Ausfallsicherheit in der Cloud
Die Zahlen nach dem Komma entscheiden
Die Frage nach der Sicherheit kommt schnell auf, wenn sich Unternehmen für den Weg in die Cloud entscheiden. Dabei geht es sowohl um Datensicherheit als auch um die Verfügbarkeit. Cloud-Service-Provider (CSP) können auf technischer und organisatorischer Ebene zahlreiche Vorkehrungen treffen. Das Maß an Verfügbarkeit sollte dabei nicht nur vertraglich zugesichert sein, vielmehr muss Ausfallsicherheit vom RZ-Betreiber für jeden Einzelbereich und für jede IT-Komponente auch tatsächlich umgesetzt sein.Für Unternehmen gibt es nichts Schlimmeres als einen Systemausfall - verbunden mit einer Unterbrechung des Betriebs und womöglich dem Verlust von Daten. Oft hängen daran nicht nur erhebliche Kosten sondern auch ein Image- und Geschäftsverlust. Um diesem Szenario nahezu aus dem Weg zu gehen, achten Unternehmen vermehrt auf die bereitgestellte Verfügbarkeit der Server-Systeme. Die Zahlen nach dem Komma von 99 Prozent sind dort entscheidend: Die erlaubte Ausfallzeit pro Jahr kann dabei zwischen mehreren Tagen und nur wenigen Minuten liegen (siehe Tabelle). Die Erfahrung lehrt, dass es trotz versprochenen hohen Verfügbarkeiten zu Ausfällen kommt. Bei der Angabe der Verfügbarkeit, sei es für die Netzanbindung, für Server oder die Stromversorgung, gilt es immer zu bedenken, dass es sich um eine statistische Retrospektive handelt. Es ist daher empfehlenswert, sich von einem Dienstleister solche Daten für die jeweiligen Einzelkomponenten zeigen zu lassen. Auch ist es natürlich wichtig, entsprechende SLAs (Service Level Agreements) vom Anbieter zu erhalten. Dennoch sollte sich ein Unternehmen nicht nur darauf verlassen, welche Verfügbarkeit die Verträge versprechen, sondern vielmehr die tatsächlichen Maßnahmen hinterfragen, mit denen der Provider Ausfällen vorbeugt. Rechenzentrumsinfrastruktur Rechenzentren stellen die technische Basis für eine sichere IT-Dienstleistung dar. Um dort eine hohe Sicherheit zu gewährleisten, sollten alle Ausstattungsmerkmale redundant ausgelegt sein. Das heißt, dass jegliche Systeme unabhängig voneinander mehrfach vorhanden sind. So sollte etwa die Stromversorgung über zwei unterschiedliche Umspannwerke eingespeist sein, sowie eine redundante Klimatechnik und Netzwerkinfrastruktur vorliegen. Zugangskontrollen zum RZ sind mehrstufig abzusichern und durch Videoüberwachung sowie einen 24/7-Wachschutz zu kontrollieren. Auch die Notstromaggregate, meist durch Schiffsdieselgeneratoren realisiert, und die zugehörige Verkabelung sollten mehrfach angebunden sein. Entsprechendes gilt selbstverständlich auch für die Gewährleistung und Erreichbarkeit einer 24/7-Betriebsmannschaft. Ein besonderes Augenmerk verdient zudem der Brandschutz, da sich die Ausstattung erheblich unterscheiden kann. Dazu zählen bereits vorbeugende Brandschutzmaßnahmen, wie die Verwendung nicht brennbarer Materialien, die Trennung der RZ-Flächen in separate Brandschutzzonen und die Existenz gesicherter Trassen. Dies setzt sich fort über die Früherkennung mittels Brandmeldesystemen und eine flächendeckende Überwachung bis hin zu den Löschsystemen - alle Bereiche verdienen eine genaue Betrachtung. Von Löschflüssigkeiten, ob Schaum oder Wasser, ist aufgrund der technischen Ausstattung abzuraten. Stattdessen empfehlen sich Löschgase wie Argon. Auch wenn es durch einen Brand zu einem vorübergehenden Ausfall kommen kann, sollten die Systeme im Idealfall wiederherstellbar sein. Durch die Zertifizierung IS027001 nach dem BSI-IT-Grundschutz sollte der Anwender sicher sein, dass die grundlegenden Punkte im Rechenzentrum entsprechend den Erwartungen geregelt sind. Redundanz auf allen Ebenen Um den Sicherheitsanforderungen einer hochverfügbaren Dienstleistung zu entsprechen, weitet sich das Thema Redundanz auch auf die eigentliche Rechnerinfrastruktur aus. Für alle Komponenten sollte mindestens eine n+1-Redundanz vorhanden sein. Fällt ein System aus, springt ein Ersatzsystem ein, das die gleiche Leistung gewährleisten kann. Die Sicherheit erhöht sich mit dem Aspekt, wie viele Ersatzsysteme bereitstehen, denn auch ein Ausfall mehrerer oder aller Systeme gleichzeitig ist möglich, wenn auch unwahrscheinlich. "Infrastructure as a Service" als unterste Ebene von Cloud-Angeboten zeichnet sich im Wesentlichen durch die Trennung von Storage und CPU sowie RAM aus, was den Einsatz besonders flexibel und skalierbar macht. Doch auch aus der Perspektive der Sicherheit stellt diese Trennung einen Vorteil dar, denn beim Ausfall einer dieser Komponenten sind die anderen noch funktionstüchtig. Ein Austausch lässt sich bei vorhandenen Ersatzteilen zügig realisieren und damit die Ausfallzeit auf ein Minimum reduzieren. Bei vorhandenen Redundanzen ist der Betrieb durch solche Ausfälle in keiner Weise beeinträchtigt. Neben der Sicherung der Komponenten muss sich der Cloud-Service-Provider auch um die Datensicherheit auf der Basis eines Datensicherheitskonzepts kümmern. Regelmäßige Datensicherungen auf Backup-Systemen, das Spiegeln von Daten und eine redundante Datenhaltung auf voneinander unabhängigen Systemen stellen nur einige der durchzuführenden Schritte dar. Um die hohe Verfügbarkeit auf der Ebene der Ressourcen zu gewährleisten, gilt es, das Redundanzkonzept auch auf Speicherebene fortsetzen. So lässt sich Storage in Form eines synchronen Speicher-Clusters bereitstellen. Dieser besteht zum Beispiel aus zwei Nodes mit jeweils redundanten Netzteilen und je zwölf Disks im RAID-6-Verbund, die über zwei 10GbE-Verbindungen ein 20-GBit/s-Replikationsnetz besitzen. Jeder Node ist wiederum über zwei Wege mit zusammen 20 GBit/s an zwei Storage Switches angebunden und versorgt so die eigentlichen Server. Letztere verfügen ebenfalls über redundante Netzteile und sind auch jeweils mit 20 GBit/s an zwei getrennte Switches angebunden. Jeder Node des Storage Clusters sollte in einem separaten Brandabschnitt stehen. Die Anbindung an die Server erfolgt per iSCSI. Im Endeffekt lässt sich so ein RAID 61 betreiben, und es ist dabei auch möglich, an einem Node des Storage Clusters Wartungen vorzunehmen, ohne dass dies zu Unterbrechungen führt. Der Betrieb solcher Storage Cluster bildet das Herzstück der hohen Verfügbarkeit auf der Infrastrukturebene, da dank der Virtualisierung und des zentralen Storage Clusters die virtuellen Maschinen dann beliebig von einem Server auf einen anderen per Livemigration wandern können. Wenn der Betreiber also auf jeder Ebene und in jeder Komponente - wie redundante Netzteile, Anbindung an jeweils zwei Switches über zwei Netzwerkkarten, Switches mit zwei Netzteilen, redundante Stromzufuhr und getrennte Brandabschnitte - für Redundanz sorgt, dann ist eine hohe Verfügbarkeit gewährleistet. Zudem sind damit auch Changes, Patches oder Updates ohne Betriebsunterbrechung möglich. Der ganze Aufwand hat natürlich seinen Preis. Bei einer Auslegung der Infrastruktur für 100 Prozent Verfügbarkeit liegt die Hälfte der Investition brach. In diesem Fall ist eine genaue Kosten-Nutzen-Analyse im Vorfeld angebracht. Cloud-Modelle und individuelle Sicherheit In Hinblick auf die Cloud-Architektur existieren im Wesentlichen drei verschiedene Cloud-Modelle: Public Cloud, Private Cloud und Hybrid Cloud. Bei der Public Cloud nutzen unterschiedliche Unternehmen und Anwender die IT-Ressourcen gemeinsam. Diese lassen sich daher für den Kunden nicht eindeutig zuordnen. Daher sind juristische Anforderungen sowie Compliance-Vorschriften bei der Wahl einer Public Cloud einzubeziehen. Zudem können dort auch häufig Angriffe auf das Netzwerk erfolgen wie etwa durch DDoS-Attacken (Distributed Denial of Service), die zu erheblichen Einschränkungen der Erreichbarkeit führen. Eine Mitursache für erfolgreiche Angriffe stellen dabei allerdings oft Fehlkonfigurationen dar - es ist daher auf eine sorgfältige Konfiguration zu achten. Die Private Cloud dagegen steht nur einem einzigen Unternehmen zur Verfügung. Sie bildet ein geschlossenes Netzwerk von IT-Ressourcen. Die Netzwerkinfrastruktur liegt dabei pro Kunde dediziert vor und die Cloud-Infrastrukturen sind separat durch Firewalls, Spam-Schutz und Antivirenprogramme geschützt. Nachteil der Private Cloud und der damit verbundenen dedizierten Hardware ist, dass die Skalierung nur in größeren Schritten erfolgen kann, weil sich beispielsweise nur jeweils eine ganze Festplatte hinzufügen lässt und nicht exakt die gewünschte, erforderliche Speichermenge in GByte. Als Hybrid Cloud bezeichnet man dagegen eine Mischung aus Private und Public Cloud. Über standardisierte Schnittstellen lassen sich die einzelnen Cloud-Modelle auch gemeinsam nutzen. Unternehmen, die ein hohes Maß an Sicherheit verlangen, ist ein Hosted-Cloud-Modell zu empfehlen, bei dem Installation sowie Administration in der Verantwortung des Cloud-Service-Providers liegen, der diesen Dienst in einem - wie beschrieben - sicheren Rechenzentrum betreibt. Das Management übernimmt dabei entweder der Kunde selbst oder ebenfalls der Dienstleister. Das Management-Netz ist in jedem Fall vom Datennetz zu trennen. Zudem empfiehlt sich die Einrichtung von Sicherheitszonen für unterschiedliche Anwendungsbereiche - so etwa für das Storage-Netz, für virtuelle Maschinen, für das Management oder auch für die Livemigration. Gleichgültig welches Cloud-Modell zum Einsatz kommt, muss der CSP für eine strikte Isolierung der Mandanten sorgen und alle technischen wie auch organisatorischen Vorkehrungen treffen, um Informationen und Daten zu sichern. Fazit Ob Private, Public oder Hybrid Cloud - welches Modell sich für ein Unternehmen am besten eignet, hängt immer vom Einzelfall ab. Dafür ist es wichtig, dass der Provider einen persönlichen technischen Ansprechpartner stellt, wie es beispielsweise das Berliner Unternehmen Yunicon anbietet. Gemeinsam mit diesem Ansprechpartner kann der Kunde den eigenen Bedarf analysieren und ein individuelles Konzept erstellen. Nicht jedes Unternehmen ist auf Hochverfügbarkeit angewiesen. Wer jedoch seine Dienstleistung rund um die Uhr anbieten will, sollte sich seinen Hoster mit Bedacht auswählen. Dabei kommt es weniger darauf an, welche Verfügbarkeit vertraglich garantiert ist, sondern vielmehr darauf, was der Hoster dafür tut, um Ausfallsicherheit zu gewährleisten.
Lesen Sie mehr zum Thema
