen keine Sicherheitsstrategie für die Cloud. Dabei zeigt die Erfahrung, dass ohne eine klare Strategie und ohne geeignete Management-Tools für ihre Umsetzung ein Cloud-Wildwuchs droht, der nicht nur Sicherheitsprobleme verursacht, sondern auch den wirtschaftlichen Nutzen der Cloud zunichtemachen kann.

Worauf es beim Cloud-Management ankommt

In der zitierten IDC-Studie gaben 42 Prozent der mehr als 600 Befragten an, dass vor allem das Verwalten und die Kontrolle der Kosten höchste Priorität im Multi-Cloud-Daten-Management besitzen. Ein typisches Problem dabei: Viele Cloud-Angebote versprechen zwar eine nutzungsbasierende Abrechnung. Doch ob der Anbieter wirklich in der Lage ist, nach tatsächlich genutzter Leistung abzurechnen, ist die Frage. Oft stellen Anwenderunternehmen erst im Nachhinein fest, dass einfach nur unterschiedliche Leistungspakete pauschal nach Anzahl eingesetzter Ressourcen und aktiver Nutzer berechnet werden. Und je mehr Cloud-Angebote mit unterschiedlichen Preismodellen eine hybride Infrastruktur beinhaltet, desto größer ist das Risiko, durch Intransparenz und zusätzlichen Verwaltungsaufwand überflüssige Kosten zu verursachen.

Preismodelle studieren

Experten raten daher, gerade in Multi-Cloud-Umgebungen die Preismodelle der Anbieter genau zu vergleichen. Vor allem sollten sich Entscheider genau erläutern lassen, wie der Ressourcenverbrauch berechnet wird. Cloud-Management-Lösungen helfen dann, im laufenden Betrieb den Überblick zu behalten – nicht nur über die Kosten, sondern auch über Betriebsdaten zu Performance und Sicherheitsstatus. Damit dieser Überblick wirklich alle internen und externen IT-Ressourcen umfasst, empfiehlt sich eine zentrale, plattformübergreifende Lösung.

Wichtig: Sie sollte nicht nur Metriken für genutzte Cloud-Ressourcen auflisten, sondern schon bei der Orchestrierung sicherstellen, dass jeder Workload dort verarbeitet und gespeichert wird, wo dies am günstigsten ist. Dabei sind natürlich die jeweiligen Performance-, Sicherheits- und Datenschutzanforderungen automatisch zu berücksichtigen.

Den Worst Case antizipieren

Fehler und Risiken lassen sich nur dann gezielt vermeiden, wenn man sie kennt. Vor Beginn einer Cloud-Migration ist deshalb genau zu prüfen, welche Daten und Anwendungen welche Anforderungen an Performance, Flexibilität, Sicherheit und Datenschutz stellen. Was sind die Kronjuwelen des Unternehmens? Wo liegen sie? Wer benötigt sie? Wovor müssen sie geschützt werden? Erst wenn diese und alle anderen Anforderungen geklärt sind, können Unternehmen ihren potenziellen Cloud-Providern die richtigen Fragen stellen. Doch der Aufwand lohnt sich, denn mit diesem Vorgehen lassen sich Worst-Case-Fälle vermeiden.

IT-Berater kennen die Situation: Gleichgültig, ob es um die Anzahl der vorhandenen Server und Clients im Unternehmen geht, um die genutzten Anwendungen oder die Zahl der Benutzerlizenzen – die Bestandsanalyse zu Beginn eines Projekts führt oft zu großen Überraschungen in Anwenderunternehmen. Umso wichtiger ist es, Art und Umfang der Daten und Anwendungen zu kennen, die in eine hybride Cloud migriert werden. Außerdem ist jede Cloud-Umgebung genau zu inspizieren, bevor sie zum Bestandteil der IT-Infrastruktur des Unternehmens wird.

Dazu gehört es beispielsweise, den Cloud-Provider explizit zu fragen, wie die Provisionierung und Deprovisionierung von Ressourcen abläuft. Oder, was er unternimmt, um Risiken zu vermeiden und die Anforderungen der DSGVO zu erfüllen. Wie werden Vorfälle gemeldet? Auf welche Weise und innerhalb welcher Zeit lassen sich Daten notfalls wiederherstellen? Viele Fragen markieren den Weg zu einer erfolgreichen Cloud-Strategie.

Der Weg in die Cloud bedeutet oft eine Öffnung der eigenen Systeme für Kunden und Partner. Auch bei Kooperationen mit Wettbewerbern sind gemeinsam genutzte Cloud-Plattformen häufig die technische Basis einer – möglicherweise zeitlich begrenzten – Zusammenarbeit. Cloud-Management-Lösungen müssen daher in der Lage sein, Ressourcen für externe Nutzer nicht nur kurzfristig und sicher bereitzustellen, sondern sie auch ebenso einfach wieder abzuschalten. Dabei sind Datenlecks zu vermeiden und die geltenden Dokumentationspflichten zur Datenlöschung einzuhalten, beispielsweise nach der DSGVO. Dues erfordert unter anderem ein professionelles Identity- und Access-Management.

Dass Cloud-Provider die neuesten Sicherheitsstandards erfüllen und über die branchenüblichen Zertifizierungen verfügen, sollte selbstverständlich sein und ist es in der Regel auch. Aber nicht jeder Anbieter ist mit jeder spezifischen rechtlichen Vorgabe vertraut, die sein potenzieller Kunde einhalten muss. Ausführliche und präzise formulierte Anforderungen sind daher ebenso wichtig wie die Nutzung von Best Practices. Dazu gehören beispielsweise Zwei-Faktor-Authentifizierung, rollenbasierende Zugriffskontrollen und die Verschlüsselung der Daten sowohl während der Übertragung als auch im Ruhezustand.

Unabhängig von den Details der Sicherheitsinfrastruktur gilt: Jede Zertifizierung von Standards durch Dritte ist eine Momentaufnahme. Sie kann veraltet sein, bevor die Tinte auf dem Zertifikat trocknet. Deshalb sind Zertifizierungen zwar notwendig, aber nicht ausreichend. Denn Cloud -Security ist kein einmaliges Projekt, sondern ein fortlaufender Prozess, in dem die Einhaltung der Compliance-Vorgaben permanent überwacht und dokumentiert wird. Dazu ist eine Management-Plattform erforderlich, die jederzeit aktuelle Sicherheitsparameter abfragt und übersichtlich darstellt. Darüber hinaus sollte sie bei Störungen automatisch vordefinierte Prozesse anstoßen, die deren Ursachen aufspüren und beheben.

Die Sicherheitsstandards der eigenen IT, der extern gehosteten Private Clouds und Public Clouds zu harmonisieren, ist eine komplexe Aufgabe, die viel Know-how und Erfahrung erfordert. In Multi-Cloud-Umgebungen kommt hinzu, dass zwei Clouds zwar identische Zertifizierungen haben können, aber mit großer Wahrscheinlichkeit unterschiedliche Risikoprofile aufweisen. Diese Risikoprofile laufend einzuschätzen, ist eine Aufgabe für spezielle dynamische Tools, die in keiner Cloud-Management- Lösung fehlen dürfen. Sie richtig zu konfigurieren, ist nicht nur eine Frage der Sicherheit, sondern auch die Grundlage dafür, dass Unternehmen IT-Ressourcen automatisiert provisionieren können. Nur dann lassen sich die in der Cloud angestrebten Effizienzsteigerungen realisieren – auch in Multi-Cloud-Infrastrukturen.

Paul Duffy ist Vice President of EMEA bei Virtustream, www.virtustream.com.