All About Security

Dr. Clemens Plieth

Cloud Computing braucht Standards

Business-Cloud.de hat ja bereits über die kleinen Irrungen und Wirrungen berichtet, die mit der Entscheidung für – oder gegen - einen Cloud-Service-Provider...

...verbunden sein können (siehe Du kommt hier net rein – oder raus).


Denn natürlich ist ein Vertrag mit einem Lieferanten von Cloud-Computing-Diensten kein faustischer Pakt, den beide Seiten, vor allem der Nutzer, mit seinem Blut unterzeichnet. Was aber tun, wenn beide Seiten nach einer gewissen Zeit getrennte Wege gehen möchten?


                     


Die Zusammenarbeit eines Unternehmens mit einem Cloud-Service-Anbieter muss nicht in einem "Rosenkrieg" enden - wie im gleichnamigen Film mit Kathleen Turner, Michael Douglas und Danny diVito. Dennoch helfen Standards dabei, den Anbieter zu wechseln oder Cloud-Dienste unterschiedlicher Service-Provider parallel zu nutzen.

(Bild: 20th Century Fox)

Zugegeben, viele Fälle solcher "Scheidungen" wurden noch nicht publik, schon gar keine publikumswirksame Schlammschlacht, wie sie beispielsweise Michael Douglas und Kathleen Turner im höchst lehrsamen Beziehungslehrfilm "Der Rosenkrieg" aufführten. Doch das Thema Cloud-Computing-Standards, die einen Wechsel von einem Provider zu einem anderen ermöglichen, geistert bereits seit Jahren durch die IT-Szene. Dass es bislang keine solchen Normen gibt, wurde bereits mehrfach als potenzieller Hinderungsgrund für den Markterfolg von Cloud-Services angeführt.

Anwender werden unterschiedliche Cloud-Services nutzen

Ein weiterer Faktor, der für eine Standardisierung von Schnittstellen Schnittstellen spricht: Mit der wachsenden Zahl von Cloud-Computing-Angeboten wächst die Wahrscheinlichkeit, dass Anwender gleichzeitig Services von unterschiedlichen Anbietern beziehen. Service-Provider A stellt beispielsweise virtualisierte Arbeitsplatzumgebungen im Rahmen eines Desktop-as-a-Service-Modelles bereit, von einem anderen bezieht ein Unternehmen Rechen- und Speicherkapazitäten (Infrastructure as a Service) oder nutzt eine Plattform wie Microsoft Azure für die Entwicklung von Anwendungen (Platform as a Service).


Idealer Weise steht für das "Andocken" der hauseigenen IT an die Cloud-Angebote ein – möglichst überschaubares – Set von Standardschnittstellen zur Verfügung. Dies würde sowohl dem Service-Provider als auch der IT-Abteilung des Nutzers das Leben erleichtern.

Das IEEE arbeitet an Cloud-Standards …

Doch bis dahin ist es noch ein weiter Weg. So gab Institute of Electrical and Electronics Engineers (IEEE), das Netzwerkstandards wie Ethernet und IP definierte, im April 2011 bekannt, dass es an einem Design-Guide und einem Standardisierungsvorschlag für interoperable Cloud-Services arbeitet. Im Rahmen des Projekts IEEE P2301 sollen Profile erarbeitet werden, welche die Portabilität und Interoperabilität von Cloud-Computing-Diensten sicherstellen.

                   

Die Arbeitsgruppe P2301 des IEEE arbeitet an Profilen, welche die Portabilität von Cloud-Services sicherstellen sollen.
(Bild: IEEE)

Ergänzend dazu arbeitet die IEEE-Working-Group P2302 an Normen, die das Zusammenspiel unterschiedlicher Cloud-Services erlauben, also die Basis für eine "Inter-Cloud" legen sollen. Wer allerdings das IEEE kennt, weiß, dass mit einer schnellen Verabschiedung solcher Normen nicht zu rechnen ist. Dazu mahlen die Mühlen dieser Organisation zu langsam. Allerdings scheint der Druck auf das Gremium seitens der IT-Industrie so hoch zu sein, dass die Arbeiten zügig vorangetrieben werden. Der Grund liegt auf der Hand: Hersteller von IT-Ausrüstung und Anbieter von Cloud-Computing-Diensten wollen Standards, weil dies die Akzeptanz solcher Dienste erhöht.

… aber viele andere Organisationen auch

Allerdings ist das IEEE beileibe nicht das einzige Gremium, das sich auf die Suche nach dem "Heiligen Gral der Cloud-Standards" begeben hat. Hier eine Auswahl weiterer Kreuzfahrer:

Auch das amerikanische National Institute of Standards and Technology (NIST), das Pendant zum deutschen DIN, versucht vehement, Cloud-Computing-Standard festzulegen, natürlich auch zum Wohl der amerikanischen IT-Firmen. Das NIST stützt sich dabei auf die Arbeiten anderer Gremien, etwa des Open-Grid-Forums oder der Cloud Security Alliance. Die Resultate sind in einem Arbeitspapier niedergelegt.


Übrigens orientiert sich auch die Europäische Kommission bei ihren Cloud-Standardisierungsbemühungen an den Vorarbeiten des NIST. Die EU hat mit SIENA (Standards and Interoperability for E-Infrastructure Implementation Initiative) ein Projekt lanciert, das das die Grundlage für eine europaweite "Cloud-Infrastruktur" schaffen soll. Die Organisation arbeitet zu diesem Zweck mit Normierungsgremien wie NIST, IEEE oder dem Open Grid Forum (siehe unten) zusammen.

                   


Auch die Europäische Kommission hat mit SIENA eine Initiative gestartet, die interoperable Cloud-Infrastrukturen zum Ziel haben. Die EU arbeitet dabei mit anderen Gremien wie NIST und OGF zusammen.
(Bild: EU / SIENA)

Das Open Cloud Consortium (OCC) ist eine Non-Profit-Organisation. Ein Schwerpunkt der Arbeiten sind Testumgebungen, in denen beispielsweise Ansätze für die Virtualisierung von Netzwerkkomponenten und eine "Wide Area Cloud" überprüft werden. Beide Themen sind vor allem für Cloud-Computing-Umgebungen für Forschungsprojekte relevant. Die Open Science Data Cloud (OSDC) Working Group, eine Sparte des OCC, fokussiert sich denn auch auf diesen Bereich.


Last but not least noch das Thema Sicherheit in der Cloud. Darum kümmert sich die Cloud Security Alliance (CSA), etwa in Form von White Papers und Guides, in denen "Best Practices" für die Absicherung von Cloud-Umgebungen und der entsprechenden Services vorgestellt werden. Eine Arbeitsgruppe beschäftigt sich mit den technischen Details von "Security as a Service".

Zarte Pflänzchen

In der Praxis Verwertbares ist trotz aller Mühen noch rar gesät. Dies hängt allerdings auch mit der Vielzahl von Komponenten, Schnittstellen und Protokollen zusammen, die in Cloud-Umgebungen anfallen. Das Open Grid Forum (OGF) hat beispielsweise mit dem "Open Cloud Computing Interface" (OCCI) Application Programming Interfaces (APIs) entwickelt, die vor allem auf Infrastructure-as-a-Service-Angebote (IaaS) zugeschnitten sind. OCCI erlaubt es, Virtual Worklads zu implementieren und zu managen. Allerdings hat sich OCCI in der Praxis noch nicht recht durchsetzen können.


Die Storage Networking Industry Association (SNIA) arbeitet an Standards für virtualisierte Speicher-Ressourcen und Storage-Systeme, die in einer Cloud-Umgebung integriert sind. Mit dem Cloud Data Management Interface (CDMI) hat die SNIA eine Schnittstelle spezifiziert, die auch den Normierungsgremien ANSI und ISO zur Ratifizierung vorgelegt wurde. CDMI dient als Bindeglied zwischen Speichersystemen, die im Unternehmensnetz oder einer Privat Cloud angesiedelt sind, sowie Storage-Geräten in Public Clouds. Über das CDMI lassen sich Daten auf allen diesen Speichersystemen zentral verwalten. Auch diese Schnittstelle ist noch nicht weit verbreitet.

 
Die Distributed Management Task Force (DMTF) hat mehrere kritische Punkte identifiziert, unter anderem im Bereich Management von Clouds. Standards sollen dabei helfen, diese Klippen zu umschiffen.  Grafikdownload
(Bild: DMTF)

Die Distributed Management Task Force (DMTF) hat mit dem "Open Cloud Standards Incubator" (OCSI) bereits 2009 Vorschläge entwickelt, um das Management von Cloud-Umgebungen zu ermöglichen. Ein großer Wurf ist der DMTF mit dem Open Virtualization Format (OVF) gelungen, einem Standard für das Packaging von Virtual Machines, Speicher- und Netzwerk-Ressourcen sowie Anwendungen. Ein IT-Service lässt sich mithilfe von OVF wie ein Container von einer Cloud-Umgebung in eine andere transportieren. Die ISO hat OVF mittlerweile offiziell als Standard anerkannt. Einige Cloud-Computing-Enthusiasten feiern OVF denn auch als Durchbruch auf dem Weg zu interoperablen Cloud-Infrastrukturen.

Auch Hersteller sind mit im Spiel

Es wäre verwunderlich, wenn nicht der eine oder andere Hersteller seine eigenen Technologien zum "Standard" ausrufen würde. VMware hat der DMTF beispielsweise sein vCloud-API vorgelegt, Oracle sein Oracle Cloud API. Auch Linux-Spezialist Red Hat warf mit der Deltacloud-Schnittstelle eine eigene Technologie in den Ring. Derzeit ist noch nicht absehbar, ob sich eine dieser drei APIs durchsetzen wird.


Wer noch tiefer in die Cloud-Standardisierungs-Fluten eintauchen möchte, dem sei dieses Wiki ans Herz gelegt. Es gibt einen Überblick über Ansätze und Organisationen und enthält Links zu den entsprechenden Dokumenten.

Im Zweifelsfall pro EuroCloud

Unternehmen, die Cloud-Services einsetzen möchten, macht die leicht unübersichtliche Lage auf dem Gebiet Standardisierung die Entscheidung nicht leichter. Interessenten sollten deshalb Folgendes tun:


  • prüfen, welche Art von "Ausstiegsszenarien" ein Cloud-Service-Provider anbietet, wenn ein Kunde zu einem anderen Anbieter wechseln oder auf eine Private-Cloud-Lösung umstellen möchte,
  • evaluieren, welche APIs ein Provider anbietet und ob diese im Bereich Cloud-Computing von vielen Anbietern und IT-Firmen unterstützt werden,
  • abklären, ob wie eng ein Anbieter mit Normierungsgremien wie der DMTF zusammenarbeitet,
  • checken, welche Reputation ein Cloud-Service-Provider hat und ob er sich in Verbänden wie EuroCloud engagiert.


EuroCloud ist ein Verband, in dem sich Anbieter von Cloud-Services zusammengefunden haben, unter anderem auch Pironet-NDH. Die Vereinigung hat unter anderem ein Gütesiegel für Cloud-Dienste eingeführt, etwa für Software-as-a-Service-Angebote (SaaS). Bewertet werden Dienste unter anderem anhand der Konformität mit Normen wie ISO 27000 und SAS-70.
 

                   


"TÜV-Plakette" für Cloud-Anbieter: Die EuroCloud-Initiative bewertet Cloud-Services, derzeit SaaS-Angebote, anhand diverser Kriterien. Dadurch hilft sie Anwendern dabei, Cloud-Service-Provider zu finden, die qualitativ hochwertige Dienste anbieten.
(Bild: EuroCloud)

Allerdings fließen in die Bewertung auch andere Faktoren mit ein, etwa welche technischen Sicherheitsmaßnahmen ein Anbieter von Cloud-Diensten trifft oder wie es um die Einhaltung gesetzlicher Vorgaben bestellt ist, etwa im Bereich Datenschutz. Auch die Interoperabilität der SaaS-Services ist ein Kriterium. Bis sich die Lage in Sachen Cloud-Standards geklärt hat, ist es für einen Nutzer daher der bessere – und pragmatischere – Weg, bei der Wahl von Anbietern auf Unternehmen zu setzen, die eine "TÜV-Plakette" wie das EuroCloud-Gütesiegel vorweisen können.