Bundesamt für Sicherheit in der Informationstechnik

M 4.446 Einführung in das Cloud Management

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, Leiter IT

Die nachfolgenden Eigenschaften zeichnen einen Cloud-Dienst aus:

  • Die Provisionierung der Cloud-Ressourcen ( z. B. Rechenleistung, Arbeitsspeicher, Netze, Speichernetze) läuft automatisch und ohne oder mit minimaler Interaktion, mit dem Cloud-Diensteanbieter ab (über sogenannte Self-Service-Portale).
  • Die Cloud-Dienste sind über Standard-Schnittstellen (wie z. B. HTTP ) über das Netz verfügbar und können so von unterschiedlichen Clients genutzt werden.
  • Die Ressourcen des Cloud-Diensteanbieters liegen in einem Pool vor, welcher von vielen Cloud-Anwendern gemeinsam benutzt wird (Mandantenfähigkeit).
  • Die Cloud-Dienste können schnell und elastisch zur Verfügung gestellt werden. Die Bereitstellung erfolgt hochgradig automatisch.
  • Die Ressourcennutzung kann gemessen und überwacht werden und die Auswertung hierüber den Cloud-Anwendern zur Verfügung gestellt werden.

Definitionen für Cloud Computing

Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. In den IT-Grundschutz-Katalogen wird der Begriff Cloud Computing nach vorgenannter Definition verwendet. Eine einfache Webanwendung ist in der Regel kein Cloud Computing.

Es gibt verschiedene Bereitstellungsmodelle für Cloud Computing. Die unterschiedlichen Bereitstellungsmodelle werden wie folgt definiert:

  • In einer Private Cloud wird die Cloud-Infrastruktur nur für eine Institution betrieben. Sie kann von der Institution selbst oder einem Dritten organisiert und geführt werden und kann dabei im Rechenzentrum der eigenen Institution oder einer fremden Institution stehen.
  • Von einer Public Cloud wird gesprochen, wenn Cloud-Dienste von der Allgemeinheit oder einer großen Gruppe, wie beispielsweise einer ganzen Industriebranche, genutzt werden können und die Dienste von einem Anbieter zur Verfügung gestellt werden.
  • In einer Community Cloud wird die Infrastruktur von mehreren Institutionen geteilt, die ähnliche Interessen haben. Eine solche Cloud kann von einer dieser Institutionen oder einem Dritten betrieben werden.
  • Werden mehrere Cloud-Infrastrukturen, die für sich selbst eigenständig sind, über standardisierte Schnittstellen gemeinsam genutzt, wird dies Hybrid Cloud genannt.

Die Bereitstellungsmodelle haben also damit zu tun, wie viele Anwender in welcher Konstellation eine Cloud nutzen.

Neben den Bereitstellungsmodellen gibt es auch verschiedene Servicemodelle. Die Servicemodelle richten sich nach Art und Umfang der bereitgestellten Cloud-Dienste:

  • Infrastructure as a Service ( IaaS ): Bei IaaS werden IT-Ressourcen wie Rechenleistung, Datenspeicher oder Netze als Dienst angeboten. Ein Cloud-Kunde kauft diese virtualisierten und in hohem Maß standardisierten Grund-Dienste und baut darauf eigene Dienste zum internen oder externen Gebrauch auf. So kann ein Cloud-Anwender z. B. Rechenleistung, Arbeitsspeicher und Datenspeicher anmieten und darauf ein Betriebssystem mit Anwendungen seiner Wahl laufen lassen.
  • Platform as a Service ( PaaS ): Ein PaaS -Provider stellt eine komplette Infrastruktur bereit und bietet dem Kunden auf dieser Plattform standardisierte Schnittstellen an, die von Diensten des Kunden genutzt werden. So kann die Plattform z. B. Mandantenfähigkeit, Skalierbarkeit, Zugriffskontrolle, Datenbankzugriffe etc. zur Verfügung stellen. Der Kunde hat keine Verantwortung für die darunterliegenden Schichten (Betriebssystem, Hardware), er kann aber auf der Plattform eigene Anwendungen laufen lassen, für deren Entwicklung der Cloud-Diensteanbieter in der Regel eigene Werkzeuge anbietet. PaaS erweitert die Grund-Dienste von IaaS um Plattformdienste wie Datenbank, Zugriffskontrollen oder Webserver.
  • Software as a Service ( SaaS ): Sämtliche Angebote von Anwendungen, die den Kriterien des Cloud Computing entsprechen, fallen in diese Kategorie. Dem Angebotsspektrum sind hierbei keine Grenzen gesetzt. SaaS -Angebote setzen auf die Grund-Dienste von IaaS und auf die Plattformdienste von PaaS mit vorkonfigurierten Anwendungen auf und bieten den Cloud-Anwendern ein ohne weiteres nutzbares Angebotspaket. Beispiele hierfür sind Kontaktdatenmanagement, Finanzbuchhaltung, Textverarbeitung oder Kollaborationsanwendungen.

Rollen und Verantwortliche beim Cloud Computing

Der Cloud-Diensteanbieter ( CSP ) bietet den Cloud-Dienst in unterschiedlichen Ausprägungen ( SaaS , PaaS , IaaS ) an. Die natürliche Person, die den Cloud-Dienst letztendlich in Anspruch nimmt, wird Cloud-Benutzer genannt. Ermöglicht eine Institution ihren Mitarbeitern die Nutzung von Cloud-Diensten, indem die Institution einen Vertrag mit dem Cloud-Diensteanbieter schließt, so tritt die Institution als Cloud-Anwender auf. Im Fall der privaten Nutzung eines Cloud-Dienstes sind Cloud-Anwender und Cloud-Benutzer identisch.

Verwaltungskomponenten im Cloud Computing

Für die Steuerung und die Verwaltung der virtuellen Infrastruktur der Cloud wird eine Virtualisierungssoftware eingesetzt.

Zur Verwaltung der Cloud selbst und ihrer logischen Infrastruktur wird üblicherweise ebenfalls eine Software benötigt. Diese wird als Cloud-Verwaltungssoftware bezeichnet.

Die Virtualisierungssoftware und die Cloud-Verwaltungssoftware können auf einem gemeinsamen oder auf getrennten physischen oder virtuellen IT-Systemen installiert sein.

Der Server für die Bereitstellung der Virtualisierungssoftware wird Virtualisierungsserver genannt.

Der Server für die Bereitstellung der Cloud-Verwaltungssoftware wird Cloud-Verwaltungsserver genannt.

Wenn Virtualisierungs- und Cloud-Verwaltungssoftware gemeinsam auf einem IT-System laufen, dient der Virtualisierungsserver somit gleichzeitig als Cloud-Verwaltungsserver.

Referenzmodell für Cloud Computing

Um die Betriebsprozesse des Cloud Managements zu beschreiben, wird ein Cloud-Referenzmodell genutzt, in dem die wesentlichen Aspekte abgedeckt sind. Dem Baustein B 5.23 Cloud Management liegt das Referenzmodell der Internet Engineering Task Force ( IETF ) zugrunde (Cloud Reference Framework, liegt als sogenannter Internet-Draft vor). Die IETF hat darin Bestandteile einer Cloud-Umgebung, deren Schnittstellen und die Steuerung von Cloud-Diensten definiert.

Das Referenzmodell ist in Schichten für Cloud-Dienste, Virtualisierung (virtuelle Maschinen, in denen die Cloud-Dienste laufen) und physische Komponenten (als Träger der virtuellen Maschinen) aufgebaut und beschreibt deren Zusammenwirken. Diese Schichten werden als "horizontale Schichten" bezeichnet. Diese Schichten sind:

  • Anwendungsschicht: Hier werden die Servicemodelle ( SaaS , PaaS , IaaS ) verwaltet und Cloud-Dienste konfiguriert. Diese Schicht definiert die Anforderungen an die Cloud-Dienste und stellt diese den Cloud-Benutzern bereit.
  • Ressourcen-Kontroll-Schicht: Diese Schicht verwaltet die virtuellen Ressourcen der Cloud-Infrastruktur für eine effiziente, verlässliche und sichere Bereitstellung. Die Ressourcen-Kontroll-Schicht stellt über Authentisierungskontrollen sicher, dass die verwalteten Cloud-Ressourcen den richtigen Cloud-Diensten und damit auch den korrekten Cloud-Benutzern bereitgestellt werden. Genauso wird über die Ressourcen-Kontroll-Schicht dafür gesorgt, dass die virtuellen Cloud-Ressourcen effizient auf die Hardware-Komponenten der Cloud-Infrastruktur verteilt werden.
  • Virtualisierungsschicht: Physische Hardware-Komponenten sind schwierig auf unterschiedliche Mandanten aufzuteilen. Hingegen können virtuelle Ressourcen bedarfsorientiert allokiert und freigegeben werden. Daher werden über die Virtualisierungsschicht die physischen Cloud-Ressourcen in virtuelle Cloud-Ressourcen konvertiert. Die virtuellen Ressourcen werden in einem Ressourcen-Pool verwaltet und nach Bedarf den Cloud-Anwendern bereitgestellt oder entzogen.
  • Schicht der physischen Ressourcen: Die Schicht zur Verwaltung von physischen Cloud-Ressourcen übernimmt die Einbindung und Bereitstellung von Hardware-Komponenten für die Cloud. Zu den Hardware-Komponenten zählen: Rechenleistung ( CPU ), Arbeitsspeicher, Speichernetze und deren Anbindung, Netzkarten (oft Netzwerkkarten genannt) und Netzverbindungen, Netz-Bandbreite und Netz-Ports.

Übergreifend zu diesen Schichten führt das Referenzmodell das Cloud Management als vertikale Schicht ein, die alle horizontalen Schichten betrifft und querschnittlich auf die zu verwaltenden Ressourcen ( SaaS , PaaS , IaaS ) wirkt. Hier wird unter anderem hervorgehoben, dass das Sicherheitsmanagement und die Sicherheitsmaßnahmen einen Querschnitt in alle horizontalen Cloud-Schichten haben. In der vertikalen Schicht des Cloud Managements sieht die IETF eine Reihe von Aufgaben und Funktionen vor:

  • Konfigurationsmanagement,
  • Provisionierungs- und Registrierungsdienste,
  • Monitoring und Berichtswesen,
  • Management der Dienstgüte-Vereinbarungen ( SLA s),
  • Sicherheit.

Zu den typischen Aufgaben eines Cloud-Diensteanbieters im Cloud Management zählen:

  • die Bereitstellung eines Dienste-Katalogs mit der Beschreibung der angebotenen Cloud-Dienste;
  • die Cloud-Konfiguration zur Provisionierung (Bereitstellung) bzw. De-Provisionierung von Cloud-Ressourcen (hierzu zählen: virtuelle Maschinen, virtuelle Datenspeicher, virtuelle Netze) und Cloud-Diensteprofilen (definierte Konfigurationen für Cloud-Ressourcen, mit deren Hilfe die angebotenen Dienste bereitgestellt werden);
  • die Zuweisung der physischen und virtuellen Ressourcen zu den Cloud-Anwendern und die Konfiguration dieser Ressourcen;
  • das Zugangs- und Zugriffsmanagement für die Cloud-Ressourcen und die Authentisierung von Zugang und Zugriff;
  • die Überwachung der bereitgestellten Cloud-Dienste und -Ressourcen, um die garantierte Dienstgüte einzuhalten;
  • die für den Kunden nachvollziehbare Abrechnung der in Anspruch genommenen Cloud-Dienste (anhand des Dienste-Katalogs).

Die nachstehende Abbildung zeigt das für den IT-Grundschutz verwendete Referenzmodell für Cloud Computing:

Stand: 14. EL Stand 2014