Open Telekom Cloud für Geschäftskunden

Shared Responsibility

Vertrauensvolle Zusammenarbeit im Cloud-Geschäft

Shared Responsibility im Cloud Computing

Arbeitserleichterung ist ein zentrales Versprechen im Cloud Computing. So kümmert sich die Open Telekom Cloud permanent darum, dass die umfangreichen Ressourcen professionell in Rechenzentren verbaut und betrieben sind, sodass jederzeit genügend Kapazitäten für den elastischen Bedarf von Cloud-Anwendern vorgehalten werden und lässt diese Anstrengungen durch unabhängige Auditoren prüfen und testieren. Wenn es jedoch um die Verfügbarkeit, Integrität und Vertraulichkeit von Daten und Systemen geht, die Anwender in dieser Cloud betreiben, so sind diese auf eine vertrauensvolle Zusammenarbeit mit dem Cloud-Provider angewiesen. Diese Kooperation firmiert im Cloud-Geschäft als „Shared Responsibility Modell“. Dieser Beitrag erläutert, was dies für die beiden Partner bedeutet.

Shared Responsibility im Cloud Computing

Verantwortung hat viele Gesichter

Anwender wünschen sich zuverlässige Verfügbarkeit der Services, Compliance und Sicherheit. Um einen zuverlässigen Betrieb der Applikationen in der Cloud zu gewährleisten, sind alle Beteiligten gefragt, nicht nur der Betreiber der Cloud-Plattform. 

Aus dem Betrieb von Applikation in der Cloud ergeben sich diverse Verantwortlichkeiten, etwa die Sicherheitsziele Verfügbarkeit, Integrität und Vertraulichkeit, aber auch andere Compliance-Fragen, wie gesetzliche Vorgaben zum Datenschutz oder vertragliche Regelungen beim Einsatz lizensierter Software. Weitere typische Aspekte für die Verantwortungsübernahme sind die Kontrolle der Kosten, der Zugang zu den zugrundeliegenden Cloud-Ressourcen und der Schutz der Plattform. Dabei kann zwangsläufig nur derjenige Verantwortung über die Bereiche übernehmen, über die er auch Kontrolle ausüben kann. Wer kümmert sich also um was?

Shared Responsibility Model


Verantwortung des Cloud Providers

Die Deutsche Telekom gewährleistet die grundlegende Sicherheit der Open Telekom Cloud. Dies beginnt zunächst mit der allumfassenden IT-Governance. Hier werden beispielsweise das Informationssicherheits-Managementsystem (ISMS) und dazugehörige Prozesse und Methoden definiert, um Informationssicherheit im Unternehmen zu gewährleisten und kontinuierlich zu verbessern. Das ISMS lässt sich die Open Telekom Cloud auch durch die ISO27001 Zertifizierung von unabhängigen externen Auditoren auf dessen Wirksamkeit bestätigen. Weitere Informationen zu den Zertifizierungen der Open Telekom Cloud finden Sie hier.

Weiterhin liegt es in der Verantwortung der Open Telekom Cloud, die Sicherheit der Infrastruktur sicherzustellen. Die Sicherheit der Infrastruktur wiederum teilt sich in die physische Infrastruktur (Rechenzentrum) und die Infrastructure-as-a-Service (IaaS) Dienste der Open Telekom an sich auf. Hierbei werden die Rechenzentrumslokationen und die darin betriebenen Ressourcen umfassend geschützt – sowohl durch technische als auch organisatorische Maßnahmen. Weitere Informationen zur physischen Sicherheit der Rechenzentren der Open Telekom Cloud finden Sie hier.

Die Deutsche Telekom übernimmt zudem die Verantwortung für die Technikbasis (Infrastruktursicherheit, Plattformsicherheit und Anwendungssicherheit der Komponenten der Open Telekom Cloud): Sie sorgt dafür, dass Konsole, API und Plattform verfügbar sind. Dazu gehört, dass Kunden innerhalb der gewählten Region Zugriff auf virtualisierte und reale Cloud-Ressourcen haben, dass das Rechenzentrum-interne Netzwerk einwandfrei läuft und die Verwaltungsdienste der Open Telekom Cloud nutzbar sind.

Weitere umfassende Maßnahmen ergreift die Open Telekom Cloud auch in den Bereichen Identity und Access Management (IAM) sowie Audits. IAM beschreibt das Konzept des Identitätsmanagement. Dies wird in allen oben genannten Ebenen (Infrastruktur, Plattform und Anwendungssicherheit) umgesetzt, um einerseits die physischen Zutrittskontrolle zu den Rechenzentren, aber auch die logischen Zugangskontrollen zu den Systemkomponenten im Backend sicherzustellen. Somit ist gewährleistet, dass nur berechtigte Mitarbeiter Zugriff auf benötigte Komponenten erhalten, diese überwacht und protokolliert werden. So wird ein Zugriff auf Kundendaten durch Mitarbeiter ausgeschlossen. 

Alle oben genannten Maßnahmen der Open Telekom Cloud werden durch unabhängige externe Auditoren regelmäßig geprüft und deren Wirksamkeit bestätigt – beispielsweise durch den Service Organization Control 2 (SOC2) Standard zur umfassenden Kontrolle von Sicherheit, Verfügbarkeit, Integrität, Verarbeitung, Vertraulichkeit und Datenschutz. Weitere Informationen zu den Audit-Berichten der Open Telekom Cloud finden Sie hier.

Gemeinsame Verantwortung

Wie auch bei anderen Clouds üblich, greift die Open Telekom Cloud auf das Konzept der gemeinsamen Verantwortung (Shared Responsibility) zurück. Einfach gesagt: Jede beteiligte Partei an einem Cloud Service ist für ihren Einflussbereich verantwortlich. Bitte beachten Sie, dass sich das Modell der gemeinsamen Verantwortung abhängig von der Art des Cloud-Servicemodells ausprägt.

Infrastructure as a Service (IaaS) stellt dem Cloud-Nutzer virtualisierte Rechenkapazitäten, Speicher und teilweise auch Netzwerkkomponenten zur eigenen Verwaltung bereit. Der Cloud-Nutzer kann eigene Gast-Betriebssysteme nach Belieben installieren. Dadurch hat er Kontrolle über die darüber liegenden Plattformen, Anwendungen und Daten. Bei Platform as a Service (PaaS) hat der Cloud-Nutzer zwar keinen Zugriff auf Betriebssystem und Hardware, kann aber vom Cloud-Anbieter bereitgestellte standardisierte Schnittstellen beziehen. Typische Beispiele hierfür sind Datenbanken oder Entwicklungsumgebungen. Software as a Service (SaaS) stellt dem Cloud-Nutzer Anwendungen in der Cloud bereit. Ein Zugriff auf unterliegende Schichten ist nicht mehr möglich.

Ein Beispiel aus dem IaaS-Modell verdeutlicht dies: Zum Einrichten eines Elastic Cloud Servers stellt die Open Telekom Cloud eine virtuelle Maschine (VM) über einen Hypervisor bereit. Anwender bestücken sie mit einem initialen Betriebssystem-Image, weisen ihr Netze und Datenspeicher zu und verbinden sie mit dem Internet. Anschließend installieren die Anwender ihre Applikationen auf dieser VM.

In der Verantwortung des Providers liegt dabei die Bereitstellung des Hypervisors, der Netze in und bis zur Cloud, Speicher und Images. Für die geeignete Zusammenstellung der Ressourcen, den Netzzugang zur Cloud oder das so installierte Betriebssystem nebst installierten Bibliotheken, Werkzeugen oder Anwendungssoftware ist jedoch der Anwender verantwortlich. Dazu zählt beispielsweise auch das regelmäßige Einspielen von Sicherheitspatches und aktualisierten Softwareversionen, aber auch die generelle Berechtigungsverwaltung, Backup und Wiederherstellung und Überwachung der VM. 

Die Open Telekom Cloud unterstützt ihre Anwender, indem sie regelmäßig aktualisierte Images bereitstellt und Repositorys für Updates anbietet. Da aber vertragsgemäß die Open Telekom Cloud keinen Einblick in die virtuellen Server hat, ist der Anwender dafür verantwortlich, diese Angebote auch zu nutzen.

Plattform-Dienste nutzen

Ein wesentliches Argument für die Cloud besteht in der hohen Verfügbarkeit der Dienste. Doch dazu müssen alle Beteiligten ihren Beitrag leisten und die Angebote auch nutzen. Was passiert also, wenn auf der Infrastrukturebene einmal ein Server – aus welchem Grund auch immer -- ausfällt? Dazu besteht jede Region der Open Telekom Cloud aus mehreren Verfügbarkeitszonen (englisch Availability Zones, kurz AZ). Die Open Telekom Cloud sorgt dafür, dass ihre Services in mindestens einer AZ einer Region zur Verfügung stehen. Das ist im Abschnitt über Service Level Agreements (SLAs) in der Leistungsbeschreibung detailliert erläutert.

Um die redundanten Ressourcen in den jeweiligen Rechenzentren auch mit Anwendern im Internet zu verbinden, steht Cloud-Nutzern ein umfangreiches Instrumentarium zur Verfügung. Auto Scaling Groups stellen beispielsweise fest, wenn die Last auf einem Server so stark ansteigt, dass ein weiterer Server gestartet werden sollte. Load Balancer hingegen verteilen Last und Anfragen auf mehrere Server, die optimalerweise in unterschiedlichen AZs stehen. Bei manchen Diensten wie dem Object Store (OBS) ist die Verteilung der Daten auf mehrere Standorte innerhalb einer Region bereits eingebaut. 

Die gemeinsame Verantwortung besteht also darin, dass die Open Telekom Cloud als Provider diese Plattformdienste bereitstellt, wohingegen es die Aufgabe der Anwender ist, diese Angebote auch zu nutzen und entsprechend zu konfigurieren.

Gemeinsam Sicherheit schaffen

Gerade Sicherheit ist ein sensibler Bereich, der optimal gemeinsam erreicht wird. Auch hier stellt die Open Telekom Cloud viele Dienste bereit, wie etwa Security Groups (SG) zum Schutz einzelner Server, Firewall-as-a-Service (FWaaS) als Sicherheitsebene für Subnetze oder die Web Application Firewall (WAF), die auf Anwendungsebene schädliche Inhalte ausfiltert. Mit dem Key Management Service (KMS) erhalten Anwender die Option sensible Daten mithilfe dedizierter Hardware zu verschlüsseln, etwa von Daten-Volumes oder OBS-Speicher. Auch sind die Anwender in der Verantwortung, die angebotenen Dienste zu nutzen, um etwa im Identitätsmanagement (IAM) Rollen zu definieren und den passenden Gruppen und Benutzern zuzuweisen. Hier bietet die Open Telekom Cloud bereits vordefinierte Rollen, jedoch können Anwender auch benutzerspezifische Berechtigungen je nach Anforderungsprofil erstellen.

Insgesamt gilt der Grundsatz, dass die Open Telekom Cloud die Verantwortung für die dokumentierte Funktionsweise der Cloud-Dienste übernimmt. So sorgt die Virtualisierung der ECS-Instanzen für die Trennung zwischen einzelnen Workloads. Kommt jedoch ein Bare-Metal-Service zum Einsatz, garantiert der Cloud-Provider zwar die exklusive Nutzung dieses Servers, aber es obliegt dann dem Cloud-Anwender, für eine effektive Separation einer womöglich eingesetzten Virtualisierung selbst zu sorgen.

Technik und Prozesse

Erfahrene IT-Experten wissen, dass ganzheitliche Sicherheit nicht nur aus Technik, sondern auch aus Vereinbarungen und verlässlichen Abläufen besteht. Diese Compliance zu branchenüblichen Regelwerken und Empfehlungen dokumentieren die Zertifizierungen der Open Telekom Cloud nach vielen marktüblichen und branchenspezifischen Standards. Beispiele sind die ISO 2700x-Zertifizierungen zum Sicherheitsmanagement oder die TISAX-Zertifizierung für IT-Anwendungen in der vernetzten Automobilindustrie.

Diese Zertifizierungen dokumentieren beispielsweise, wie die Open Telekom Cloud dafür sorgt, dass keine Unbefugten Zutritt zu ihren Rechenzentren erhält, dass nur geschultes und ausgewähltes Personal die Wartung übernimmt oder wie die Energie- und Klimaversorgung geregelt ist. 

Anwender verantworten Anwendungen

Das Design eines IT-Setup über die Bausteine der Infrastruktur- und Plattformdienste hinaus obliegt zwangsläufig dem Cloud-Anwender. Das beginnt bereits mit einer für die Cloud geeigneten Architektur und geht weiter im Regelbetrieb der Anwendungen, etwa durch regelmäßige Backups, etwa mit Hilfe der Cloud Backups and Recovery (CBR) oder dem Einhalten von einschlägigen Datenschutzverordnungen. Zur Unterstützung stellt die Open Telekom Cloud dazu umfangreiche Dokumentation der Dienste sowie Best Practices, Schulungen und Zertifizierungen für Nutzer bereit.

Der Anwender ist jedoch als Betreiber seiner Applikation für diese verantwortlich. Das beinhaltet auch den Schutz vor der Verbreitung von Malware oder anderem Missbrauch der Plattform zum Nachteil anderer. Bei diesen Maßnahmen unterstützt die Open Telekom Cloud durch weitere Angebote wie einem abgesicherten E-Mail-Dienst, Anti-DDoS-Diensten oder dem Bereitstellen von Repositorys mit aktuellen Updates.

Über die technischen Aspekte hinaus obliegt es dem Anwender, auch organisatorische Maßnahmen aufsetzen, beispielsweise einen aktiven Informationskanal zu betreiben, über den er zeitnah aktuelle Informationen erhält. Gleiches gilt etwa für die rechtskonforme Lizensierung von Software.


Managed Services

Durch Cloud Computing werden Aufgaben und Verantwortlichkeiten von IT-Systemen und Ressourcen entlang der Grenze zwischen Applikationslogik und der zugrundeliegenden Plattform und Infrastruktur klar getrennt. Das entlastet Cloud-Anwender von vielen Arbeiten, die nicht zu ihrem Kerngeschäft gehören. Gleichwohl bleiben anwendungsbezogene Mitwirkungspflichten bestehen. Da diese spezifisch für die Anwendung sind, kann die Open Telekom Cloud als Anbieter einer generischen Plattform hier nur indirekt unterstützen. Anwender, die den Betrieb ihrer Anwendungen oder Teile davon nicht selbst übernehmen möchte, können die Dienstleistung von Managed Services in Betracht ziehen. Als standardisierte Cloud-Lösung stehen dazu am Markt viele Angebote bereit. Insbesondere bieten andere Units der T-Systems solche Managed Services. Sie sind mit den Anforderungen des Applikationsbetriebs und den Eigenschaften der Cloud-Plattform bestens vertraut.

Managed Services
24/7 Service
Nutzen Sie unser Beratungsangebot!

Kostenlos und durch Experten.

Wir beantworten Ihre Fragen zu Testmöglichkeit, Buchung und Nutzung – kostenfrei und individuell. Probieren Sie es aus!
Hotline: 24 Stunden am Tag, 7 Tage die Woche

0800 33 04477 aus Deutschland
+800 33 04 47 70 aus dem Ausland
  • Die Open Telekom Cloud Community

    Hier treffen sich Nutzer, Entwickler und Product Owner um sich zu helfen, auszutauschen und zu diskutieren.

    Jetzt entdecken

  • Telefon

    Kostenfreie Experten-Hotline

    Unsere zertifizierten Cloud-Experten stehen Ihnen mit persönlichem Service zur Seite.

    0800 33 04477 (aus Deutschland)

    +800 33 04 47 70 (aus dem Ausland)

    24 Stunden am Tag, 7 Tage die Woche

  • E-Mail

    Unser Kunden-Service steht Ihnen per E-Mail-Support kostenlos zur Verfügung.

    E-Mail schreiben