Die Cloud: Kostenvorteil oder Kostenfalle?

Dieser Artikel erschien im Dossier «Cloud» der Netzwoche 14/2017 am 13. September.

Die Grundidee der Cloud ist, Rechenleistung mit anderen zu teilen und so die Rechner rund um die Uhr einzusetzen. So können Rechner, die während Schweizer Bürozeiten für virtuelle Desktops eingesetzt werden, nachts denselben Dienst in einer anderen Zeitzone und für ein anderes Unternehmen leisten. Dasselbe gilt auch für Websites, die tagsüber viele Besucher und nachts fast keine haben. In diesem Fall kann etwa die Anzahl der Anwendungsserver halbiert werden.

Hardware-Ressourcen und Kostenfrage oft im Zentrum

Das zeigt, dass vor allem Netzwerk, CPU und RAM geteilt werden. Bei den Festplatten ist das Teilen nicht so einfach, da auch die Desktops und Anwendungsserver Diskplatz benötigen. Mit dem Abschalten des Rechners sollten die bearbeiteten Daten nicht verloren gehen. Diese müssen entsprechend auf Drittsystemen liegen oder von diesen beim Starten abgerufen werden. Trotzdem entstehen auch bei Disksystemen Synergien, denn auch hier werden Netzwerk sowie Kontroller geteilt. Gegenüber eigenen Rechnern bietet die Cloud vor allem für Systeme Vorteile, die nicht immer aktiv sind.

Einschränkung bei 7x24-Systemen

Nicht alle Systeme lassen sich beliebig ein- und ausschalten: Ein E-Mail-Server muss 7x24 Stunden verfügbar sein, IT-Sicherheitssysteme wie Firewall und Antivirus stehen auch ausserhalb der Bürozeiten im Einsatz. In diesen Fällen kann die Hardware nur bedingt mit anderen geteilt werden. Entsprechend fällt hier der Vorteil der tieferen Hardwarekosten in der Cloud gegenüber eigenen Rechnern weg.

Versteckte Kosten der Cloud

Die eigentlichen Kostentreiber in der IT sind aber nicht die erwähnten Hardware-Ressourcen, sondern das Management aller IT-Anwendungen. Insbesondere die Sicherheit – vom physischen Schutz bis zur Datensicherheit – hat einen substanziellen Anteil an den Gesamtkosten. Mit der Cloud schwindet die Sichtbarkeit dieser Aufwände. Wer an ein klassisches Rechenzentrum denkt, sieht schwere Türen, Schleusen, Brandmelde- und Löschanlagen sowie Klimageräte vor sich. Die Kosten dafür entstehen natürlich auch in der Cloud und sind in den Hardware- beziehungsweise Servicekosten jeweils inbegriffen. Da die Cloud typischerweise in grossen Rechenzentren betrieben wird, werden diese Anlagen effizienter genutzt. Mit der Auslagerung verliert man aber auch die Kontrollmöglichkeit über die Sicherheitsanlagen und muss sich auf Zertifizierungen und Audits stützen. Auch diese Papiere haben ihre Kosten, die sich auf die Cloud-Service-Kosten addieren.

DDoS-Schutz: Vorteile mit der Cloud

Ausser der physischen Sicherheit fallen bei eigenen Systemen vor allem die Aufwände für die Netzwerk- und Datensicherheit ins Gewicht. Hier kann die Cloud in der Bekämpfung von DDoS punkten. Ein adäquater DDoS-Schutz ist im eigenen Datacenter kaum möglich und mit sehr hohen Kosten verbunden. Was die Firewalls, WAFoder VPN-Terminierung betrifft, besteht kein Kosten-Vorteil oder -Nachteil. Die Hard- und Softwarehersteller dieser Dienste bieten sowohl in der Cloud wie auch für Rechenzentren Preismodelle an, die sich zum Beispiel an der Anzahl Verbindungen oder der Bandbreite orientieren.

Kostenfaktor Datensicherheit

Um in der Cloud Datensicherheit zu gewährleisten, ist ein höherer Aufwand nötig. Im eigenen Datacenter oder bei einem lokalen Serviceprovider ist meist bekannt, auf welchen Datenträger die eigenen Daten liegen. So lassen sich deren Lifecycle und Schutzmechanismus klar auf diese Datenträger einschränken. Die Cloud hingegen bietet die verschiedensten Arten von Datenspeicher an. Diese unterscheiden sich nicht bloss in der Performance, sondern auch in der Art und Weise der möglichen Verschlüsselungen und Trennung von anderen Cloud-Benutzern sowie in der Replikation in weitere Datacenter.

Langfristig planen

Daten müssen über mehrere Generationen gesichert werden. Bei bekannten Serviceprovidern oder im eigenen Datacenter geschieht dies typischerweise auf Disksystemen oder Tape, die vom primären Storage komplett getrennt und an einem anderen Ort gespeichert sind. In der Cloud stehen hierfür geeignete Speicher zur Verfügung. In beiden Fällen braucht es für Back-up und Restore aber fundierte Kenntnisse. Bekannt sein müssen Sicherungs- und Wiederherstellungsmöglichkeiten der eigenen Anwendung oder Datenbank und die eingesetzte Back-up- und Restore-Software.

Access-Management

Kompliziert gestaltet sich auch der Kostenvergleich beim Access- Management. Wenn bekannt ist, wo die Anwendungen betrieben werden, dann weiss man in der Regel auch, wer alles auf die Systeme zugreifen kann. Typischerweise wird mittels Perimeterschutz – wie Jumphosts mit starker Authentisierung – auf Anwendungen, Systeme und Konsolen zugegriffen. Die Verwaltung der Nutzer und deren Rechte finden dabei an einem zentralen Ort statt. Im Falle der Cloud gestaltet sich dies etwas aufwändiger, da sich Systeme innerhalb der Cloud bewegen können und der Zugriff über das Internet erfolgt.

Anbieter kennen Herausforderungen

Cloud-Anbieter wie Azure und Amazon sind sich dieser Herausforderungen bewusst. Aus diesem Grund stellen sie ihren Kunden Systeme zur Verfügung, die nur innerhalb einer Region oder gar eines Cloud-Rechenzentrums betrieben werden. Mittlerweile können gar dedizierte und mit SLA versehene Layer-2-Verbindungen von einigen Schweizer Datacentern und Serviceprovidern direkt zu den oben erwähnten Cloud-Providern realisiert werden. Natürlich mit entsprechenden Kosten, auch wenn der Upload in die Cloud aktuell noch kostenfrei ist.

Personalstrategie entscheidend

Rechenleistung und Teile der Sicherheit sind technische Leistungen und können einfach verglichen und von überall auf der Welt bezogen werden. Sobald aber Sicherheitsmassnahmen oder Prozesse spezifisches Know-how über den eigenen Betrieb erfordern, steht das eigene IT-Personal im Fokus. Die Anforderungen an dieses variieren aufgrund der gewählten IT-Strategie. Diese kann dahin gehen, dass man sich voll und ganz auf die Entwicklung und Bewirtschaftung der eigenen Applikationen und Daten konzentriert und den Betrieb komplett in die Hände eines Managed-Service/ Managed-Security-Providers gibt. In den eigenen Reihen bleiben dann Kontroll- und Auditaufgaben sowie das Bindeglied zum Business und den Endanwendern.

Hybrid Clouds auf dem Vormarsch

Im Markt ist aktuell zu beobachten, dass sowohl Managed-Security- Provider wie auch klassische Hoster ihre Portfolios um Dienstleistungen erweitern, die in der Cloud produziert werden oder auf der Cloud basieren. Diese hybriden Architekturen haben den Vorteil, dass sich die schützenswerten Daten oder Backends in einem bekannten Schweizer Datacenter befinden. Die Anwendungen mit Public-Daten in der Cloud können dann über ein- und dieselbe Betriebsorganisation abgewickelt werden. Wer also nicht selbst mit seiner IT-Organisation den Spagat zwischen «on Premise» und Cloud machen will, kann dank der Zusammenarbeit mit einem Provider auf mehr Technologie zu bekannten Kosten zugreifen. Dies bringt den Vorteil einer sauberen Gewaltentrennung zwischen Entwicklung und Betrieb.

Flexible Lösungen für wandelnde Bedürfnisse

Die IT-Sicherheitskosten bewegen sich – ob Cloud oder eigene Rechner, ob im eigenen Rechenzentrum oder bei einem Provider – auf vergleichbarem Niveau. Sich deshalb allein aufgrund von Kosten für oder gegen die Cloud zu entscheiden, ergibt keinen Sinn. Entscheidend ist vielmehr, welche Technik- und Sicherheitsvorgaben bestehen, welche Rolle die eigene IT-Abteilung spielt und welches Know-how in den eigenen Reihen verbleiben soll. Die Entwicklung hin zu immer mehr Lösungen «as a Service» wird die Verlagerung weg aus dem eigenen Datacenter und hin in schweizerische Datacenter oder in die Cloud weiter vorantreiben.