Cla78 - stock.adobe.com
Multi Cloud: Sicherheit, Performance, Planung
Der parallele Einsatz verschiedener Architekturen und Betriebsmodelle birgt ganz eigene Herausforderungen. IT-Teams sollten bei der Multi Cloud vor allem fünf Aspekte beachten.
„One size fits all“ – Was lange Zeit als feste Regel für die strategischen Ausrichtung des IT-Betriebs Bestand hatte, gilt heute als überholt. Die Reise geht in Richtung Multi Cloud. Denn im Zuge des digitalen Wandels benötigen viele Unternehmen aufgrund der hohen Zahl an zu betreibenden Workloads verschiedene IT-Infrastrukturen. Individuelle Enterprise-Workloads auf einer einzigen Open-Source- oder Public-Cloud-Architektur zu betreiben, ist nicht optimal. Gleichzeitig verlangen neue Web-Workloads auch immer mehr Performance und Agilität sowie innovative Services.
Daher stehen Unternehmen vor der Herausforderung, mehrere Infrastrukturoptionen einzusetzen und etablieren so einen Multi-Cloud-Betrieb, um eine ganzheitliche Betriebsgrundlage für die digitalen Services zu schaffen. Dabei greifen sie nicht nur auf einen Anbieter oder Hersteller zurück. Der parallele Einsatz verschiedener Architekturen, Technologien und Betriebsmodelle bringt aber seine ganz eigenen Herausforderungen mit sich. Um die zunehmende Komplexität zu beherrschen, sollten Multi-Cloud-Nutzer vor allem fünf Aspekte berücksichtigen.
Die zwei Dimensionen der Sicherheit
Ein Dauerthema ist die Sicherheit der IT-Systeme und -Services. Bei der Multi Cloud sind vor allem zwei Dimensionen zu betrachten. So ist ein Blick in der Multi Cloud auf die Sicherheit der vernetzten separaten Cloud-Services zu richten – die sogenannte Intra-Security. Hier lautet die zentrale Frage, die Verantwortliche lösen müssen: Wie ist eine autorisierte Kommunikation zwischen Cloud A und Cloud B möglich, wenn verschieden Plattformen direkt miteinander verbunden sind? Die Antwort lautet: Es braucht einen einheitlichen Sicherheitsstandard über alle Ebenen hinweg. Ein möglicher Lösungsansatz: Platform Security Office. Das Ziel ist eine einheitliche Governance-Rolle für alle Sicherheitsaspekte einer betrachteten Plattform. Damit verbunden ist eine Harmonisierung der bestehenden Informations-System-Management-Systeme (ISMS) für den gemeinsamen Betrieb der Kundenplattform. Gleichzeitig müssen Provider und Kunden einen gemeinsamen Blick auf die Plattformsicherheit und die notwendige kontinuierliche Erhöhung des Gesamtplattform-Sicherheitsniveaus entwickeln. Zu guter Letzt gilt es, Risiken innerhalb der Plattform zu identifizieren und daraus Maßnahmen zur Risikominimierung abzuleiten. Die Basis dafür bildet eine enge Zusammenarbeit zwischen allen internen und externen Parteien.
Dieser Intra-Security steht die sogenannte Inter-Security gegenüber. Hierbei liegt der Fokus auf dem Schutz des Gesamtkonstrukts gegen Angriffe von außen. Dieser besteht in vielen Fällen aus einzelnen Services. Die Herausforderung liegt darin, verschiedene Architekturen und Systeme unter einen Hut zu bekommen. Je komplexer diese ausfallen, desto dringender ist ein ganzheitlicher Blick erforderlich, um Schwachstellen zu identifizieren. Ein Lösungsansatz ist ein Security Operations Center (SOC), mit dem sich auch unerwartete Threats abwehren lassen. Ein SOC überwacht zentral IT-Ressourcen und Daten, sucht nach Anzeichen für Angriffe und steuert die Reaktion auf IT-Bedrohungen. In einem SOC werden Security-Maßnahmen und Security-Kompetenz gebündelt. Den geballten Cyberangriffen werden geballte Security-Maßnahmen entgegengesetzt. Diese übergreifende Sicht auf verschiedene Use-Cases und Kundenvorfälle bringt einen großen Mehrwert über den einzelnen Kunden hinaus. Denn die Erfahrungen lassen sich auf alle Kunden des Anbieters anwenden.
Neuralgische Punkte: APIs
Schnittstellen (APIs) gehören zu den potenziellen Schwachstellen. Gleichzeitig sind sie elementar für echte Multi-Cloud-Szenarien. Denn sie entscheiden darüber, ob einzelne Services und Systeme miteinander kommunizieren oder nicht. Stichwort: Interoperabilität. Innerhalb einer Multi Cloud sollten verschiedene Dienste intelligent vernetzt sein und Daten untereinander austauschen. Ohne passende APIs funktioniert das nicht. Allerdings haben eigene APIs Nachteile, weil sie etwa Funktionen einschränken. Daher ist es ratsam, den API-Einsatz des Hyperscalers in Betracht zu ziehen. Der Haken daran: Eine einzige Hersteller-API birgt immer auch die Gefahr des Vendor-Lock-ins.
Um diese Abhängigkeit zu reduzieren, hilft die sogenannte Seamless-Orchestrierung – direkt über APIs. Sie schafft Interoperabilität und somit den direkten Zugriff auf die gewünschten Features. Dies ermöglicht einen schnellen Zugriff etwa auf Features von Hyperscalern, die nur von einem angeboten werden. Dazu zählen beispielsweise KI-Funktionen oder ein GPU-Access. Gleichzeitig stellt sie sicher, dass immer das gleiche Ergebnis erzeugt wird – unabhängig vom Hyperscaler. Orchestrierung sorgt so für ein identisches „Spielfeld“ über verschiedene Hyperscaler, welche die API-Nutzung erlauben und auch das Hinzufügen von Hyperscaler-spezifischen Diensten ermöglichen.
Latenz mimieren
Für das nahtlose Zusammenspiel der Dienste gilt es, Latenzen beim Datenabruf so gering wie möglich zu halten. Denn je niedriger die Latenz, umso schneller stehen die gewünschten Daten bereit. Hier kommt den Schnittstellen eine zentrale Rolle zu, wenn der schnelle und direkte Zugriff auf Daten in einem Netzwerk erforderlich ist. Hier bedarf es einer direkten Verbindung über Dienste und APIs wie etwa ein Direct Link, auch Cloud Connect genannt, der solche Latenzen minimiert. Mit diesem lassen sich Services von Rechenzentren mit Cloud-Ressourcen und Services verschiedener Anbieter direkt miteinander verbinden.
Der Datenaustausch zwischen Rechenzentrum und dem globalen Cloud-Anbieter erfolgt über eine dedizierte Verbindung, die konsistenten Netzwerkparametern unterliegt. Die Datenpakete folgen also immer einem vordefinierten Weg, so dass die Latenz minimal bleibt. Ein weiterer Pluspunkt: Die Bandbreitenkosten aus der Cloud in ein Legacy-Rechenzentrum sind geringer als über ein Public-Internet-Gateway eines global agierenden Cloud-Anbieters. Wer sich für einen DirectLink entscheidet, muss sich allerdings im Klaren sein, dass dieser kompliziert einzurichten ist und eine entsprechende Infrastruktur erforderlich ist. Diese muss vorbereitet und administriert werden. Der Aufwand ist nicht zu unterschätzen.
Overall Performance
Insgesamt ist die Performance ein wichtiger Erfolgsfaktor der Multi Cloud. Die Herausforderung: Nicht immer sind Einzelsysteme von Haus aus kompatibel. Daher sollten Verantwortliche sich bei dem Aufbau einer Multi-Cloud-Umgebung von folgenden Gedanken leiten lassen: „redundant by design“, „resilient by design“ und Autoscaling. Dabei ist der Blick auch auf die Applikationen zu fokussieren: Geht es diesen gut? Wenn Anwendungen ruckeln oder ausfallen, nimmt die Akzeptanz bei den Nutzern ab und Unzufriedenheit macht sich breit. Im schlimmsten Fall ist die Business Continuity gefährdet. Die Gesamt-Performance abzustimmen, ist eine diffizile Angelegenheit, aber grundlegend für den zuverlässigen Betrieb.
Monitoring-Tools sind unverzichtbar, wenn es um eine infrastrukturagnostische Analyse der Gesamtperformance geht. Wichtig ist dabei, dass das Applikations-Monitoring einen direkten Durchgriff in die Applikation über entsprechende Hooks ermöglicht. Dies müssen Verantwortliche bereits in der Planungsphase beachten. Die Überwachung sollte mit der Applikation und dem operativen Betrieb geplant werden. Ein hilfreiches Tool: App-Performance-Management (APM). Mit APM lassen sich Auffälligkeiten im Verhalten von Anwendungen und ihrer Komponenten identifizieren. So helfen diese Lösungen bei auftretenden Performance-Problemen oder Störungen, möglichst schnell die Ursache ausfindig zu machen und zu beseitigen. Das Monitoring umfasst zum Beispiel die Hardware, auf der Anwendungen laufen, virtuelle Maschinen, Container, die Anwendung selbst sowie unterstützende Infrastruktur wie etwa Netzwerkkomponenten, Datenbanken, Caches, externe Webservices und Legacy-Systeme. Der Zustand und das Verhalten all dieser Komponenten lassen sich über unterschiedliche Metriken erfassen. Zusammengeführt ergeben diese Metriken ein holistisches Bild der Applikation.
Federated Microservices helfen, Dienste zu partitionieren und damit Probleme ein- und abzugrenzen. Ein Microservice ist leicht ausschaltbar und wartbar, ohne das Gesamtkonstrukt nachhaltig zu beeinflussen. Vor einem Live-Gang ist es daher sinnvoll, auch das Gesamtkonstrukt Penetrations- und Lasttests zu unterziehen. Damit lässt sich die Qualität der Anwendung in Bezug auf Sicherheit und Leistung klar erkennen.
Grundsätzlich sollten Applikationen so aufgebaut sein, dass Probleme auf infrastruktureller Ebene bei einem oder bei mehreren Hyperscalern die Performance nicht beeinträchtigen. Hier helfen praxiserprobte Mechanismen, um die anfangs beschriebene Redundanz zu erreichen. Der Austausch mit operativen und betreibenden Abteilungen leistet an dieser Stelle einen wesentlichen Beitrag. Wichtig: Im Betrieb sollte der Fokus stets auf die unternehmenskritischen Applikationen, die den Umsatz bringen, gerichtet sein. Und weniger auf Betriebsunterschiede oder Probleme mit den beteiligten Cloud-Anbietern.
DevOps-Orientierung
Das Prinzip “form follows function” hat sich schon die Natur zunutze gemacht. Auch bei der Multi Cloud sollten Unternehmen darauf achten, dass sich Aufbau und Eigenschaften der Technologie den Prozessen und Zielen unterordnet. Entscheidend ist dabei eine End-to-End-Verantwortung mit Blick auf die Services. Eine moderne, in Microservices gesplittete Architektur lebt im Betrieb vom ganzheitlichen Überblick. Wer seine IT-Systeme und Prozesse entsprechend ausrichtet, kommt dem Ziel der hundertprozentigen Verfügbarkeit rund um die Uhr sehr nahe. Dafür braucht es mehr als automatisierte Services: Hier kommt der Faktor Mensch zum Tragen, seine Einsatzbereitschaft und auch die Teamgröße.
„Multi-Cloud-Szenarien werden zum Normalfall. Die zentrale Herausforderung: Die Orchestrierung der digitalen Infrastruktur-Plattform.“
Stephan Ilaender, PlusServer
Der Ausfall eines einzelnen Microservices ist verkraftbar. Aber der Ausfall mehrerer Microservices parallel ist nur mit ganzheitlicher Verantwortung und Verständnis zu lösen. Es reicht nicht nur, den Service des eigenen Teams im Auge zu haben. Das Wissen muss innerhalb von Teams verbreitet werden. Ein Beispiel: Kanarienvogeltests in der Produktion. Ein neuer Dienst wird im Testbetrieb über einen begrenzten Zeitraum mit einigen Prozent des zu erwartenden Traffics bedient, um seine Funktionalität und Skalierung zu testen. Dies schärft auch bei den Entwicklern den Bezug zur Produktion.
Fazit
Multi-Cloud-Szenarien werden zum Normalfall. Die zentrale Herausforderung: Die Orchestrierung der digitalen Infrastruktur-Plattform. Das Management verschiedener Architekturen, die Migration der Anwendungen und die Sicherstellung des Betriebs nimmt mit dem Blick auf das digitale Geschäft eine zentrale Rolle ein. Die Zusammenarbeit mit Managed-Cloud-Providern ist dabei zwangsläufig, um die Komplexität zu beherrschen und den drohenden Vendor-Lock-in zu verhindern. Wichtig dabei: externe Provider von Anfang an in den Prozess einzubeziehen. Denn sie übernehmen die Umsetzung und Verantwortung. Gleichzeitig bringen sie eine Menge Erfahrung bei der Planung dieser Multi-Cloud-Architekturen ein.
Über den Autor:
Stephan Ilaender verantwortet als CTO bei PlusServer das technische Gesamtkonzept des Unternehmens. Nach einem Informatikstudium gründete er zunächst eine eigene Firma, die bis heute besteht, und sammelte anschließend rund 20 Jahre Erfahrung in der Hostingbranche, speziell in der erfolgreichen Steuerung und Umsetzung von individuellen Projekten für große Geschäftskunden. Mit seinen Teams unterstützt er Kunden beim Wandel ihrer IT-Infrastrukturen im Sinne der Digitalisierung.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.
