Cloud Computing ist der neueste Hype im IT-Markt. Im Gegensatz zu manch anderer Sau, die in den vergangenen Jahren durchs Dorf getrieben wurde, steht Cloud Computing für einen fundamentalen Paradigmenwechsel der IT und nicht nur eine neue Marketing-Idee. Noch gibt es aber viele Herausforderungen zu lösen.
Zu den Cloud-Herausforderungen zählt eine serviceorientierte Sichtweise auf die IT auf allen Ebenen – und nicht nur innerhalb von Anwendungen mit Webservices oder bei den Infrastrukturdiensten. Und dies mit allen Konsequenzen bis hin zu einer preislichen Bewertung solcher Services. Dazu zählt aber vor allem die Cloud Governance, also das Sicherstellen, dass wir diesen Schritt in die Cloud auch in korrekter Weise machen. Die Einhaltung von Sicherheitsanforderungen, ein Risikomanagement oder die Analyse von Konflikten mit Compliance-Anforderungen sind nur einige der Aspekte, die hier zu beachten sind.
Dass man erst jetzt, mit einem langsam wachsenden und reifenden Angebot von Cloud Services, beginnt, sich darüber wirklich Gedanken zu machen, wie es eigentlich mit Themen wie der Governance und, als Teil davon, der Sicherheit aussieht, ist typisch für die IT. Schließlich hat man auch Standards für Webservices wie SOAP, WSDL und UDDI definiert und dann erst begonnen, sich über Themen wie die Zuverlässigkeit oder Sicherheit Gedanken zu machen.
Und wenn man in die tägliche Welt der Anwendungsentwicklung schaut, sieht es dort durchaus ähnlich aus. Sicherheit wird immer noch viel zu oft nachträglich an Anwendungen drangestrickt und nicht in einheitlicher Weise implementiert. Dabei sind die Ansätze für Identity- und Sicherheitsdienste und Anwendungssicherheitsinfrastrukturen nicht neu.
Wenn man nun über Cloud Services nachdenkt, dann muss man Herausforderungen wie das Management von Identitäten und Berechtigungen adressieren. Man braucht SoD-Regeln (Segregation of Duties) über mehrere Cloud Services hinweg. Man muss die (Sicherheits-) Risiken von Cloud Services standardisiert bewerten können. Und man muss über Systeme hinweg auditieren können. Die Liste lässt sich fast beliebig verlängern.
Wenn man auf die Compliance-Anforderungen schaut, dann wird schnell deutlich, dass es hier erhebliches Konfliktpotenzial gibt. In den USA sind im Zuge der Regelungen zur Homeland Security viele Bestimmungen erlassen worden, die einen Zugriff auf Informationen wie Mails nicht nur zulassen, sondern oft erzwingen – etwas, was nach vielen europäischen Regelungen verboten ist. Damit stellt sich die Frage, wo und nach welchem Recht welcher Cloud Service erbracht wird.
Die Identifizierung von Benutzern und die Steuerung von Berechtigungen über verschiedene Cloud Services hinweg ist bisher nur in Grundzügen gelöst. Es gibt zwar eine wachsende Unterstützung für SAML, um die Authentifizierung und die Autorisierung zu trennen. Der granulare Aspekt der Autorisierung, also die Steuerung, wer wirklich was mit welchem Service machen darf, ist noch weitgehend ungelöst.
Das heißt nun keineswegs, dass man den Schritt in die Cloud nicht wagen kann. Im Gegenteil: Es gibt viele interessante Services. Aber man muss sich Gedanken darüber machen, welche Anforderungen an welchen Service zu stellen sind und man muss analysieren, was heute geht und was nicht. Das ist übrigens auch im Interesse der Anbieter. Denn nichts ist so schwer wiederherzustellen wie verlorenes Vertrauen.
Deshalb brauchen wir Cloud Governance als Teil von Cloud-Strategien und wir brauchen auch neue Standards, mit denen wir das umsetzen können. Nur dann wird sich das wirtschaftliche Potenzial der Cloud bergen lassen statt auf einmal mit unkalkulierbaren Folgekosten mangelnder Governance konfrontiert zu werden.