Literaturarbeit

Cloud Computing in der Standardisierung Jessica Pingel 28. Ma¨rz 2012

Betreut durch Prof. Dr. Dirk Timmermann

Kurzreferat In den letzten Jahren hat sich das Cloud Computing als ein vielversprechender Ansatz herausgebildet. Dabei werden Ressourcen wie Speicher und Rechenleistung durch das Netzwerk zur Verf¨ ugung gestellt und dynamisch an den Bedarf des Nutzers angepasst. Es existieren zahlreiche Anbieter, um Cloud Computing zu nutzen. Daraus folgen zahlreiche propriet¨are L¨osungen, die jeder Anbieter f¨ ur sich selbst entwickelt und nutzt. Verschiedene Organisationen sind derzeit auf der Suche nach Standards. Einige von ihnen haben konkrete L¨osungen vorgelegt und versuchen diesen Vorschlag als einheitlichen Standard zu etablieren. Die vorliegende Literaturarbeit widmet sich der Untersuchung von Standardisierungsbestrebungen f¨ ur Cloud Computing-Systeme.

Inhaltsverzeichnis Abbildungs- und Tabellenverzeichnis

4

Abk¨ urzungsverzeichnis

5

1 Einleitung

7

1.1

Motivation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

7

1.2

Aufbau der Arbeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

8

2 Grundlagen

9

2.1

Cloud Architektur

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

10

2.2

Servicemodelle des Cloud Computings . . . . . . . . . . . . . . . . . . .

12

3 Standardisierung

14

3.1

Stand der Technik

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

15

3.2

Organisationen zur Standardfindung . . . . . . . . . . . . . . . . . . . .

16

3.3

Hersteller zur Standardfindung . . . . . . . . . . . . . . . . . . . . . . . .

26

4 Sicherheitsstandards f¨ ur das Cloud Computing 4.1

Sicherheitsstandards . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5 Fazit

29 29 33

3

Abbildungs- und Tabellenverzeichnis Abb. 2.1 Prinzip des Cloud Computings . . . . . . . . . . . . . . . . . . . . .

9

Abb. 2.2 Modelle des Cloud Computings . . . . . . . . . . . . . . . . . . . .

12

Abb. 2.3 Die 3 Ebenen des Cloud Computings . . . . . . . . . . . . . . . . .

12

Tab. 3.1 Wichtige Standardisierungsorganisationen . . . . . . . . . . . . . . .

16

Abb. 3.1 Storage-Schnittstelle f¨ ur die Cloud [Mi0] . . . . . . . . . . . . . . .

19

Abb. 3.2 Die Nutzung eines Data Storage Interface aus Client-Sicht [Mi0] . .

20

Tab. 3.2 Relevante Standardisierungsbestrebungen f¨ ur das Cloud Computing

25

4

Abku ¨rzungsverzeichnis

API

Application Programming Interface

CDMI

Cloud Data Management Interface

CSA

Cloud Security Alliance

CSI

Cloud Service Initiative

DMTF

Distributed Management Task Force

FTP

File Transfer Protocol

IaaS

Infrastructure-as-a-Service

IDaaS

Identity as a Service

IEEE

Institute of Electrical and Electronics Engineers

ISO

International Organization for Standardization

NIST

National Institute of Standards and Technology

OASIS

Organization for the Advancement of Structured Information Standards

OCC

Open Cloud Consortium

OCCI

Open Cloud Consortium Interface

OVF

Open Virtualization Format

OGF

Open Grid Forum

PaaS

Platform-as-a-Service

REST

State Transfer and Hypertext Transfer Protocol

SaaS

Software-as-a-Service

SAML

Security Assertion Markup Language

SIENA

Standards and Interoperability for E-Infrastructure Implementation Initiative

SLA

Service Level Agreement

SNIA

Storage Networking Industry Association

SPML

Service Provisioning Markup Language

5

TAR

Format of tar archives

URL

Uniform Resource Locator

VM

Virtuelle Maschine

VPN

Virtual Private Network

WebDAV

Web-based Distributed Authoring and Versioning

XML

Extensible Markup Language

6

1 Einleitung In der Datenverarbeitung entwickelte sich in den letzten Jahren, neben dem Main-FrameModell 1 und dem Client-Server-Modell 2 , das Cloud Computing heraus. Cloud Computing ist eine neue Art des Lebens mit dem Internet. Dabei ist es dem Nutzer m¨oglich, u ¨berall und zu jeder Zeit u ¨ber das Netz mit einem Endger¨at wie einem Smartphone, Laptop oder Tablet auf Rechenressourcen zuzugreifen. Dabei werden die Dienstleistungen an den Bedarf des Nutzers angepasst und abgerechnet. Es wird virtuell in einer Wolke Speicherplatz, Rechenleistung sowie Software und Plattformen, zur Verf¨ ugung gestellt [Inf09]. Cloud Computing hat das Potential, innerhalb von wenigen Jahren zu einem MilliardenMarkt heranzuwachsen. Man geht davon aus, dass im Jahr 2012 der Umsatz mit Cloud Computing rasant ansteigen wird. Einem Bericht zufolge wird allein in Deutschland der Umsatz auf 5,3 Milliarden Euro wachsen. Dies geht aus einer Studie der Experton-Group im Auftrag des Branchenverbandes Bitkom hervor. Allerdings hat die IT aus der Wolke noch nicht den erwarteten Durchbruch im privaten Bereich erreicht [Onl].

1.1 Motivation Das Prinzip des Cloud Computings ist nicht neu. Schon fr¨ uher gab es die Idee, Ressourcen u ¨ber das Internet bereitzustellen und Konzepte zu entwickeln, die diese Idee verwirklichen. Die neue Technologie erm¨oglicht es, die Kosten in der IT drastisch zu verringern. So ist es nicht mehr erforderlich Software zu kaufen, sondern diese extern von einem Anbieter zu nutzen. Doch stellt sich vielmehr die Frage, wie es verhindert werden kann, ausschließlich von 1 2

Das Main-Frame-Modell steht f¨ ur Hochleistungscomputer in Rechenzentren. Das Client-Server-Modell steht f¨ ur Personal Computer in Verbindung mit zentralen Servern.

7

einem Anbieter abh¨angig zu sein. Was passiert wenn der Dienst, von dem die Daten bezogen werden, ausf¨allt? Kann das Risiko bei der Verf¨ ugbarkeit von Daten und Diensten minimiert oder gar vermieden werden? Portabilit¨at3 und Interoperabilit¨at4 sind wichtige Themen im Bereich der Cloud. Um diese zu gew¨ahrleisten, ist es unabdingbar, dass an der Entwicklung von Standards gearbeitet wird, um die Herstellerabh¨angigkeit zu vermeiden, denn bisher gibt es noch keine offiziell allgemeing¨ ultige Schnittstelle f¨ ur Anwendungsprogramme in Cloud Computing-Systeme. Da viele Anbieter in der heutigen IT gezwungen sind, schnell voranzukommen, um dem Konkurrenzkampf stand zu halten, wird vorwiegend auf die offizielle Standardisierung verzichtet, da dies viel Zeit in Anspruch nimmt und einen langwierigen Prozess nach sich zieht. ¨ Diese Arbeit soll einen Uberblick u ¨ber die aktuelle Entwicklung der Standardisierung in Cloud Computing geben. Es werden die wichtigsten Standards und Organisationen vorgestellt. Anschließend wird die Wichtigkeit der Standardisierung betrachtet und diskutiert und im Hinblick darauf das Thema der Sicherheitsstandards beleuchtet.

1.2 Aufbau der Arbeit Diese Literaturarbeit beschreibt den aktuellen Stand der Technik bez¨ uglich Standardisierungsbestrebungen des Cloud Computings. Zun¨achst einmal werden in Kapitel 2 die Grundlagen erl¨autert, um den Bezug zur Standardisierung zu verstehen. Dazu sind die Architektur und die Servicemodelle des Cloud Computings beschrieben. Anschließend werden in Kapitel 3 verschiedene Organisationen vorgestellt, welche sich mit Standards auseinandersetzen und Organisationen, welche konkrete Standards und L¨osungen entwickelt haben. Außerdem werden drei Unternehmen mit deren Standard bez¨ uglich Application Programming Interface (API)s in Abschnitt 3.3 genauer betrachtet. Danach wird der Aspekt der Sicherheit im Bereich des Cloud Computings diskutiert. Schwerpunkt dabei ist in Kapitel 4 die Notwendigkeit der Sicherheitsstandards.

3 4

Portabilit¨ at ist die F¨ ahigkeit, Daten zu u ¨bertragen. Interoperabilit¨ at ist die F¨ ahigkeit von Soft- und Hardwaresystemen unterschiedlicher Hersteller, miteinander zu kommunizieren und zusammenzuarbeiten.

8

2 Grundlagen Beim Cloud Computing werden Daten und Software auf einer externen Infrastruktur gespeichert und dort bearbeitet. Cloud Computing stellt einen virtuellen Desktop dar, welcher sich ortsunabh¨angig durch virtuelle Server bedienen l¨asst und damit ein nutzbares globales Netz symbolisiert. Cloud Computing wird als zentraler Begriff f¨ ur verschiedene

Cloud Computing

Abbildung 2.1: Prinzip des Cloud Computings Cloud-Dienste verwendet. Dabei handelt es sich um Rechendienste, Dokumentenverarbeitung sowie E-Mail Dienste, um nur einige zu nennen, handelt. Der Nutzer kann zu jeder Zeit an jedem beliebigen Ort u ¨ber das Internet mit seinem Smartphone, Laptop oder Tablet auf alle Ressourcen in Echtzeit mobil zugreifen, sie nutzen und bearbeiten. In Abbildung 2.1 ist das Prinzip des Cloud Computings dargestellt. Software- und

9

Hardwarefunktionen werden dabei ausgelagert und befinden sich in der Wolke. Die Abrechnung der Dienste von den Providern erfolgt spezifisch nach Bedarf und Nutzung des Anwenders, je nachdem wie viel Speicherplatz ben¨otigt und wie oft mit den Daten ¨ gearbeitet wird. Uber eine Standardanwendung, meist einem Webbrowser, werden dann die bereitgestellten Dienste genutzt. Das Prinzip hinter Cloud Computing ist simpel und ist auf einer leistungsf¨ahigen, skalierbaren Netzstruktur mit maximalen Datenraten aufgebaut. Dies erm¨oglicht den Austausch von Daten zwischen den Dienststellen und dem Anwender. Es basiert auf dem Outsourcing-Prinzip1 der Datenverarbeitung. Das bedeutet, dass verschiedenste IT-Dienste wie Hard- und Software nicht mehr lokal auf dem Rechner oder in o¨rtlichen Rechenzentren gespeichert. Die erforderlichen hohen Kapazit¨aten werden durch die Server-Virtualisierung erm¨oglicht. Das Parallelschalten mehrerer Prozesse zueinander erm¨oglicht hohe Geschwindigkeiten. F¨ ur die verteilt arbeitende Software stellen etliche Frameworks2 die Grundlage bereit. Dabei ist es m¨oglich, die Bandbreite unterschiedlich zu skalieren [Lexb, Lec09].

2.1 Cloud Architektur Laut dem National Institute of Standards and Technology (NIST) werden vier Bereitstellungsmodelle des Cloud Computings unterschieden.

Public Cloud Als g¨angister Cloud-Typ wird die Public Cloud angesehen und definiert das klassische Cloud Computing u ur alle Anwender und ¨ber das World Wide Web. Diese Cloud ist f¨ Unternehmen ¨offentlich zug¨anglich und nutzbar. Hierbei leihen sich die Kunden verschiedenste IT-Infrastruktur und bezahlen am Ende tats¨achlich nach Verbrauch. Bei der Public Cloud werden noch zwei zus¨atzliche Arten unterschieden, zum einen die Exclusive Cloud und zum anderen die Open Cloud. Bei der sogenannten Open Cloud herrscht keine Verbindung zwischen dem Anwender und dem Anbieter des Dienstes. Dieser muss in Form von Service Level Agreement (SLA) sein Angebot vorlegen. Das ist bei der 1 2

Beim Outsourcing werden Ressourcen an externe Dienstleister ausgelagert, um Kosten zu reduzieren. Ein Framework stellt in diesem Fall eine Programmierumgebung dar.

10

Exclusiv Cloud nicht der Fall, Anwender und Anbieter haben eine Verbindung zueinander [Chr10].

Private Cloud ¨ Im Gegensatz zur Public Cloud ist die Private Cloud nicht f¨ ur alle in der Offentlichkeit zug¨anglich und kann als Intranet verstanden werden. Es werden dabei unterschiedliche Dienste innerhalb einer Institution unterbreitet. Anwender und Anbieter befinden sich hierbei im selben Unternehmen. Viele Anwender entscheiden sich auf Grund von Sicherheitsrisiken vorwiegend f¨ ur die Private als f¨ ur die Public Cloud. In der Private Cloud hat der Anwender die M¨oglichkeit, allein u ugen. So ist es m¨oglich, ¨ber die Daten zu verf¨ vertrauliche Daten vor Manipulation oder Verlust durch Dritte besser zu sch¨ utzen. Die Provider versuchen die gleichen Schnittstellen wie zur Public Cloud zu verwenden, damit es dem Anwender leichter m¨oglich ist, Werkzeuge aus der Public auch in der Private Cloud nutzen zu k¨onnen [Chr10].

Hybrid Cloud Die Hybrid Cloud beschreibt eine Verkn¨ upfung von internen und externen Clouds. Das Prinzip der Hybrid Cloud ist in Abbildung 2.2 dargestellt. Die Cloud stellt Dienste aus den Bereichen der Public und Private Cloud, mit Hilfe einer Bridge, bereit und passt sich somit ideal an die Bed¨ urfnisse des Nutzers an. Einzelne Anwendungen und Funktionen hierbei werden in der Public Cloud ausgelagert. Der Normalbetrieb aber l¨auft unter der Private Cloud [Chr10].

11

Hybrid Cloud

Public Cloud

Private Cloud Bridge

Abbildung 2.2: Modelle des Cloud Computings

2.2 Servicemodelle des Cloud Computings Je nach Art der Dienstleistung werden drei Kategorien von Servicemodellen, wie in

Software as a Service

Platform as a Service

Spezialisierung

Entwicklungsaufwand

Abbildung 2.2 dargestellt, differenziert.

Infrastructure as a Service

Abbildung 2.3: Die 3 Ebenen des Cloud Computings

Infrastructure as a Service (IaaS) Das Fundament des Modells stellt Infrastructure-as-a-Service (IaaS) dar. Dem Benutzer wird eine verallgemeinerte Sicht auf die Hardware wie z.B. Speicher gestellt. Dies geschieht durch eine Benutzerschnittstelle, mit der eine Reihe an Ressourcen verwaltet werden kann. Weiterhin bietet die Service-Schnittstelle dem Nutzer an, verschiedene Aktionen auszuf¨ uhren, wie das Starten und Stoppen von Betriebssystem-Instanzen. Der Cloud-Nutzer ist damit in der Lage, Rechenleistung, Arbeitsspeicher und Datenspeicher, welche als Dienst angeboten werden, vom Provider zu mieten [Chr10].

12

Platform as a Service (PaaS) Im Gegensatz zu IaaS hat der Nutzer bei Platform-as-a-Service (PaaS) keinen Zugriff auf das Betriebssystem und die Hardware. Stattdessen wird dem Nutzer auf dieser Ebene ein Framework zur Verf¨ ugung gestellt, das als Entwicklungsumgebung fundiert. Im Rahmen dieser Umgebung k¨onnen durch die Provider Anwendungssoftware, aber auch Datenbanken zur Nutzung bereit gestellt werden. Zugang zu dem Framework erlangt der Nutzer u ¨ber standardisierte Schnittstellen [Chr10, Lexe].

Software as a Service (SaaS) Bei diesem Service wird dem Benutzer Software in einem Pool des Cloud-Dienstes zur Verf¨ ugung gestellt. Das heißt, der Nutzer ist zu jeder Zeit an jedem beliebigen Ort in der Lage, Software aus dem Internet herunter zu laden. Bei dem On-Demand3 -Prinzip fallen f¨ ur den Provider wesentlich mehr Kosten an als f¨ ur den Nutzer an sich [Chr10].

3

Ein On-Demand-Dienst ist ein Abrufdienst.

13

3 Standardisierung Momentan ist der Wechsel von einem Provider zu einem Anderem relativ kompliziert bis gar unm¨oglich. Die Einf¨ uhrung eines einheitlichen Standards w¨ urde die derzeitige Situation vereinfachen. Es w¨are ebenso vorstellbar, dass der Nutzer gleichzeitig mehrere Dienstleistungen unterschiedlicher Anbieter nutzen kann. Doch bis diese Idee technisch umgesetzt wird, ist es noch ein weiter Weg. Grund f¨ ur diese Situation ist die gigantische Anzahl an Komponenten, Schnittstellen und Protokollen, welche ber¨ ucksichtigt werden m¨ ussen. Wenn es derzeit ausschließlich propriet¨are Schnittstellen gibt, ist es f¨ ur den Anwender eines Cloud-Dienstes ausgeschlossen, den Anbieter zu wechseln, außer er nimmt hohe Kosten in Kauf. Aus diesem Grunde sind viele Organisationen auf der Suche nach einem einheitlichen Standard, um die Kosten und den Aufwand f¨ ur Anwender von Cloud-Diensten zu minimieren und zu erleichtern. Im weiteren Verlauf der Literaturarbeit werden verschiedene Institutionen vorgestellt, die sich derzeit mit Standardisierungsl¨osungen besch¨aftigen. Bei der Standardisierung des Cloud Computings sind unterschiedliche Bereiche wichtig. Zun¨achst ist die Sicht des Nutzers der Dienste zu betrachten. Diese sollten mit gleichartigen definierten Schnittstellen ausgestattet werden. Außerdem muss die Verwaltung solcher Cloud-Schnittstellen vereinheitlicht werden. Es ist wichtig, dass mehrere Anforderungen zu erarbeiten sind, um bestimmte Bereiche des Cloud Computings abdecken zu k¨onnen. Verschiedene Organisationen versuchen mit Hilfe von Anwendungsf¨allen Spezifikationen abzugrenzen, welche zu realisieren sind [Sch11].

Viele Institutionen versuchen aber auch einheitliche Schnittstellen mit derzeit vorhandenen Standards umzusetzen. Jeder Cloud-Dienst wird u ¨ber eine eigene Adresse nutzbar gemacht und u ¨ber existierende Protokolle angesprochen und anschließend u ¨ber das Internet erreicht.

14

3.1 Stand der Technik Experten gehen davon aus, dass fehlende Standards im Cloud Computing-Sektor der Grund f¨ ur die Ablehnung eines solchen Dienstes durch den Nutzer sei. Das Angebot im Cloud Computing-Bereich w¨achst stetig an. Das l¨asst darauf schließen, dass immer mehr Nutzer von verschiedenen Anbietern gleichzeitig Dienste nutzen wollen. Im April 2011 erkl¨arte die Institute of Electrical and Electronics Engineers (IEEE), dass sie an einem Standard f¨ ur Cloud-Dienste arbeiten und bringen Standardisierungsvorschl¨age f¨ ur interoperable Cloud-Services auf den Markt [Pli11].

F¨ ur IaaS stellen die Interoperabilit¨at und Portabilit¨at zwei Probleme dar. Daten werden u ¨ber die Virtualisierung beschrieben. Doch ist die Frage, wie das Format bestimmt werden soll, welches f¨ ur die Beschreibung der Platten und Konfigurationen der notwendigen virtuellen Ressourcen erforderlich ist. Doch nutzen die meisten Provider die eigenen entwickelten Formate, wie es zum Beispiel bei der Amazon Machine Image1 der Fall ist. Als einzigen Standard hierf¨ ur wurde das Open Virtualization Format (OVF) ausgearbeitet. Trotzdem sehen sich die Provider nicht in der Lage, auch diesen Standard zu nutzen, denn Sie werden in der Zukunft weiter Ihren eigenen Standard verwenden. [Jus11] Es existieren eine Menge an Datenformate f¨ ur Plattform-Dienste. Darum ist es schwieriger, ohne einen einheitlichen Standard die Plattformunabh¨angigkeit zu gew¨ahrleisten. Es m¨ ussen also Strategien entwickelt werden, damit Anwendungen auf PaaS-Produkten denkbar und m¨oglich sind. Applikationen in Windows Azure sind nicht kompatibel zur Google AppEngine, da diese weder Datenbank-Services noch .NET-Anwendungen anbieten [Jus11]. Aufgrund der Menge an Daten im Netz ist es problematisch, Hard- und Softwaresysteme unterschiedlicher Hersteller untereinander und miteinander kommunizieren und zusammenarbeiten zu lassen. Deshalb stellt Software-as-a-Service (SaaS) das eigentlich gr¨oßte Problem dar, denn es ist nicht denkbar, dass aus verschiedenen Portalen die Daten importiert und exportiert werden. Außerdem kann der Anwender auch nicht erwarten, dass Softwareservices Datenextraktion2 darreichen [Jus11].

1

2

Das Amazon Machine Image ist ein spezielles Mittel, um virtuelle Maschinen mit der Amazon Elastic Compute Cloud zu instanziieren. Datenextraktion bedeutet die Herausfilterung bestimmter Daten.

15

3.2 Organisationen zur Standardfindung Im n¨achsten Abschnitt werden die wesentlichen Institutionen dargestellt, die sich mit Projekten zur einheitlichen Standardfindung besch¨aftigen. Diese sollen vor allem der besseren Kommunikation in Cloud-Diensten dienen. Viele Organisationen arbeiten schon an konkreten L¨osungen [Sch11, Pli11, Tec09]. In Tabelle 3.1 sind die wichtigsten Standardisierungsorganisationen weltweit dargestellt.

International

Allgemein

Cloud Computing

ISO, NIST

CSA, OASIS, OCC, OGF,

TM-Forum,

DMTF, SNIA, IEEE, W3C, IETF Europa

ETSI

EuroCloud

Deutschland

DIN

EuroCloud

Deutsch-

land Tabelle 3.1: Wichtige Standardisierungsorganisationen

NIST Die USA war der Vorreiter f¨ ur Sicherheitsbestrebungen im Cloud Computing-Sektor. Als erstes Gremium hat das National Institute of Standards and Technology (NIST) des amerikanischen Wirtschaftsministeriums eine Standardisierungsplan erarbeitet und eine Referenzarchitektur entwickelt. Das Institut lehnt sich auch an die Entwicklungen der Cloud Security Alliance (CSA) und dem Open Grid Forum (OGF) an. Das Ergebnis der Arbeiten der NIST sind in einem Dokument festgehalten. Die Europ¨aische Kommission orientiert sich derzeit bei ihren Cloud-Standardisierungsbem¨ uhungen an die Arbeiten der NIST [Pli11, Bc011, Jus11].

IEEE Die IEEE arbeitet eigentlich an Netzwerkstandards. Doch nun sind sie dabei, eine ¨ Design-Ubersicht und einen Standard f¨ ur interoperable Cloud-Dienste zu entwickeln und

16

nennt sich IEEE P2301. Inhalt dieses Projektes ist es, unterschiedliche Profile herauszufinden und zu beschreiben. Diese sollen es erm¨oglichen, Hard- sowie Software verschiedener Hersteller miteinander kommunizieren und laufen zu lassen und ebenfalls die Unabh¨angigkeit von Plattformen sicher zu stellen. Parallel dazu arbeitet die IEEEWorking-Group P2302 an festzulegenden Normen. Diese sollen die Voraussetzung daf¨ ur schaffen, dass mehrere Cloud-Dienste miteinander arbeiten. Das soll die Grundlage f¨ ur eine sogenannte Inter-Cloud3 werden. Bis ein solches Projekt verabschiedet wird, wird es wahrscheinlich eine ganze Zeit in Anspruch nehmen [Pli11, Jus11].

SIENA Die Standards and Interoperability for E-Infrastructure Implementation Initiative (SIENA) arbeitet derzeit an einem Projekt, welches sich mit einer einheitlichen europaweiten Cloud-Infrastruktur befasst. Dabei stehen sie in enger Verbindung mit den Normierungsgremien wie IEEE, NIST sowie dem OGF [Pli11].

OGF Das Open Grid Forum (OGF) besteht aus Entwicklern, Anwendern sowie H¨andlern, die sich schon im Bereich der Standardisierung des Grid Computings4 engagiert haben und immer noch an Entwicklungen arbeiten. 2006 wurde das OGF als eine Organisation aus dem B¨ undnis der Enterprise Grid Alliance und dem Global Grid Forum gegr¨ undet. Sie befassen sich mit dem Prozess der Standardfindung im Bereich des Grid- und Cloud Computing. Speziell im Bereich des Cloud Computings arbeitet OGF an einer Schnittstelle, die eine Interaktion mit einer Cloud-Infrastruktur erm¨oglicht. Hauptaufgabe ist ¨ es, dass der Nutzer in Form einer Fernverwaltung u ¨ber die Beschaffung, Uberwachung und Bestimmung von Cloud-Diensten entscheiden kann. Speziell daf¨ ur gibt es eine Arbeitsgruppe, welche sich aus den Zusammenschl¨ ussen gemeinschaftlicher Gruppen und f¨ uhrender Organisationen zusammensetzt. Daraufhin wurde das Open Cloud Consortium Interface (OCCI) entwickelt. Diese Schnittstelle soll f¨ ur den gesamten Ablauf einer Verwaltung von virtuellen Ma3 4

Bei der Inter-Cloud werden Ressourcen innerhalb des Cloud-Systems autonom verlagert. Grid Computing ist eine Form des verteilten Rechnens, bei der ein virtueller Supercomputer aus einem Cluster loser gekoppelter Computer erzeugt wird.

17

schinen genutzt werden. OCCI verwendet, wie auch Cloud Data Management Interface (CDMI), den State Transfer and Hypertext Transfer Protocol (REST) Standard. Dabei werden u ¨ber die Uniform Resource Locator (URL) die einzelnen Datenbest¨ande angesprochen. Interoperable Programme k¨onnen dann auch f¨ ur einheitliche Aufgaben ¨ zum Beispiel f¨ ur autonome Skalierungen und Uberwachungen von Anwendungen dargelegt werden. Das Open Cloud Consortium (OCC) ist eine wichtige Organisation hinsichtlich Standardisierungsbestrebungen. Sie besch¨aftigen sich mit Testumgebungen, in denen Ans¨atze f¨ ur die Virtualisierung von Netzwerkkomponenten u uft werden. Es werden f¨ ur ¨berpr¨ die Mitglieder dieser Institution Testumgebungen bereit gestellt, die eine ausgedehnte Cloud-Struktur enthalten. Dabei kann der Anwender dieses Dienstes unterschiedliche Handlungen des Cloud Computings testen. F¨ ur den Gebrauch der Leistungen werden von dem OCC Benchmarks angeboten. Damit k¨onnen Analysen auf Cloud-Strukturen durchgef¨ uhrt werden. Diese Entwicklung soll IaaS, PaaS und SaaS abdecken und unterst¨ utzen dabei On-Demand-Lieferung von Rechenleistungen [Sch11, Lexd, Lexc].

SNIA An Standards f¨ ur virtualisierte Speicher-Ressourcen und Storage-Systeme arbeitet derzeit die Storage Networking Industry Association (SNIA). Die genutzten Ressourcen und Systeme sollen an die Cloud-Umgebung angepasst werden. Die Suche nach einem Standard ist dabei auf Speichermittel u ¨ber das Netz begrenzt. Die SNIA nutzt ebenfalls wie die SIENA die Verbindung zu anderen Organisationen. Die SNIA hat eine Schnittstelle namens CDMI erarbeitet. Mit CDMI ist derzeit eine Schnittstelle auf dem Markt, welche die Verbindung zwischen den Storage-Ger¨aten und den Speichersystemen darstellt. So k¨onnen Nutzer eines Cloud-Dienstes zentral ihre Daten auf allen Speichersystemen bedienen. Die Schnittstelle ist in allen Architekturen des Cloud Computings, d.h. in der Public, Private sowie auch Hybrid Cloud einsetzbar [Sch11]. Die Schnittstelle kommt genau dann zum Einsatz, wenn der Anwender mit einer CloudVerwaltung in Verbindung tritt und soll dabei die Implemetierung von Cloud Storage vereinfachen. F¨ ur die Arbeit innerhalb der Cloud legt CDMI die Funktionalit¨at fest.

18

Das RESTful HTTP Protokoll5 stellt dabei die Grundlage der Schnittstelle dar. Das Interface erlaubt ein st¨andiges Lancieren von Datenbest¨anden und dient den Sicherheitseinstellungen im Cloud-Dienst. Gesichert werden die Daten, welche seitens des Kunden ¨ erstellt werden, durch eine best¨andige Authentifizierung und Verschl¨ usselung. Uber eine eindeutige Objekt-ID, die von vornherein angelegt wurde, erfolgt der Zugriff auf die Datenobjekte. Die Objekt-ID ist eine Zeichenkette mit Anforderungen f¨ ur das Generieren und Erlangen von eindeutigen Objekten. Jeder Anbieter der die Schnittstelle implementiert, ist in der Lage die Identifikation, ohne Konflikte mit anderen Anbietern, zu produzieren [Lexa, Sch11]. In Abbildung 3.1 ist die Datenspeicherschnittstelle f¨ ur die Cloud dargestellt. Metadaten Lese-/ Schreibprozesse

HTTP GET/PUT

System

Speicherort

Storage

Abfrage/ URL

ACL, Zugriff, Modifizierung

User Daten

DatenDienste

Anwendungsspezifisch

Abbildung 3.1: Storage-Schnittstelle f¨ ur die Cloud [Mi0] Der Nutzer hat mittels CDMI die M¨oglichkeit, den Speicher zu kontrollieren sowie deren Datencontainer zu verwalten. Viele der urspr¨ unglichen Angebote von Cloud-Storage konzentrieren sich derzeit auf einer Art Best Effort Qualit¨at der Dienste und ignorieren dabei die anderen Arten von Datendiensten. Cloud Storage-Kunden werden immer neue Anforderungen zum Beispiel an die Einrichtung von Backups u ¨ber spezielle Schnittstellen oder auch an die Bereitstellung von Datendienste stellen. Die SNIA bietet mit CDMI die M¨oglichkeit, die Notwendigkeit f¨ ur den Cloud-Storage anzusprechen. Ebenfalls nutzen Administrations- sowie Management-Anwendungen die Schnittstelle und verwalten Container, Zugriffsrechte und Informationen u ¨ber Kunden sowie Abrechnungsdaten. Erfolgt der Speicherzugriff mittels Protokollen wie File Transfer Protocol (FTP), Web-based Distributed Authoring and Versioning (WebDAV) sowie dem bekannten REST, dann ist CDMI aktiv und legt dabei s¨amtliche Storage- und Daten5

Das RESTful HTTP Protokoll ist ein Web Standard Protokoll.

19

dienste offen. Tats¨achlich ist CDMI zu einem allgeinemen Industriestandard geworden, der allerdings noch nicht alle Provider f¨ ur sich gewinnen konnten [Mi0, SNI11]. Clients als Nutzer einer Storage-Schnittstelle Object Storage Client

Filesystem Client

XAM Client Database/Table Client

SNIA Cloud Data Management Interface (CDMI)

Block Storage Client Export in die Cloud

Verschiedene Schnittstellen

Container Container Storage Management Client

Table

Data Storage Cloud

Bezieht je nach Bedarf Ressourcen

CDMI

Datendienste Datendienste Datendienste Datendienste Datendienste Cloud Data Management

Clients verwalten Daten oder Storage

Zukünftige Zukünftige Informationsdienste Informationsdienste

Storage Dienste

Abbildung 3.2: Die Nutzung eines Data Storage Interface aus Client-Sicht [Mi0] Die Nutzung eines Data Storage Interface aus Client-Sicht ist in Abbildung 3.2 beschrieben. Das Modell zeigt unterschiedliche Arten von Cloud Storage-Schnittstellen die in der Lage sind verschiedene Anwendungen zu unterst¨ utzen. Die Schnittestellen erm¨oglichen die Daten bis Abruf zu lagern und dann aus einem Pool von Ressourcen herauszuziehen. Die Speicherkapazit¨at wird aus dem Pool der Kapazit¨aten gebildet, welche durch die Storage-Dienste zur Verf¨ ugung gestellt werden. Die Datendienste sind als individuelle Datenelemente angelegt, die durch die Metadaten bestimmt sind. Diese spezifizieren die Anforderungen anhand der individuellen Datenelemente oder einer Gruppe von Datenelementen, die sogenannten Container. CDMI umfasst verschiedene Funktionen, zum einen erlaubt die Schnittstelle Clients die verf¨ ugbaren Ressourcen im Speicher aufzufinden und Container mit deren Daten zu verwalten. Zum anderen erlaubt CDMI Metadaten mit den Containern untereinander zu verbinden.

20

Die Spezifikation von CDMI teilt die Operationen in zwei Typen ein. Der eine Teil verwendet HTTP und der andere Teil nicht. Die Schnittstelle definiert beide M¨oglichkeiten um Daten zu verwalten. Ebenso definiert CDMI die Funktion die Daten abzurufen und zu lagern. Der Teil, durch den der Speicher und Datenabruf ausgef¨ uhrt wird, wird als Data Path bezeichnet. Der andere Teil, mit dem die Daten verwaltet werden, wird als Control Path bezeichnet. Das besondere an CDMI ist, dass beide Teile in der Schnittstelle spezifiziert sind. Durch die Metadaten werden dar¨ uber hinaus Funktionen zusammen mit anderen Daten, z.B. wie lange sollen die Daten in der Cloud gespeichert werden, wie viele Kopien von Datenbest¨anden gemacht werden d¨ urfen, wann die Daten in der Cloud erstellt, gel¨oscht und aktualisiert wurden, u ¨ber CDMI gesichert und den Datencontainern zugewiesen. Unterst¨ utzt werden die Funktionen durch die exportierten Protokolle wie Block- oder File-Protokoll. Wenn die Implementierung auf ein zugrundeliegendes FileSystem zur Speicherung von Daten auf ein Block-Protokoll basiert, dann unterst¨ utzt der Container eine n¨ utzliche Darstellung der Metadaten. CDMI nutzt verschiedene Arten von Metadaten wie zum Beispiel die HTTP-Metadaten, Data System-Metadaten sowie User- und Storage-Metadaten. Die HTTP-Metadaten sind mit dem bekannten HTTP-Protokoll verwandt. Die Daten sind allerdings nicht mit dem internationalen Standard verbunden, sollten aber bez¨ uglich CDMI, welche den HTTP-Standard nutzt, angebracht werden. Die Data System-Metadaten werden von dem CDMI Client spezifiziert und legen die Anforderungen an die Daten fest, welche mit dem Datendienst verbunden sind. Diese Dienste werden im Cloud Storage-System eingesezt. Die Storage-Metadaten hingegen werden vom Storage-Dienst im System generiert, um n¨ utzliche Informationen u ¨ber den CDMI Client bereitzustellen. Die Clients in der Cloud und im Unternehmen u ¨bernehmen zus¨atzliche Aufgaben wie Datenverarbeitung und Speicherung. Cloud Computing stellt kein eindeutig definiertes Konzept, sondern ein Architekturprinzip dar. Um die Zweifel im Hinblick auf Sicherheit und Effizienz der Cloud auszur¨aumen, ist die Entwicklung solcher Standards wie CDMI unumg¨anglich und wird in naher Zukunft viel Zuspruch erhalten [Mi0, SNI11].

21

TM-Forum und CSI F¨ ur Umsetzungen im IT-Dienstleistungssektor ist das TM-Forum ein aufstrebender Industrieverein. Dabei werden unter anderem durch verschiedene Initiativen angewiesene Standards aufgebracht. Die Cloud Service Initiative (CSI) ist eine solche Initiative, mit der das Forum im Hinblick auf Cloud-Standards zusammenarbeitet. In einem Dokument wurden bereits konkrete L¨osungen und IaaS-Anforderungen zu Papier gebracht. In diesem Dokument wird beschrieben, welche Anforderungen f¨ ur Anbieter eines CloudDienstes und deren technische Umsetzung besteht. Detailierte Informationen u ¨ber dieses Dokument sind leider nicht vorhanden, da es nur Mitarbeitern des TM-Forums zug¨anglich ist [Sch11].

OASIS Die Organization for the Advancement of Structured Information Standards (OASIS) wurde im Jahr 1992 gegr¨ undet und hat den Hauptsitz in Boston. Zu den gel¨aufigsten Standards der OASIS geh¨oren der Extensible Markup Language (XML), sowie der Webservice-Standard. Im Bereich des Cloud Computings befasst sich die Organisation haupts¨achlich mit der Sicherheit. Die Organisation hat ein sogenanntes Identity in the Cloud Technical Commitee aufgestellt, welches sich grunds¨atzlich mit Sicherheitsstandards befasst. Daraus entstand die ID-Cloud, welche maßgeblich Auflagen f¨ ur das Indentit¨atsmanagement des Cloud Computings beinhaltet. Grund f¨ ur diese Entwicklung sei es, L¨ ucken in existierenden Identit¨atsmanagementstandards f¨ ur die Cloud entdecken und zu beheben [Sch11, Dr ].

22

DMTF Die Distributed Management Task Force (DMTF) ist eine Normierungsorganisation an der viele IT-Konzerne wie VMware, Microsoft, Dell, HP, IBM, um nur einige zu nennen, mitarbeiten. Insgesamt geh¨oren zu der DMTF ca. 200 Unternehmen. Die verschiedenen Hersteller und Anwender sind in verschiedenen Arbeitsgruppen unterteilt. Sie versuchen die Entwicklungen in den Bereichen der Interoparabilit¨at von Standards, sowie den Fortschritt f¨ ur das Systemmanagement in Unternehmens- und Internetumgebungen anzupassen. Ziel der derzeitigen Arbeiten der DMTF ist es, Kompatibilit¨atsprobleme zu vermeiden, sowie einheitliche Schnittstellen zwischen Cloud-Umgebungen zu erm¨oglichen. Daraufhin hat die DMTF 2009 einen Vorschlag gebracht. Sp¨ater allerdings ist der DMTF mit dem OVF ein großer Durchbruch gelungen [Wis, Ccm11].

Das Problem, vor dem wir heute stehen, ist, dass virtuelle Maschinen an eine spezielle ” Anwendung gekn¨ upft sind und oft sogar nur in Verbindung mit der richtigen Version laufen. Somit ist es schwierig, virtuelle Maschinen zu erstellen und zu vertreiben. Der neue Standard ist ein Weg, diese Problematik zu l¨osen.“ so Winston Bumpus, Pr¨asident der DMTF [Db2].

F¨ ur Virtuelle Maschinen6 soll erreicht werden, dass sie unter verschiedenen Virtualisierungsprogrammen zum Laufen gebracht werden, ganz gleich unter welcher Anwendung sie angefertigt wurde. Das OVF ist ein Standard f¨ ur virtuellen Maschinen, wie auch f¨ ur Speicher- und Netzwerkdaten. Das OVF ist zu einem offiziellen Standard durch die International Organization for Standardization (ISO) erkl¨art worden. Das Format soll einen Weg zur interoperablen Cloud-Infrastruktur ebnen. Schon existierende Standards der DMTF werden in einem Gesamtpaket zusammengefasst. Dabei sind alle notwendigen Daten, u ¨ber Konfiguration und Installation der Virtuelle Maschine (VM) in diesem Paket auf XML-Basis vorhanden. Das Format erm¨oglicht virtuellen Maschinen herausfinden, auf welcher Host-Plattform sie jeweils laufen. Eine automatische Leistungsanpassung ist somit m¨oglich. Außerdem beinhaltet OVF das Format of tar archives (TAR). Eigentlich ist das Format dazu entwickelt worden, um Daten auf Magnetb¨andern abzulegen. Jetzt gilt es als einheitliches Dateiformat f¨ ur virtuelle Maschinen. Durch Zunahme von 6

VM bezeichnet den Gesamtbegriff f¨ ur ein, in einer virtuellen Umgebung, laufendes virtuelles System. Das Betriebssystem ist dabei nicht auf der Hardware installiert.

23

Interoperabilit¨ats- und Portabilit¨atsstandards sollen die St¨arken und M¨oglichkeiten von virtuellen Umgebungen ausgesch¨opft werden. Laut DMTF ist das OVF ein: sicheres, ” portables, leistungsf¨ahiges und erweiterbares Format f¨ ur das Packaging und die Verteilung von Virtual-Appliances“. Das OVF beinhaltet eine Reihe an Vorteilen. Zum einen erm¨oglicht es, dass Daten u ¨berpr¨ uft werden k¨onnen. Programme sind in der Lage ihre Daten, mit denen sie arbeiten, zu kontrollieren. Dadurch kann jede Anwendung unterschiedliche Pakete ausf¨ uhren, aber nur, wenn die VM diesen Standard enth¨alt. Weiterhin ist es durch diesen Standard leichter Aufgaben von einem Server auf einen anderen zu transportieren. Der Provider muss nicht mehr in den Prozess einschreiten. Durch das OVF kann ein IT-Dienst, als eine Art Container, von einer Cloud-Umgebung in eine andere Umgebung geschafft werden. Dieser Standard findet viel Zuspruch bei derzeitigen Cloud-Anbietern und wird vermehrt eingesetzt [Pli11, Sch11, Mag, Db2, IR].

EuroCloud Die EuroCloud ist ein Verband von Cloud Computing-Service Anbietern. Die EuroCloud hat ein G¨ ute-Siegel f¨ ur Cloud-Dienste auf den Markt gebracht. Normen wie die ISO 2000 und SAS-70 gehen in die Bewertung von Cloud Computing-Services ein. Au¨erdem sind die technischen Sicherheitsmaßnahmen sowie die Einhaltung gesetzlicher Vorgaben ausschlaggebend. Um einen geeigneten Anbieter von Cloud-Diensten zu finden, sollte auf das Siegel der EuroCloud geachtet werden [Euc].

24

In Tabelle 3.2 werden ausgew¨ahlte Organisationen und deren Standards aufgezeigt. Organisation ISO

Standardisierungsbestrebung OVF,

SOA,

Anforderungen

an

Cloud-

Standardisierung NIST

Cloud

Computing-

Standardisierungsroadmap,

Referenzarchitekturen CSA OASIS

Standards im Bereich Sicherheit ID-Cloud, implizit relevante Standards (z. B. SAML, ODF, SOA)

OCC

Cloud Computing-Testumgebungen, Referenzimplementierungen

OGF TM-Forum

OCCI Cloud SLA, Cloud Security and Risk, Cloud Business Process Framework

DMTF

OVF, System Virtualization Management Standards VMAN

SNIA EuroCloud

CDMI umfangreicher Leitfaden zu Recht und Datenschutz

Tabelle 3.2: Relevante Standardisierungsbestrebungen f¨ ur das Cloud Computing

25

3.3 Hersteller zur Standardfindung Um auf dem IT-Markt weit vorn zu agieren, sind auch Hersteller dabei, eigene Standards, vor allem einheitliche Schnittstellen, zu entwickeln. Im weiteren Verlauf werden drei Unternehmen vorgestellt, VMware, Oracle und Red Hat Linux. Sie haben bereits einheitliche APIs entwickelt und auf den Markt gebracht.

VMware In den letzten Jahren ist das Interesse an Cloud Computing stark gewachsen. Immer mehr Unternehmen arbeiten an effizienten Cloud-L¨osungen, so auch VMware, eines der f¨ uhrenden Unternehmen im Bereich des Cloud Computings. Hohe Anforderung wie Reaktionsschnelligkeit und Flexibilit¨at sind das Maß an eine IT-Anwendung. Allerdings sind viele Unternehmen noch im R¨ uckstand, um auf dem derzeitigen IT-Markt zu bestehen. Um diesen gesch¨aftlichen Anforderungen gerecht zu werden, stellt Cloud Computing eine durchaus flexiblere, effiziente, wie auch kosteng¨ unstigere L¨osung bereit und nennt sich IT as a Service, wie in Abschnitt 2.1 erl¨autert wurde. An dieser Stelle setzt das Unternehmen VMware ein und stellt L¨osungen vor, die die F¨ahigkeiten der Cloud aussnutzen und zugleich Sicherheit gew¨ahrleisten soll. Der Marktf¨ uhrer im Bereich Virtualisierung hat eine Programmierschnittstelle entwickelte, die einen Weg zur Cloud-Infrastruktur bereitstellt. Grund daf¨ ur war es, dass Unternehmen immer mehr das Vorhaben verfolgten, auf VMware-basierte o¨ffentliche und private Clouds aufzubauen. Durch die vCloud-API soll es nun auch unabh¨angigen Softwareanbietern m¨oglich sein, Anwendungen auf eine Implementierung von VMware vCloud Director hochzuladen, bereitzustellen und zu skalieren. Dadurch k¨onnen Softwareanbieter durch die API Cloud-Daten in allen drei Cloud-Architekturen nutzen. Die API verwendet das OVF um Speicher bereitzustellen und Kompatibilit¨at zu bieten und erlaubt das Runter- sowie Hochladen und Erzeugen von vApps7 . Die vCloud-API nutzt das bekannte REST-Protokoll und stellt eine komplette virtuelle Schnittstelle dar und bietet anderen Schnittstellen, unabh¨angiger Cloud-Systeme, zusammenzuarbeiten. ¨ Uber die API kann in einem Cloud-Dienst ausschließlich die virtuelle Anordnung aufgezeigt werden. Vorteilhaft gegen¨ uber anderen Schnittstellen ist die geradezu schlichte Implementierung und einfache Handhabung f¨ ur den Nutzer [VMw, Pli11]. 7

vApps sind virtuelle Anwendungen (virtual Application).

26

Oracle Oracle ist eines der weltweit gr¨oßten Unternehmen im Bereich Softwareherstellung mit Hauptsitz in Kalifornien. Mit der Oracle Cloud API hat das Unternehmen Oracle eine eigene Schnittstelle f¨ ur Cloud-Umgebungen entwickelt und der DMTF vorgelegt. Die API soll die M¨oglichkeit bieten, Cloud-Infrastrukturen verwalten zu k¨onnen. Viele Unternehmen wollen nicht nur einen Anbieter von Cloud-Diensten nutzen. Daher sind interoperable Cloud-Dienste unverzichtbar geworden. Ziel der Oracle Cloud API ist es, dass unterschiedliche Clouds miteinander kommunizieren, sowie Workloads untereinander ausgetauscht werden k¨onnen. Durch die Schnittstelle bekommt der Nutzer nur f¨ ur ihn relevante Daten zu sehen. Das bedeutet in diesem Fall, dass ihm Informationen u ¨ber Konfigurationseinstellungen von unterschiedlichen Anbietern nicht gezeigt werden. Damit ist es dem Nutzer gegeben, einen virtuellen Server auf verschiedenen Plattformen starten zu lassen. Die Oracle Cloud API besteht aus einem Protokoll, welches auf dem bekannten Standard f¨ ur Datenkommunikation, dem REST-Protokoll, aufgebaut ist. Das Protokoll wird dahingehend benutzt, um verschiedene Daten in Verbindung treten zu lassen. Die Verbindung zwischen Speichereinheiten oder virtuellen Maschinen wird im zweiten Teil der Schnittstelle beschreiben. Oracle-Produktmanager Wang erkl¨arte: In dem API-Standard werden diese als logische Einheiten repr¨asentiert, so dass man ” darauf zugreifen kann, ohne die Details der physischen Architektur verstehen zu m¨ ussen.“ Oracle strebt das Ziel an, dass die API ein internationaler einheitlicher Standard f¨ ur Cloud-Schnittstellen in der IaaS werden soll [LD10, Sch10, Pli11].

Red Hat Linux Mit dem Open-Source-Projekt Deltacloud hat die Organisation Red Hat beschlossen, eine einheitliche Schnittstelle zu definieren, welche als Adapter f¨ ur wichtige private, als auch o¨ffentliche Clouds dienen soll. Deltacloud nutzt, wie auch die Oracle Cloud API und vCloud-API von VMware, das REST-Protokoll f¨ ur Webservices. Dar¨ uber lassen sich verschiedene Daten der Cloud-Anbieter verwalten. F¨ ur die Deltacloud-API sind Implementierungen f¨ ur Amazon, Eucalyptus, Go Grid, IBM, Microsoft, Open Stack und Rackspace vorhanden. 2010 wurde dann die API an die Apache Software Foundation u ¨berreicht. Aus unterschiedlichen Unternehmen arbeiteten viele Beteiligte an dem nun genannten Apache Deltacloud -Projekt weiter [Lut11, Pli11].

27

Standardisierungsbestrebungen sind besonders richtungsweisend f¨ ur den Sicherheitsaspekt des Cloud Computings. Es muss ein Grundstein gelegt werden, dass Cloud-Umgebungen besser gesch¨ utzt werden. Die zuvor beschriebenen Sicherheitsbestrebungen der unterschiedlichen Organisationen sind Bestandteil der derzeitigen Arbeit an stabile und sichere Cloud-L¨osungen [Amy12]. Jeder der einen Cloud-Dienst nutzen m¨ochte, will von dem Anbieter wissen welche Sicherheitsvorkehrungen getroffen wurden, damit die Daten sicher in der Cloud gelagert werden k¨onnen. Dabei wird nat¨ urlich ein hohes Maß an Schutz gefordert. Der Nutzer muss dem Cloud-Dienst Anbieter vertrauen, wenn er die Daten in eine o¨ffentliche Cloud gibt, denn er kann den Speicherort seiner Daten nicht weiter verfolgen. Im folgenden Kapitel werden die Gefahren des Cloud Computings im Bezug auf Sicherheitsstandards behandelt. Dabei werden die Anforderungen betrachtet, welche im Bereich Sicherheit zu beachten sind und welche L¨osungen es bereits zu diesem Thema gibt.

28

4 Sicherheitsstandards fu ¨r das Cloud Computing Staatssekret¨ar Hans-Joachim Otto erkl¨arte auf der CeBit 2012 : Cloud Computing ist ” ein großer Markt mit erheblichem Wachstumspotenzial. Allerdings kann dieses Potenzial nur dann ausgesch¨opft werden, wenn geeignete Rahmenbedingungen vorliegen. Die Normung und Standardisierung des Cloud Computing ist hier entscheidend. Deshalb setze ich mich daf¨ ur ein, dass die deutsche Wirtschaft zu einer Standardisierungs-Roadmap beim Cloud Computing gelangt.“ Bei der Sicherheit im Netz spielen Standards eine große Rolle. In vielen Firmen steht das Thema Sicherheit ganz oben auf der Liste, denn die Risiken im Bereich Nutzung von Informations- und Kommunikationstechnologien sind bekannt. Allerdings sind in der Umsetzung solcher Sicherheitsstandards noch große Reserven zu finden [Dn012].

4.1 Sicherheitsstandards Das Thema Sicherheitsstandard im Cloud Computing-Sektor ist stark umstritten und wird derzeit ausgiebig diskutiert. Nutzer eines Cloud-Dienstes legen großen Wert auf Sicherheitsmaßnahmen seitens des Anbieters. Doch viele Provider sehen dieses Thema als unbedenklich und zweitrangig an, da es zur Zeit keine einheitlichen und vorgeschriebenen Sicherheitsrichtlinien gibt. Die unterschiedlichen Services des Cloud Computings m¨ ussen im Bereich Sicherheit voneinander abgegrenzt werden, denn nicht jeder Service stellt das gleiche Sicherheitsrisiko dar. Dabei unterscheiden wir IaaS, PaaS und SaaS. F¨ ur alle drei Modelle existieren verschiedene Anforderungen und Bedingungen an die Sicherheit. Da die Daten nicht mehr

29

auf den eigenen Server liegen, sondern in der Wolke ausgelagert sind, sind wichtige Informationen u ur ¨ber deren Existenz nicht mehr vorhanden. Bester Anwendungsfall daf¨ ist, dass zum Beispiel die IP-Adresse eines Kunden im Speicher verbleibt, sobald er eine neue IP-Adresse bekommt. Dadurch k¨onnte ein Angreifer sich die alte IP-Adresse des Kunden beschaffen und damit versuchen, an private Daten zu gelangen, diese zu manipulieren oder gar zu vernichten. Die Datenintegrit¨at ist einer von vielen Aspekten der Sicherheit des Cloud Computings. Die Daten der Kunden sollten angemessen verschl¨ usselt sein, denn es muss sichergestellt werden, dass Daten des einen Kunden ausreichend von den Daten der anderen Kunden getrennt sind. Ein weiterer wichtiger Aspekt im Bereich Sicherheit ist die Datenverf¨ ugbarkeit. Der Anbieter sollte ein Wiederherstellungsverfahren bereitstellen, damit keine Datens¨atz verloren gehen. Ist das jedoch der Fall, muss der Anbieter sofort reagieren und eine sogenannte Sicherheitskopie darlegen. Dem Kunden muss garantiert werden, dass die Daten verf¨ ugbar bleiben oder der Kunde die M¨oglichkeit bekommt, seine Daten rechtzeitig auf ein externes Medium zu speichern. Die CSA ist eine nicht kommerzielle Organisation, die sich dem Bereich der Sicherheit in Cloud Computing-Systemen widmet. Sie versuchen, Cloud-Umgebungen besser abzusichern, um Cloud-Dienste f¨ ur Kunden ansprechender zu machen. Die CSA organisiert spezielle Trainings f¨ ur Unternehmen, um sie u ¨ber Risiken und L¨osungen im Bereich der Cloud-Nutzung aufzukl¨aren. Dadurch kann eine Sensibilisierung f¨ ur den Bereich Sicherheit erlangt werden. Es soll also erreicht werden, dass sich die Nutzer von Cloud-Diensten an die Cloud Security-Standards halten. Dabei wird seitens der CSA die Identit¨at und das Zugangsmanagement in die Bereiche Identit¨atsbeschaffung, Authentifizierung, F¨oderation, Zugangskontrolle und Identity as a Service (IDaaS) eingeteilt [Sch11, Pli11].

Identit¨ atsbeschaffung Die Identit¨atsbeschaffung befasst sich mit der Verteilung und Freigabe von CloudDiensten. Es ist sinnvoll, dass der Kunde sich durch ein sicheres Nutzerkonto identifizieren kann. F¨ ur eine solche Benutzerverwaltung gibt es auf den Markt einige Standards, die sich auch f¨ ur einen Cloud-Dienst eignen und Verwendung finden w¨ urden. Ein bekannter Standard ist die Service Provisioning Markup Language (SPML). Dieser Standard ist f¨ ur eine Benutzerverwaltung geeignet. Ben¨otigt wird dazu ein Dienst, der einen Kunden genau identifizieren kann. Ob dieser Dienst seitens des Anbieters gestellt

30

wird oder der Anwender selbst diesen Dienst f¨ ur sich stellt, spielt dabei keine Rolle. Eine SSL-Verschl¨ usselung zum Beispiel k¨onnte den Datenverkehr zwischen Provider und Nutzer sichern. F¨ ur den Benutzer des Cloud-Dienstes ist es von Vorteil, sich an eine Standardumsetzung bez¨ uglich Identit¨atsbeschaffung zu richten [Sch11, Pli11].

Authentifizierung Der zweite Bereich ist die Authentifizierung, bei der sich der Nutzer identifizieren muss, um Zugang zu einem Cloud-Dienst beziehungsweise zu seinen Daten zu bekommen. Die Authentifizierung eines Nutzers entscheidet dar¨ uber, ob er dazu berechtigt ist, diesen Dienst zu nutzen. Der Anbieter des Cloud-Diensten muss dem Nutzer gew¨ahrleisten k¨onnen, dass deren Passw¨orter ausreichend gesch¨ utzt sind. Er muss ebenfalls Vorkehrungen treffen, um Angriffe wie Brute Force und Phishing zu verhindern. Diese Aspekte sollten allerdings selbstverst¨andlich f¨ ur solche Internetdienste sein. L¨osungen f¨ ur eine sichere und korrekte Authentifizierung ist eine Virtual Private Network (VPN)Verbindung [Sch11].

F¨ oderation Der dritte Aspekt, welcher zu betrachten ist, ist die F¨oderation. Der Anbieter eines Cloud-Dinstes hat damit die M¨oglichkeit mit einem Dienst zu kommunizieren, welcher Aufschluss u uber ¨ber die Identit¨at der Kunden geben soll und damit Informationen dar¨ auszutauschen. Es erfordert durchaus nur eine einmalige Authentifizierung des Nutzers. Solche Bef¨ahigungen sind n¨otig um eine Kommunikation innerhalb von Cloud-Diensten zu erlauben. Es existieren eine Reihe an Standards, beispielsweise werden Security Assertion Markup Language (SAML) und Web Services-Federation eingesetzt. F¨ ur private Clouds hingegen kann VPN verwendet werden [Sch11].

Zugangsberechtigung Zugangsberechtigungen werden unterschiedlich vergeben. Zum einen kann der private Nutzer Rechte und Einschr¨ankungen selbstst¨andig anpassen, der dienstliche Nutzer hingegen bekommt die Rechte durch die Firma selbst, die sich eigens um die Verwaltung der Daten k¨ ummern [Sch11].

31

Identity as a Service Die IDaaS stellt die gesamte Funktion zur Verwaltung der Identit¨aten dar. Wie in den oberen Abschnitten erw¨ahnt, m¨ ussen alle Sicherheitsvorkehrungen getroffen werden, sei es seitens der Firma f¨ ur deren Mitarbeiter und Kunden die dar¨ uber hinaus einen CloudDienst nutzen, aber auch seitens des Anbieters f¨ ur Kunden, welche privat einen CloudDienst in Anspruch nehmen. Dabei sollte ein zuverl¨assiger Umgang mit allen Daten, auch firmeninterne Strukturen, garantiert und gesch¨ utzt werden. Außerdem m¨ ussen gewisse Daten bereit stehen, um einen bestimmten Dienst nutzen zu k¨onnen. Dabei kann f¨ ur den Austausch wichtiger Daten und f¨ ur die Authentifizierung OpenID als Schnittstelle verwendet werden [Sch11]. Es existieren zahlreiche M¨oglichkeiten, um die Sicherheit aller Art im Bereich des Cloud Computings zu gew¨ahrleisten. Allerdings m¨ ussen die meisten Anbieter von Cloud-Diensten ihre Priorit¨at auf Datenschutz und Datenintegrit¨at legen, denn dort gilt es noch viele L¨ ucken zu schließen. Um immer mehr Kosten zu sparen, entscheiden sich viele Unternehmen, aber auch Privatanwender, f¨ ur die Nutzung eines Cloud-Dienstes. Die Kunden wollen sicher sein, dass die Daten gut gesch¨ utzt sind und ein On-Demand-Service sicher genutzt werden kann. Sicherheitsstandards sind dahingehend unverzichtbar geworden. Doch zur Zeit gibt es keine einheitlichen Richtlinien f¨ ur Cloud-Dienste. Das f¨ uhrt dazu, dass sich viele Unternehmen noch gegen die Nutzung eines Cloud-Dienstes aussprechen. Es fehlen dabei Informationen u ¨ber Methoden und Schutzmaßnahmen um Sicherheit zu gew¨ahrleisten. Es gibt derzeit eine Reihe an Pr¨ uflinien, auf die sich Cloud-Anbieter st¨ utzen k¨onnen, um CloudUmgebungen ausreichend zu sch¨ utzen. Allerdings sind dies keine dauerhaften L¨osungen, denn Unternehmen wie auch Privatanwender sollten sich auf die Grundz¨ uge der Cloud-Sicherheit konzentrieren, welche in den vorherigen Abschnitten genauer erl¨autert wurden [Amy12].

32

5 Fazit Cloud Computing wird in den n¨achsten Jahren zu einem Milliardenmarkt heranwachsen. Unternehmen wie auch Privatanwender werden immer mehr auf Cloud-Dienste umsteigen. Dadurch verspricht sich der IT-Dienstleistungssektor eine hohe Kostenersparnis. Viele fragen sich allerdings, ob sich die Nutzung eines Cloud-Dienstes u ¨berhaupt lohnt. Der zweite wichtige Aspekt in diesem Zusammenhang ist die Frage nach der Sicherheit der Daten. Wie kann der Provider gew¨ahrleisten, dass die Daten ausreichend gesch¨ utzt werden, sei es vor Verlust, Missbrauch oder gar Manipulation. Eines der gr¨oßten Probleme ist das sogenannte Vendor Lock-in des Cloud Computings. Anbieter von Cloud-Diensten machen es den Anwendern unm¨oglich zu einem anderem Anbieter zu wechseln. Sie versuchen ihren Dienst so einzurichten, dass der Kunde nicht die M¨oglichkeit bekommt, Angebote von Anderen nutzen zu k¨onnen und versuchen so den Kunden an ihr Unternehmen zu binden. F¨ ur Cloud-Anbieter ist dies ein sehr vorteilhaftes Verfahren, denn je mehr Kunden diesen Dienst nutzen, desto mehr k¨onnen sie auf den Markt bestehen. Doch das Vendor Lock-in wird sich herum sprechen und Neukunden abschrecken. Damit Cloud Computing auch das h¨alt, was es verspricht und um sich weiter auf den Markt durchsetzen zu k¨onnen, gilt es, Dienste sowie Schnittstellen zu standardisieren. So kann das Vendor Lock-in vermieden werden und der Kunde Dienste von unterschiedlichen Providern verwenden. Standards w¨ urden den Cloud Computing-Markt maßgeblich vereinfachen und f¨ ur Unternehmen wie auch Privatanwender attraktiver erscheinen. Auch werden zunehmend die vielen Angebote an Cloud-Dienste immer anziehender f¨ ur Angreifer, da die Fragen bez¨ uglich Sicherheitsmaßnahmen, Informationssicherheit und Datenschutz unzureichend gekl¨art sind. Es wird dahingehend in naher Zukunft n¨otig sein, international einheitliche Standards im Bezug auf Sicherheit auszuarbeiten und aufzustellen. Nur so kann das n¨otige Vertrauen gen¨ uber den Cloud-Anbietern entstehen, wenn ausreichende Zertifizierungen vorhanden sind. Zukunftsweisend f¨ ur den Cloud

33

Computing-Sektor ist die Arbeit der Organisationen, die sich mit dem Prozess der Standardisierung auseinandersetzen und mit anderen Organisationen zusammenarbeiten, um Cloud Computing f¨ ur Anwender zu vereinfachen und den Markt dahingehend zu entwickeln, dass Cloud Computing zu einem sicheren Zweig in der Informationstechnologie wird. Bestes Beispiel dazu ist das Zusammenwirken von SNIA und OGF, denn sie haben zwei Schnittstellen entwickelt [Sch11, Man09, Inf]. Abschließend ist zu sagen, dass sich in den n¨achsten Jahren voraussichtlich eine zufriedenstellende Branche des Cloud Computings entwickeln wird, denn es existieren zahlreiche ernstzunehmende Standardisierungsbestrebungen.

34

Literaturverzeichnis [Amy12] Amy Larsen DeCarlo, Ralph Beuth, Florian Karlstetter: Die Sicherung der Cloud: Die Notwendigkeit von Cloud Computing Sicherheitsstandards.

http://www.searchcloudcomputing.de/sicherheit/

recht-und-datenschutz/articles/352177/index2. Version: Februar 2012 [Bc011] NIST Cloud Computing Referenzarchitektur. http://www.businesscloud. de/?p=1459. Version: Oktober 2011 [Ccm11] Standard-Cloud

Management-Schnittstelle

etablieren.

www.

cloudcomputingmagazin.de. Version: November 2011 [Chr10] Christian Braun, Marcel Kunze, Jens Nimis, Stefan Tai: Cloud Computing: Webbasierte Dynamische IT-Services. Springer, 2010 [Db2]

Virtuelle

Maschinen

werden

standardisiert.

http:

//www.digital-business-magazin.de/db/news/ virtuelle-maschinen-werden-standardisiert [Dn012] Standards bei Cloud Computing forcieren - IT-Sicherheitsl¨ ucken schließen.

http://www.die-news.de/include.php?path=content/articles. ˇ 2012 php\&contentid=146526. Version: MSrz

[Dr ]

Dr Rainer Bernnat, Dr Wolfgang Zink, Dr Nicolai Bieber, Joachim Strach: Das Normungs- und Standardisierungsumfeld von Cloud Computing, Booz Company, Abschlussbericht

[Euc]

Die EuroCloud. http://www.eurocloud.de/ueber-uns/

[Inf]

Informationstechnik, Bundesamt f¨ ur Sicherheit in d.: Sicherheitsempfehlung f¨ ur Cloud Computing-Anbieter.

35

[Inf09]

Informationstechnik, Bundesamt f¨ ur Sicherheit in d.: Cloud Computing Grundlagen.

www.bsi.bund.de/DE/Themen/CloudComputing/Grundlagen/

Grundlagennode.html. Version: 2009 [IR]

OVF:

IT-Republik: tualisierung.

Neuer

Standard

f¨ ur

die

Vir-

http://it-republik.de/jaxenter/news/

OVF-Neuer-Standard-fuer-die-Virtualisierung-045216.html [Jus11]

Justin Traum

Standards

Foster: und

f¨ ur

Wirklichkeit.

Cloud

Computing:

http://blog.trendmicro.de/

standards-fuer-cloud-computing-traum-und-wirklichkeit/ T1iP-1GqdQa. Version: November 2011 [LD10]

Larry

Florian

Dignan,

Standardisierung

K.:

vor.

Oracle

legt

Cloud

API

zur

http://www.zdnet.de/news/41540166/

oracle-legt-cloud-api-zur-standardisierung-vor.htm. Version: November 2010 [Lec09]

Lechler, Dominik: Rechnen in der Wolke. http://www.stern.de/digital/ online/it-trend-cloud-computing-rechnen-in-der-wolke-656991. html. Version: 2009

[Lexa]

Lexikon,

IT-Wissen:

terface).

CDMI

(cloud

data

management

in-

http://www.itwissen.info/definition/lexikon/

CDMI-cloud-data-management-interface.html [Lexb]

Lexikon, IT-Wissen:

Cloud Computing.

http://www.itwissen.info/

definition/lexikon/Cloud-Computing.html [Lexc]

Lexikon, terface).

IT-Wissen:

OCCI

(Open

Cloud

Computing

In-

http://www.itwissen.info/definition/lexikon/

OCCI-open-cloud-computing-interface.html [Lexd]

Lexikon, IT-Wissen: OGF (open grid forum). http://www.itwissen.info/ definition/lexikon/OGF-open-grid-forum.html

[Lexe]

Lexikon, vice.

IT-Wissen:

Platform

as

a

Ser-

http://www.itwissen.info/definition/lexikon/

PaaS-platform-as-a-service-Platform-as-a-Service.html

36

[Lut11] Lutterkort, David:

Clouds braucht offene Standards.

terwoche (2011), Juni, 1.

In: Compu-

http://www.computerwoche.de/management/

cloud-computing/2488243/ [Mag]

SaaS:

Magazin, ren.

Standard-Cloud

Management-Schnittstelle

etablie-

http://www.saasmagazin.de/saasondemandmarkt/unternehmen/

orange-business-services300311.html [Man09] Manhart, Klaus: Zur Rolle von SLAs. http://www.computerwoche.de/ management/cloud-computing/1911722/. Version: November 2009 [Mi0]

; manage it (Veranst.):

Standards bringen Cloud Storage besser vorran.

file:///Users/bleientejp/Desktop/20100708r%20SNIA%20Standards% 20fr%20Cloud%20Storage.webarchive [Onl]

Online, gen

Heise:

Cloud

Umsatzsprung.

Computing:

Studie

prophezeit

kr¨afti-

http://www.heise.de/newsticker/meldung/

Cloud-Computing-Studie-prophezeit-kraeftigen-Umsatzsprung-1447437. html [Pli11]

Plieth,

Dr.

C.:

Cloud

Computing

braucht

Standards.

http://www.all-about-security.de/aus-den-unternehmen/ unternehmen-im-fokus/pironet-ndh-datacenter/kolumne/artikel/ 13055-cloud-computing-braucht-standards/. Version: Oktober 2011 [Sch10]

Schindler,

Martin:

Oracle

und

die

offenen

Cloud

API.

http://www.silicon.de/management/cio/0390440104154021900/ oracleunddieoffenecloudapi.htm. Version: November 2010 [Sch11]

Schaffrath, Patrick: Standardisierung in Cloud Computing, Diplomarbeit, 2011

[SNI11] SNIA: Informtion Technoloy - Cloud Data Management-Schnittstelle. (2011), September, S. 24–35 [Tec09]

Technologie, Normungs-

und

Bundesministerium

f¨ ur

Standardisierungsumfeld

Wirtschaft von

u.:

Cloud

Das Computing.

http://www.bmwi.de/BMWi/Redaktion/PDF/Publikationen/Studien/

37

normungs-und-standardisierungsumfeld-von-cloud-computing, property=pdf,bereich=bmwi,sprache=de,rwb=true.pdf. Version: 2009 [VMw]

VMware: Cloud L¨osungen f¨ ur Entwickler und ISVs. http://www.vmware. com/de/cloud-computing/developers-isvs

[Wis]

Wissensportal, InfoRapid:

Open Virtualization Format.

http://de.

inforapid.org/index.php?search=Open%20Virtualization%20Format

38

Eidesstattliche Erkl¨ arung Hiermit erkl¨are ich an Eides statt, dass ich die vorliegende Arbeit selbstst¨andig und ohne Benutzung anderer als der angegebenen Hilfsmittel angefertigt habe. Die aus den Quellen direkt oder indirekt u ¨bernommenen Gedanken sind als solche kenntlich gemacht. Die Arbeit hat mit gleichem bzw. in wesentlichen Teilen gleichem Inhalt noch keiner anderen Pr¨ ufungsbeh¨orde vorgelegen.

————————

————————

Ort, Datum

Unterschrift

39