Bundesamt für Sicherheit in der Informationstechnik

M 4.462 Einführung in die Cloud-Nutzung

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator, IT-Sicherheitsbeauftragter, Leiter IT

Im Sinne der IT-Grundschutz-Vorgehensweise umfasst Cloud-Nutzung alle Themengebiete, die zur Nutzung einer Cloud-Umgebung erforderlich sind. Damit schließt Cloud-Nutzung insbesondere folgende Aspekte ein:

  • Anwendung des Cloud Services durch Mitarbeiter der nutzenden Institution
  • Administration des Cloud Services durch Mitarbeiter der nutzenden Institution

Definitionen und Grundbegriffe zur Cloud-Nutzung

Ein Cloud Service wird in der Regel durch die nachfolgend aufgeführten Eigenschaften charakterisiert (gemäß Cloud Security Alliance - CSA ). Die Beschreibung ist dabei nicht starr definiert, sondern kann immer noch interpretiert, ergänzt oder auch reduziert werden.

On-demand Self-Service

Die Provisionierung, also die Bereitstellung der IT-Ressourcen, wie beispielsweise Rechnerleistung oder Speicherkapazitäten, läuft automatisch ohne Interaktion mit dem Cloud-Diensteanbieter (engl. Cloud Service Provider, kurz CSP ) ab.

Broad Network Access

Cloud Services werden über ein Netz bereitgestellt und sind über Standard-Mechanismen beziehungsweise Standard-Protokolle zugänglich.

Resource Pooling

Die IT-Ressourcen des Cloud-Diensteanbieters sind in sogenannten Pools organisiert. Basierend auf einem mandantenfähigen Modell ist es dem Cloud-Diensteanbieter somit möglich, den Anforderungen einer Vielzahl von Anwendern bedarfsgerecht zu entsprechen.

Bei der Nutzung von Cloud Services ist dem Auftraggeber der genaue Ort der IT-Ressourcen des Cloud-Diensteanbieters in der Regel nicht bekannt. Beispiele für solche Ressourcen können Speichersysteme, Prozessorleistung, Arbeitsspeicher oder auch Anwendungssoftware sein.

Rapid Elasticity

Cloud Services lassen sich (automatisiert), schnell und flexibel anpassen, um auf sich rasch ändernden Bedarf aufseiten der nutzenden Institution reagieren zu können.

Measured Services

Cloud Services verwenden häufig Werkzeuge, die die Ressourcennutzung in Abhängigkeit des genutzten Services (zum Beispiel Speicherlösungen, Prozessorleistung oder aktive Benutzerkonten) automatisch überwachen und optimieren können.

Um Transparenz sowohl aufseiten der nutzenden Institution als auch aufseiten des Providers zu schaffen kann die Ressourcennutzung gemessen und die Ergebnisse gegenüber dem Anwender kommuniziert werden.

Pay per Use

Die Abrechnung erfolgt bei Cloud-Nutzung in der Regel auf Basis der Leistungen beziehungsweise Ressourcen, die auch tatsächlich vom Anwender in Anspruch genommen wurden.

Definition des BSI

Um für alle Arbeiten rund um Cloud Computing eine einheitliche Grundlage zu haben, hat das BSI folgende Definition für den Begriff "Cloud Computing" festgelegt:

Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (zum Beispiel Rechenleistung, Speicherplatz), Plattformen und Software.

In diesem Dokument wird der Begriff "Cloud Computing" entsprechend benutzt, wobei die oben genannten Charakteristika stets im Hinterkopf zu behalten sind. So ist eine einfache Webanwendung in der Regel kein Cloud Computing, obwohl dies von den Marketingabteilungen der Hersteller oft so bezeichnet wird.

Cloud-Nutzung mittels unterschiedlicher Cloud-Service-Modelle

Bei Cloud-Nutzung können grundsätzlich drei unterschiedliche Kategorien von Service-Modellen unterschieden werden. Zum besseren Verständnis sind diese nachfolgend näher beschrieben.

Infrastructure as a Service ( IaaS )

Bei IaaS werden IT-Ressourcen wie zum Beispiel Rechenleistung, Datenspeicher oder Netze als Dienst angeboten. Ein Cloud-Anwender kauft diese virtualisierten und in hohem Maße standardisierten Services und baut darauf eigene Services zum internen oder externen Gebrauch auf. So kann ein Cloud-Anwender zum Beispiel Rechenleistung, Arbeitsspeicher und Datenspeicher anmieten und darauf ein Betriebssystem mit Anwendungen seiner Wahl laufen lassen.

Die Verwaltung der IT-Ressourcen obliegt der nutzenden Institution und wird in der Regel durch den Cloud Service Administrator auf Kundenseite (engl. Customer Cloud Service Administrator) vorgenommen.

Platform as a Service ( PaaS )

Ein PaaS-Anbieter stellt eine komplette Infrastruktur bereit und bietet dem Anwender auf der Plattform standardisierte Schnittstellen an, die von Diensten des Kunden genutzt werden. So kann die Plattform zum Beispiel Mandantenfähigkeit, Skalierbarkeit, Zugriffskontrolle, Datenbankzugriffe etc. als Service zur Verfügung stellen. Die nutzende Institution hat keinen Zugriff auf die darunter liegenden Schichten (Betriebssystem, Hardware), sie kann aber auf der Plattform eigene Anwendungen laufen lassen, für deren Entwicklung der Cloud-Diensteanbieter in der Regel eigene Werkzeuge anbietet.

Software as a Service (SaaS)

Sämtliche Angebote von Anwendungen, die den Kriterien des Cloud Computings entsprechen, fallen in diese Kategorie. Dem Angebotsspektrum sind hierbei keine Grenzen gesetzt. Als Beispiele seien Kontaktdatenmanagement, Finanzbuchhaltung, Textverarbeitung oder Kollaborationsanwendungen genannt.

Die Mitarbeiter der Institution nutzen Software-Anwendungen direkt über das Internet. Eine Installation auf dem eigenen PC beziehungsweise im Rechenzentrum der Institution ist häufig nicht erforderlich.

Teilweise werden jedoch auch Architekturen eingesetzt, bei denen der Einsatz spezieller Clientsoftware erforderlich oder möglich ist (Nutzung über Browser und/oder Clientsoftware).

Cloud-Nutzung mittels unterschiedlicher Cloud-Bereitstellungsmodelle

Institutionen, die sich für die Nutzung von Cloud Services entscheiden, haben in der Regel die Wahl zwischen folgenden Bereitstellungsmodellen:

Public Cloud

Bereitstellung von Cloud Services für beliebige Anwender über das Internet.

Private Cloud

Bereitstellung von Cloud Services ausschließlich für die eigene Institution. Bei einer Private Cloud ist eine weitere Unterscheidung möglich:

  • On-Premise: Die Cloud-Infrastruktur wird in einem Rechenzentrum der Institution betrieben.
  • Off-Premise: Die Cloud-Infrastruktur wird in einem fremden Rechenzentrum betrieben.

Hinweis zur Problematik bei der Zuordnung zu einem Bereitstellungsmodell:

In Konzernen mit mehreren Konzerngesellschaften wird aus Sicht der IT-Tochter eine Private Cloud für den Konzern betrieben. Eine nutzende Konzerngesellschaft teilt diese Sicht jedoch unter Umständen nicht, da sie sich diese Cloud in ihren Augen mit "Fremden" teilt. Daher betrachtet die Konzerngesellschaft die Cloud als "public".

Hybrid Cloud

Eine Hybrid Cloud stellt in der Regel eine Mischform aus Public Cloud und Private Cloud dar.

Teile des Services werden dabei durch On-Premise-Systeme abgebildet, während andere Teile des Services durch (Public)-Cloud-Systeme bei einem Cloud-Diensteanbieter abgebildet werden. Die Services, die durch den Cloud-Diensteanbieter abgebildet werden, können auch Private-Cloud-Off-Premise- oder Community-Cloud-Lösungen sein.

Die Hybrid Cloud bietet die Möglichkeit zur Aufteilung eines Services zwischen Public Cloud und Private Cloud.

Beispiel:

  • Für die Inanspruchnahme eines Office-Services werden die E-Mail-Konten in der Private Cloud der Institution verwaltet, für die Nutzung von Webkonferenzen und Dateifreigaben wird jedoch auf die Public-Cloud-Infrastruktur des Dienste-Anbieters zurückgegriffen.

Eine Virtual Private Cloud wird durch einen Cloud-Diensteanbieter in seinem Rechenzentrum für dedizierte Kunden betrieben. Aus Kundensicht sieht die Cloud wie eine Private Cloud aus, der Dienstleister stellt diese aber in der Regel auf einer mandantenfähigen, geteilten Infrastruktur bereit.

Bei der Managed Private Cloud kann die Cloud-Infrastruktur hingegen auch im eigenen Rechenzentrum untergebracht sein. Betrieben und gemanagt wird diese allerdings von einem externen Dienstleister.

Community Cloud

In einer Community Cloud schließen sich Institutionen der gleichen Branche oder mit gleichen Interessen zusammen und nutzen gemeinsam eine Cloud-Umgebung, die vom Cloud-Diensteanbieter speziell für diese "Community" bereitgestellt wird.

Community Clouds finden sich auch im Bereich der öffentlichen Verwaltung. Hier stellt ein Cloud-Diensteanbieter einer Benutzergruppe eine Anwendung dediziert als Cloud Service zur Verfügung - Beispiel: Personalverwaltung oder E-Mail-Service.

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK