Rajiv Ramaswami teilt sich bei VMware mit Raghu Raghuram die Position des COO Products and Cloud-Services. Ramaswami zeichnet in dieser Rolle vorrangig für VMwares Produktportfolio verantwortlich, Raghuram für die Cloud-Services. LANline sprach mit Rajiv Ramaswami über die Hybrid Cloud, Datacenter-Sicherheit, virtuelle Arbeitsplätze und VMwares Rolle in der digitalisierten Industrie.

LANline: Herr Ramaswami, in den letzten Jahren hat sich das VMware-Portfolio rasant erweitert, vom Fokus auf Workstation-, Server- und Desktop-Virtualisierung zum umfassenden Toolset für das SDDC (Software-Defined Datacenter) sowie für Hybrid-Cloud-Management und -Orchestrierung. Im Cloud-Bereich war die wohl größte Entwicklung der Wechsel vom Wettbewerb mit den Hyperscalern hin zur Zusammenarbeit mit AWS für einen globalen Hybrid-Cloud-Rollout. Was ist aus Ihrer Sicht die wichtigste aktuelle Entwicklung im RZ-Bereich?

„Die Private Cloud und die Public Cloud verschmelzen immer stärker“, so Rajiv Ramaswami, COO Products and Cloud-Services bei VMware. Bild: VMware

„Die Private Cloud und die Public Cloud verschmelzen immer stärker“, so Rajiv Ramaswami, COO Products and Cloud-Services bei VMware. Bild: VMware

Rajiv Ramaswami: Die Private Cloud und die Public Cloud verschmelzen immer stärker. Bei den Unternehmen wünscht man sich dabei die einfache Nutzbarkeit der Cloud auch im eigenen Rechenzentrum. Mit Cloud Foundation (VMwares Hybrid-Cloud-Lösung, d.Red.) lassen wir ihnen dabei freie Plattformwahl. Das könnten zum Beispiel HCI-Systeme (Hyper-Converged Infrastructure) von Dell sein, aber auch Umgebungen anderer Anbieter. Dies ist von Bedeutung, weil die Hybrid Cloud immer mehr Mainstream wird. Für einzelne Bausteine wie NSX oder vSAN haben wir schon Zehntausende Anwenderunternehmen, für den kompletten Stack bereits Hunderte.

LANline: Die Debatte über die Vor- und Nachteile virtueller Maschinen gegenüber Linux-Containern hält weiter an. Welche Anwendungsfälle sehen Sie für Container im Unternehmens-RZ? Und wie kann VMware hier dazu beitragen, ein höheres Sicherheitsniveau zu erreichen?

Rajiv Ramaswami: Die IT-Organisationen wollen nicht zahlreiche Infrastrukturen verwalten müssen. Wie sie VMs sicher managen können, wissen sie bereits. Mit denselben Tools und Erweiterungen können sie auch Instanzen für den Containerbetrieb erstellen, auf der gleichen Infrastruktur und dank NSX mit Mikrosegmentierung, um sie von der restlichen Umgebung abzuschotten. Wir haben unser automatisiertes VM-Management also auf Container ausgedehnt und behandeln diese als virtuelle Endpunkte. Dadurch können Unternehmen Container in großem Maßstab einsetzen und zugleich eine sehr granulare Kontrolle über die einzelnen Container behalten. Darin liegt auch der Wertbeitrag unserer Integration mit Kubernetes: Wir machen containerisierten Applikationen unsere Management- und Mikrosegmentierungsvorteile zugänglich.

LANline: Traditionell verlässt sich VMware bei der Bereitstellung von Sicherheitsfunktionen auf sein Partner-Ökosystem. Zugleich hat man aber mit NSX und AppDefense eigene Sicherheitsprodukte entwickelt. Inwieweit ist VMware trotz der kürzlich vorgestellten „Software-Defined Firewall“ noch auf Sicherheitslösungen von Drittanbietern angewiesen? Und welche zusätzlichen Maßnahmen plant VMware, um das Software-Defined Datacenter zu einem „Self-Defending Datacenter“ weiterzuentwickeln?

Rajiv Ramaswami: Mikrosegmentierung mit NSX kommt in der Tat oft für Sicherheitsaufgaben zum Einsatz, die größten Deployments dienen allerdings der vollständig automatisierten Provisionierung von Cloud-Ressourcen. NSX und AppDefense nutzen wir zugleich für unsere Software-Defined Firewall. Mit ihr widmen wir uns der Asymmetrie, dass Angreifer nur einmal Erfolg haben müssen, während Verteidiger ständig alles abzusichern haben. Deshalb verwenden Unternehmen bislang einen großen Teil ihres Security-Budgets darauf, das eigene Territorium zu verteidigen und Angreifer aufzuspüren. Die Schwachstelle des Angreifers hingegen ist: Er kennt die Umgebung nicht und muss sich deshalb erst einmal umsehen. Solch ein Vorgehen erzeugt immer Abweichungen vom normalen Verhalten im Netzwerk. Der sinnvollste Ansatz ist es deshalb, sich auf den definierten Normalzustand („known good state“) zu konzentrieren, dafür eine Baseline zu erstellen und dann das Anwendungsverhalten laufend auf Anomalien hin zu überwachen. VMware kommt dabei sehr nahe an die Applikationen heran: Wir kennen und verstehen das Anwendungsverhalten inklusive der Änderungen durch Updates. Damit kann unsere Software-Defined Firewall die Verhaltensmuster der Applikationsinfrastruktur einschließlich aller Changes ständig im Auge behalten. Sobald sie etwas erkennt, das aus der Norm fällt, kommen die Drittanbieter zum Zuge: Wir geben die Meldung an externe Security-Tools weiter. Mit deren Hilfe kann das IT-Team dann die VM in Quarantäne stellen, Netzwerkverbindungen blockieren etc. Anders formuliert: Wir nutzen Machine Learning nur für das Monitoring des Applikationsverhaltens, nicht für die Bedrohungserkennung, wie das bei den Security-Spezialisten der Fall ist. Einen geschlossenen Kreislauf („closed loop“) zur automatischen Wiederherstellung des Normalzustands nach einer entdeckten Anomalie gibt es dabei noch nicht. Die Frage ist auch, ob die Security-Teams das überhaupt wollen. Wenn aber eine IT-Organisation eine entsprechende Regel für einen Automatismus erstellt, dann ist deren Umsetzung mit einem Klick erfolgt.

LANline: VMware hat ein Beta-Programm für „Project Dimension“ gestartet, um „Infrastructure as a Service“ in Rechenzentren und Edge-Umgebungen einzuführen. Könnten Sie Status quo und Roadmap des Projekts erläutern?

Rajiv Ramaswami: Unternehmen werden bestimmte IT-Ressourcen weiterhin in der eigenen Infrastruktur nutzen, sei es aus Security- oder Compliance-Gründen oder schlicht weil man unternehmenskritische Anwendungen und Daten lokal vorhalten will. Ein weiterer Use Case kommt neuerdings verstärkt hinzu: Applikationen laufen in einem Edge-Datacenter, also direkt in einer Fabrik, im Geschäft einer Einzelhandelskette, auf einer Ölplattform oder Ähnliches, zum Beispiel weil man Latenzen bei der Datenübertragung vermeiden muss. Die Unternehmen wollen solche Edge-Datacenter aber mit Cloud-artiger Einfachheit betreiben können, möglichst als Managed Service. Dafür haben wir auf der VMworld „Project Dimension“ angekündigt. Wenig später präsentierte AWS dann seine Outposts (AWS-Infrastruktur für den Einsatz direkt beim Kunden, d.Red.). Wir wollen Project Dimension auf Dell-Servern ebenso verfügbar machen wie mittels VMware Cloud auf AWS Outposts. Derzeit laufen Tests bei einigen Kunden, allgemein verfügbar werden soll das Angebot im Lauf des Jahres.

LANline: Ein Hybrid-Cloud-Management soll die internen und die Public-Cloud-Ressourcen eines Unternehmens zusammenführen. Das klingt allumfassend. In welche Richtung kann sich also das Hybrid-Cloud-Management Ihrer Ansicht nach weiterentwickeln?

Rajiv Ramaswami: Unsere Roadmap dreht sich um zwei Dinge: Betrieb und Automation, also die Frage, was man managt und wie stark man dies automatisieren kann. Unser Ziel ist die vollständige Hybrid-Cloud-Automation, hier werden wir stetig besser. Zugleich erweitern wir unser Management-Framework um native Cloud-Umgebungen. Viele unserer Kunden nutzen vRealize für ihre lokalen virtuellen Umgebungen und Cloud Health für das Ressourcen- und Kosten-Management über Public Clouds hinweg. Unser Cloud Automation Service bietet nun auch eine Cloud-basierte Variante von vRealize. Jede unserer Management-Plattformen wird künftig für die lokale Installation sowie aus der Cloud erhältlich sein, denn immer mehr Unternehmen freunden sich mit dem Prinzip „Management as a Service“ an.

LANline: Werfen wir einen Blick auf die Endanwenderseite. Es gibt eine zunehmende Vielfalt an Angeboten für die Migration digitaler Workspaces in die Cloud, seit Jahren bereits von Citrix, VMware und AWS, neuerdings engagiert sich hier auch Microsoft verstärkt. Welche Zukunft sehen Sie für den digitalen Workspace – wird er komplett in die Cloud wandern oder auch langfristig eine hybride Infrastruktur erfordern?

Rajiv Ramaswami: Weltweit werden rund 75 Prozent unserer Workspace-One-Produkte „as a Service“ bereitgestellt. Die Workspaces bewegen sich also viel schneller in die Cloud als die Server. Und „Cloud“ bedeutet hier meist: in die Public Cloud, nicht einfach in eine gehostete Private Cloud. Für digitale Workspaces liefern wir die virtuellen Desktops ebenso wie das Device-, Identity- und App-Management. Die Kunden fangen mit dem einen oder anderen Aspekt an und übernehmen dann allmählich weitere. Besonders erfolgreich sind wir dabei mit Workspace One auf Mobilgeräten, aber es gibt auch signifikante Chancen im Bereich des Windows-Managements, also modernes Endpoint-Management statt SCCM. Hier haben wir starke Partnerschaften mit Dell und HPE. Dell zum Beispiel liefert für den Enterprise-Einsatz vorkonfigurierte Endpunkte mit Workspace One aus. Ein Vorteil dabei: Wir erhalten mit Workspace One einen umfangreichen Kontext des Geräteeinsatzes. Mittels dieser Daten und unserer Analytics-Funktionen können wir somit für Sicherheit bis hin zum Endgerät sorgen. Auch hier stellen wir wieder das gewünschte Verhalten fest und reichen Hinweise auf Abweichungen an eine Security-Lösung weiter. Das Ziel ist hier ein geschlossener Endpoint-Management-Kreislauf mit Bedrohungsanalyse durch einen Security-Partner.

LANline: Welche Rolle sieht VMware für sich im Industrial Internet of Things (IIoT), also in der digitalisierten Industrie?

Rajiv Ramaswami: Mit dem IIoT kommen immer mehr Geräte ins Unternehmen, an denen kein Anwender tätig ist. Zur Verwaltung setzen wir hier auf das Pulse IoT Gateway: Damit können wir Richtlinien durchsetzen und den Zugriff kontrollieren. Unsere Vision ist es, IIoT-Geräte genauso zu verwalten, zu überwachen und abzusichern wie Endpunkte im IT-Bereich. Hier stehen wir aber – wie die ganze Branche – noch ziemlich am Anfang. IIoT ist für uns jedenfalls ein sehr spannendes zusätzliches Geschäftsfeld.

LANline: Herr Ramaswami, vielen Dank für das Gespräch.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.