Es zeigt sich immer mehr: Für das Cloud Computing gilt, was sich auch bei vielen anderen Innovationen der IT gezeigt hat – für den Durchbruch auf breiter Basis braucht es Standards. Und die fehlen noch in vielen Bereichen – vom zentralen Management von Cloud Services über die Portabilität von Anwendungen bis zur Sicherheit.

Letztlich geht es beim Cloud Computing darum, in kontrollierter und sicherer Weise definierte Services von unterschiedlichen Providern – extern wie intern – nutzen und auch zwischen Providern in einfacher Weise wechseln zu können. Dabei gilt es, die (eher abstrakte) Cloud Governance und das (konkrete) Cloud Management für unterschiedliche Arten von Diensten in möglichst einheitlicher Weise umzusetzen.

Dabei werden schnell die Herausforderungen deutlich, die heute noch bestehen. Ob es um das Management von Cloud Services, die Portabilität von Anwendungen oder die Sicherheit in der Cloud mit dem Management von Identitäten, ihrer Authentifizierung und der Autorisierung sowie das Auditing geht – in den meisten Bereichen gibt es heute noch deutlich mehr Lücken als existierende Standards.

Das ist nicht überraschend. Die IT-Welt tendiert doch eher dazu, erst mal eine neue Idee umzusetzen und dann über Themen wie die Sicherheit und Verlässlichkeit nachzudenken. Das beste Beispiel, in engem Zusammenhang mit der Cloud, sind die Web Services. Erst gab es die grundlegenden Standards SOAP, WSDL und UDDI – und dann hat es noch etliche Jahre gedauert, um die ergänzenden Standards rund um Sicherheit und Verlässlichkeit, viele davon als Teil der WS-Standards, zu definieren.

Ähnlich ist die Situation beim Cloud Computing. Wenn es um das zentrale Management von Cloud Services geht, gibt es keinen geeigneten Standard. Manche Anbieter bieten zwar proprietäre Schnittstellen. Aber wenn man viele Cloud Services überwachen und sich dabei nicht nur auf die Erfüllung von Service Levels durch die Anbieter verlassen möchte, braucht es mehr. Und hier gibt es ebenso wie bei der Konfiguration nichts, das den komplexen Anforderungen einer zukünftigen Cloud-IT gerecht werden würde.

 Auch bei der Portabilität von Anwendungen gibt es erhebliche Lücken. Hersteller Parallels treibt zwar den APS (Application Packaging Standard) voran und bringt das Thema damit voran. Aber auch hier braucht es noch mehr. Denn immer mehr Anbieter kommen mit eigenen Anwendungsinfrastrukturen und dort wird sich die Frage stellen, wie man zukünftig portable Anwendungen erstellen kann, um einen Lock-In zu vermeiden. APS ist hier immer ein wichtiger Schritt in die richtige Richtung.

Und auch bei der Sicherheit gibt es immerhin Teillösungen. Mit SAML (Security Assertion Markup Language) gibt es einen Basisstandard für die Federation, der sich immer mehr etabliert. Wenn es aber um das Auditing oder die Steuerung der Autorisierung geht, fehlt es noch an Standards. Bis heute gibt es keinen brauchbaren Standard für Auditing und Alerting – und die Steuerung der Autorisierung erfolgt typischerweise über Web-Schnittstellen der Cloud Service-Anbieter. XACML (Extended Access Control Markup Language) ist zwar ein Hilfsmittel, es wird aber in Zukunft Standards auf höherer semantischer Ebene brauchen.

Hier sind die Anbieter gefordert. Denn nur mit Standards wird Cloud Computing zum Erfolg werden. Strategien, die auf ein Lock-In der Kunden bei einzelnen Anbietern abzielen, sind zum Scheitern verurteilt, weil sie der Grundidee und dem wesentlichen Wertversprechen der Cloud entgegen stehen. Insofern bleibt nur zu hoffen, dass mehr Anbieter die nötigen und fehlenden Standards für das Cloud Computing vorantreiben.