Mit der Migration von Kernprozessen in die Cloud erhöhen Unternehmen ihre Flexibilität. Gleichzeitig lässt sich mit einem Umstieg oft auch die Ausfallsicherheit und Verfügbarkeit steigern.
Lange galt die Cloud, vor allem in ihrer allgemein zugänglichen Public-Variante, als ungeeignet für unternehmenskritische Anwendungen. Sie sei zu unsicher, zu intransparent und nicht zuverlässig genug, um darin Kernprozesse ausführen zu können, so die landläufige Meinung. In Deutschland scheint diese immer noch weit verbreitet, wie eine repräsentative Erhebung von Techconsult vom vergangenen September zeigt. Das Marktforschungsunternehmen befragte im Auftrag des Cloud-Telefonieanbieters NFON deutsche Unternehmen unterschiedlicher Branchen, Grössen und Organisationsstrukturen. Bei Unternehmen mit mehr als 1000 Mitarbeitern äusserten 54 Prozent der Umfrageteilnehmer Bedenken gegen den Einsatz von Cloud-Technologien.
Global betrachtet sieht die Realität allerdings längst anders aus: Laut dem Bericht „State of the Market: Enterprise Cloud 2016“ des Service-Providers Verizon nutzten 2015 bereits 87 Prozent der befragten Enterprise-Kunden Cloud-Systeme auch für Kernaufgaben, im Jahr zuvor waren es noch 71 Prozent. «Public Clouds sind immer mehr dazu in der Lage, unternehmenskritische Anwendungen zu bedienen, auch solche mit hohen Compliance-Anforderungen», sagt Abby Kearns, Executive Director und VP of Strategy bei der Cloud Foundry Foundation, die für die Weiterentwicklung der quelloffenen Cloud-Plattform Cloud Foundry verantwortlich ist. Vor der Entscheidung für oder gegen die Cloud muss ein Unternehmen erst einmal festlegen, welche Applikationen überhaupt als kritisch für das Kerngeschäft eingestuft werden und welche nicht. Darüber gehen die Ansichten auseinander, weiss Nadja Risse, Head of Cloud & Hosting Central Europe bei der Vodafone GmbH, die mit Total Cloud Fusion eine Infrastructure-as-a-Service-Lösung (IaaS) speziell für unternehmenskritische Anwendungen anbietet: «Jedes Unternehmen oder jede Behörde hat einen individuellen Blick darauf, was unternehmenskritische Anwendungen oder Prozesse sind.» Wie klar sich Unternehmen über ihre IT-Kernaufgaben sind, hänge auch mit der Reife der IT-Organisation zusammen, ergänzt Constantin Gonzalez, Principal Solutions Architect bei Amazon Web Services (AWS): «Ausgereifte Unternehmen, die sich beispielsweise an ITIL orientieren, haben in der Regel für jede Applikation einen Service-Owner, der die Anforderungen sehr genau kennt.» Bei ITIL (IT Infrastructure Library) handelt es sich um eine Sammlung vordefinierter Prozesse, Funktionen und Rollen, wie sie typischerweise in jeder IT-Infrastruktur von Unternehmen vorkommen. In jüngeren Firmen könne es dagegen durchaus passieren, dass über die Wichtigkeit einer Applikation unterschiedliche Auffassungen herrschen, so Gonzalez weiter. «Das ist aber weniger eine Frage der Technik, sondern hängt vielmehr davon ab, wie die Prozesse im Unternehmen organisiert sind.» Abby Kearns von der Cloud Foundry Foundation rät deshalb, zunächst das gesamte Anwendungsportfolio unter die Lupe zu nehmen. Im Rahmen einer solchen Analyse lässt sich laut Kearns auch gleich feststellen, welche Applikationen bereits cloudfähig sind, welche für eine Cloud-Nutzung angepasst werden können und welche überhaupt nicht cloudkompatibel sind und deshalb entweder weiter im eigenen Rechenzentrum betrieben oder ersetzt werden müssen. Nächste Seite: Warum sich der Umzug lohnt
Warum sich der Umzug lohnt
Für die Verlagerung unternehmenskritischer Anwendungen in die Cloud sprechen erst einmal die generellen Vorteile einer solchen Infrastruktur: Statt in neue Rechenzentren zu investieren, lässt sich Cloud-Kapazität flexibel buchen. «Häufig nutzen Unternehmen Teile der Ressourcen nur temporär», sagt Vodafone-Managerin Risse, «bei externen Cloud-Infrastrukturen wird in solchen Fällen auch nur der Zeitraum berechnet, in dem die Ressourcen tatsächlich gebraucht werden.» Viele Unternehmen könnten zudem neue Anforderungen an die IT-Infrastruktur wie sie etwa durch Big Data entstehen, kaum oder nur mit grossen Anstrengungen selbst realisieren, so Risse weiter. «Die Zunahme von Systemen und Applikationen mit hohen Speicheranforderungen ist oft nicht mit eigenen IT-Ressourcen zu bewältigen – die nötigen Investitionen in die Rechenzentrums-Infrastruktur und in die technischen Systeme sind sehr hoch und keine nachhaltige Lösung.»
Auch ihre Zuverlässigkeit spricht für die Cloud, obwohl manche Anwender dies nach wie vor anders sehen. Die von Techconsult für die erwähnte Studie Befragten äusserten unter anderem Bedenken wegen der Verfügbarkeit von Cloud-Diensten über das Internet sowie deren Ausfallsicherheit. Gerade Verfügbarkeit und Ausfallsicherheit lassen sich durch eine Migration in die Cloud verbessern, meint dagegen Constantin Gonzalez: «Der stark industrialisierte Rechenzentrumsbetrieb in der Cloud bietet deutliche Vorteile für die Zuverlässigkeit.» So gebe es beispielsweise durch die weitgehend automatisierten Prozesse weniger Optionen für Fehlentscheidungen. Auch die Vorstellung, man habe seine Infrastruktur nur im Griff, wenn sie im eigenen Haus stehe, sei falsch: «Bei einer Cloud weiss ich jederzeit genau, was mir an Rechenleistung und Kapazität zur Verfügung steht, ohne dass ich in den Keller gehen und Server zählen muss.» Die Abhängigkeit vom Netz wiederum sei kein cloudspezifisches Problem: «Viele Unternehmen betreiben ohnehin schon mehrere vernetzte Rechenzentren. Man kann die Cloud als zusätzliches Rechenzentrum verstehen und auch so anbinden.» Es ist aber vor allem auch der Trend zur Digitalisierung, der Unternehmen immer mehr Cloud-Services für ihre Kernanwendungen nutzen lässt, sagt Gonzalez: «Wenn ich möglichst schnell und agil auf den Markt und Kundenbedürfnisse reagieren will, benötige ich extrem kurze Entwicklungszyklen, die ich nur in der Cloud realisieren kann.» Schliesslich sei es kaum noch möglich, mit dem heutigen Tempo an Innovationen und neuen Geschäftsmodellen mitzuhalten, ohne Cloud-Ressourcen zu nutzen, betont Abby Kearns: «Das ermöglicht Teams die Lieferung von Anwendungen innerhalb von Minuten und nicht erst – wie bei herkömmlichen Verfahren – nach Wochen oder Monaten.» Nächste Seite: Die Migration richtig vorbereiten
Die Migration richtig vorbereiten
Eine eigene Infrastruktur in eine Cloud-Umgebung zu migrieren, erfordert eine klar definierte Planungs- und Migrationsphase, sagt Nadja Risse von Vodafone: «Häufig werden beim Infrastrukturwechsel gleichzeitig auch Applikationen ausgebaut oder aktualisiert und ältere Datenbanken zum Beispiel durch In-Memory-HANA-Datenbanken ausgetauscht. Hier gilt es sicherzustellen, dass die Umstellung störungsfrei läuft und die alten Systeme sauber auf der neuen Plattform aufgesetzt werden.» Kearns rät, beim Aufbau einer Cloud für unternehmenskritische Anwendungen den Aspekten Resilienz und Skalierbarkeit grosse Aufmerksamkeit zu schenken. «Überdies sollten Sie ein umfassendes Services-Ökosystem errichten, das die Entwicklung individueller Anwendungen Ihren Geschäftsanforderungen entsprechend ermöglicht.» Amazon empfiehlt seinen Kunden, unternehmenskritische Anwendungen möglichst auf mehrere sogenannte Availability Zones zu verteilen – Rechenzentrums-Cluster, die geografisch so weit voneinander entfernt liegen, dass ein Katastrophenfall in einer Availability Zone die Verfügbarkeit der anderen mit hoher Wahrscheinlichkeit nicht beeinträchtigen kann. «Das ist im Prinzip das Konzept verteilter Rechenzentren, allerdings mit deutlich besserem Risikoprofil», sagt Gonzalez. Auch was die Latenz angeht, kann die Cloud mit dem eigenen Betrieb mithalten oder diesen sogar übertreffen, so der AWS-Architekt. Cloud-Nutzer könnten beispielsweise ihre Applikationen viel näher zu ihren Kunden bringen, indem sie diese in regionalen Rechenzentren vor Ort betreiben lassen. Das sei vor allem für den deutschen Mittelstand eine Chance, international besseren Service bieten zu können. «Statt wie bisher seine Anwendungen in einem oder zwei Rechenzentren in Deutschland zu betreiben, kann er sie nun aus weltweiten IT-Knoten heraus erbringen und dadurch mit deutlich niedrigeren Latenzen anbieten.» Die Reaktionsschnelligkeit von Applikationen liesse sich darüber hinaus durch den Einsatz eines Content Delivery Networks (CDN) verbessern, so Gonzalez weiter. «Selbst wenn die Daten einer Webapplikation immer aktuell sein müssen und nicht gecacht werden können, lässt sich die Latenz mit einem CDN im Vergleich zum normalen Internet deutlich reduzieren.» Kunden aus der Werbe- oder Gaming-Branche mit sehr hohen Anforderungen an die Reaktionsfähigkeit ihrer Applikationen seien gute Beispiele dafür, dass sich kurze Latenzzeiten und Cloud-Nutzung nicht ausschliessen müssen.
Cloud-Plattformen für unternehmenskritische Anwendungen (Auswahl)
! TABELLE !
Nächste Seite: Datenschutz und Compliance
Datenschutz und Compliance
Bei jeder Migration in die Cloud müssen regulatorische und gesetzliche Vorgaben beachtet werden. Gerade bei den Kernprozessen ist dies besonders kritisch, denn sie verarbeiten häufig sensible, personenbezogene Daten oder sind selbst Teil des geistigen Eigentums eines Unternehmens. Auch die Applikationssicherheit ist bei solchen Anwendungen besonders wichtig. Ein Einbruch könnte dem Angreifer sonst womöglich direkten Zugriff auf das Zentrum des Unternehmens erlauben. Compliance, Datenschutz und Sicherheit stehen deshalb an oberster Stelle, wenn es um die Frage der Migration einer unternehmenskritischen Anwendung in die Cloud geht. Vor allem amerikanische Cloud-Anbieter stehen unter dem Generalverdacht, dass sie es mit dem Datenschutz nicht so genau nehmen und aufgrund von gesetzlichen Vorgaben wie dem Patriot Act sogar verpflichtet sind, Kundendaten an US-Behörden und Geheimdienste herauszugeben. Mit verschiedenen vertrauensbildenden Massnahmen versuchen sie, diese Bedenken zu zerstreuen. Amazon stellt beispielsweise in seinem Sicherheitszentrum unter www.aws.amazon.com/de/compliance und www.aws.amazon.com/de/security ausführliche Informationen über Zertifizierungen, Testate und Sicherheitsmassnahmen zur Verfügung. Microsoft hat mit Azure Deutschland sogar eine eigene Cloud für Deutschland mit T-Systems als Treuhänder geschaffen, um die Furcht vor unberechtigten Zugriffen zu zerstreuen. Rackspace bietet eine Compliance Assistance an, die bei der Umsetzung von Richtlinien helfen soll, und auch Google hält ausführliche FAQs zu den Themen Compliance und Sicherheit bereit. Bei allen Sicherheitsmassnahmen, Zertifikaten und Audits muss dem Kunden jedoch klar sein, dass letztendlich er die Verantwortung sowohl für die Einhaltung der Richtlinien und Gesetze als auch für seine Applikationen trägt. Je nach Bereitstellungsmodell muss er selbst für die Sicherheit von Betriebssystem und Applikationen, Netzwerk und Firewall sorgen. «Wir geben ihm Schlüssel und Schloss in die Hand», sagt Constantin Gonzalez von AWS, «der Kunde muss selbst sicherstellen, dass an den richtigen Stellen auch abgeschlossen wird.» Für deutsche Kunden hat AWS ein Arbeitsheft erstellt, das zeigt, wie Anwender die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten IT-Grundschutz-Richtlinien in der Cloud umsetzen können. Ohnehin ist nach Ansicht von Gonzalez die Frage, ob eine Infrastruktur im eigenen Rechenzentrum oder in der Cloud betrieben werde, gar nicht die entscheidende: «Compliance und IT-Sicherheit sind primär eine Frage der Prozesse.» So bleibt es letztlich auch dem Anwender überlassen, ob er den Zusicherungen der Cloud-Anbieter vertraut oder ob er alle Daten Client-seitig verschlüsselt und so dem Cloud-Anbieter prinzipiell die Möglichkeit nimmt, auf sensible Informationen zuzugreifen. Nächste Seite: Fazit
Fazit
Dass Unternehmen auch kritische Anwendungen in die Cloud verlagern, ist längst Realität. Selbst der komplette Umzug der IT in eine solche Infrastruktur wird immer häufiger umgesetzt. Oft herrschen allerdings falsche Vorstellungen und Erwartungen, sowohl was die Vorteile als auch was die Nachteile einer Migration betrifft. Ausfallsicherheit und Hochverfügbarkeit lassen sich beispielsweise in einer Cloud-Infrastruktur mit vielen verteilten Rechenzentren weit besser realisieren als in einer eigenen IT-Umgebung – redundante Netzwerkverbindungen vorausgesetzt. Weniger eindeutig ist die Frage nach der Latenz zu klären. Bei Echtzeitanwendungen, bei denen es auf Milli- oder gar Mikrosekunden ankommt – etwa im Bankensektor – ist die Migration in eine Public Cloud womöglich nicht die beste Wahl.
«Mission-critical»-Anwendungen
! TABELLE !
Schliesslich sollten Unternehmen, die diesen Schritt erwägen, besonderes Augenmerk auf Compliance und Datenschutz legen und eine Verschlüsselung sensibler Daten in Betracht ziehen. Vor allem aber dürfen sie sich nicht der Illusion hingeben, mit der Migration in die Cloud die Verantwortung für ihre IT abgeben zu können – im Gegenteil: Die Migration unternehmenskritischer Applikationen oder ganzer IT-Umgebungen in die Cloud erfordert nicht nur in der Planungsphase erhebliche Management-Ressourcen. Auch während der Laufzeit muss der Anwender sich darüber klar sein, dass er selbst den reibungslosen Betrieb garantieren muss und diese Verantwortung nicht an einen Dienstleister abgeben kann. Gerade darin sähen jedoch viele Cloud-Nutzer sogar einen Vorteil, sagt Gonzalez: «Die Kunden wollen wieder selbst mehr Verantwortung und Kontrolle übernehmen. Wenn ich wie beim klassischen Outsourcing für jede Änderung den Dienstleister anrufen muss, ist das kein Szenario, in dem ich schnell und innovativ sein kann.»
