Open Telekom Cloud für Geschäftskunden

Shared Responsibility

Vertrauensvolle Zusammenarbeit im Cloud-Geschäft

Shared Responsibility im Cloud Computing

Arbeitserleichterung ist ein zentrales Versprechen des Cloud Computing. So kümmert sich die Open Telekom Cloud permanent darum, dass die umfangreichen Ressourcen professionell in Rechenzentren verbaut und betrieben sind, dass jederzeit genügend Kapazitäten für den elastischen Bedarf von Cloud-Anwendern vorgehalten werden und lässt diese Anstrengungen durch unabhängige Auditoren prüfen und testieren.
Wenn es jedoch um die Verfügbarkeit, Integrität und Vertraulichkeit von Daten und Systemen geht, die Anwender in dieser Cloud betreiben, so sind diese auf eine vertrauensvolle Zusammenarbeit mit dem Cloud-Provider angewiesen. Diese Kooperation firmiert im Cloud-Geschäft als „Shared Responsibility“. Dieser Beitrag erläutert, was dies für die beiden Partner bedeutet.

Shared Responsibility im Cloud Computing

Verantwortung hat viele Gesichter

Anwender wünschen sich zuverlässige Verfügbarkeit der Services, Compliance und Sicherheit. Um einen zuverlässigen Betrieb der Applikationen in der Cloud zu gewährleisten, sind alle Beteiligten gefragt, nicht nur der Betreiber der Cloud-Plattform. Aus dem Betrieb von Applikation in der Cloud ergeben sich diverse Verantwortlichkeiten, etwa die Sicherheitsziele Verfügbarkeit, Integrität und Vertraulichkeit, aber auch andere Compliance-Fragen wie gesetzliche Vorgaben zum Datenschutz oder vertragliche Regelungen beim Einsatz lizensierter Software. Weitere typische Aspekte für die Verantwortungsübernahme sind die Kontrolle der Kosten, der Zugang zu den zugrundeliegenden Cloud-Ressourcen und der Schutz der Plattform. Dabei kann zwangsläufig nur derjenige Verantwortung über Bereiche übernehmen, über die er auch Kontrolle ausüben kann. Wer kümmert sich also um was?

Shared Responsibility Model


Verantwortung des Cloud Providers

Die Deutsche Telekom gewährleistet die grundlegende Sicherheit der Cloud. Dazu schützt sie die Rechenzentrumslokationen und die darin betriebenen Ressourcen umfassend – sowohl durch technische als auch organisatorische Maßnahmen. Die Deutsche Telekom übernimmt zudem die Verantwortung für die Technikbasis: Sie sorgt dafür, dass Konsole, API und Plattform verfügbar sind. Dazu gehört, dass Kunden innerhalb der gewählten Region Zugriff auf virtualisierte und reale Cloud-Ressourcen haben, dass das RZ-interne Netzwerk einwandfrei läuft und die Verwaltungsdienste der Open Telekom Cloud nutzbar sind.

Geteilte Verantwortung

Wie auch bei anderen Clouds üblich, greift die Open Telekom Cloud auf das Konzept der geteilten Verantwortung (Shared Responsibility) zurück. Einfach gesagt: Jede beteiligte Partei an einem Cloud Service ist für ihren Einflussbereich verantwortlich. Ein Beispiel verdeutlicht dies: Zum Einrichten eines Elastic Cloud Servers stellt die Open Telekom Cloud eine virtuelle Maschine über einen Hypervisor bereit. Anwender bestücken sie mit einem initialen Betriebssystem-Image, weisen ihr Netze und Datenspeicher zu und verbinden sie mit dem Internet. Anschließend installieren die Anwender ihre Applikationen auf dieser VM.
In der Verantwortung des Providers liegt dabei die Bereitstellung des Hypervisors, der Netze, Speicher und Images. Für die geeignete Zusammenstellung der Ressourcen oder das so installierte Betriebssystem nebst installierten Bibliotheken, Werkzeugen oder Anwendungssoftware ist jedoch der Anwender verantwortlich. Dazu zählt beispielsweise auch das regelmäßige Einspielen von Sicherheitspatches und aktualisierten Softwareversionen. Dabei unterstützt die Open Telekom Cloud ihre Anwender, indem sie regelmäßig aktualisierte Images bereitstellt und Repositorys für Updates anbietet. Da aber vertragsgemäß die Open Telekom Cloud keinen Einblick in die virtuellen Server hat, ist es am Anwender, diese Angebote auch zu nutzen.

Plattform-Dienste nutzen

Ein wesentliches Argument für die Cloud besteht in der hohen Verfügbarkeit der Dienste. Doch dazu müssen alle Beteiligten ihren Beitrag leisten und die Angebote auch nutzen. Was passiert also, wenn auf der Infrastrukturebene einmal ein Server – aus welchem Grund auch immer -- ausfällt? Dazu besteht jede Region der Open Telekom Cloud aus mehreren Verfügbarkeitszonen (englisch Availability Zones, kurz AZ). Die Open Telekom Cloud sorgt dafür, dass ihre Services in mindestens einer AZ einer Region zur Verfügung stehen. Das ist im Abschnitt über Service Level Agreements (SLAs) in der Leistungsbeschreibung detailliert erläutert.
Um die redundanten Ressourcen in den jeweiligen Rechenzentren auch mit Anwendern im Internet zu verbinden, steht Cloud-Nutzern ein umfangreiches Instrumentarium zur Verfügung. Auto Scaling Groups stellen beispielsweise fest, wenn die Last auf einem Server so stark ansteigt, dass ein weiterer Server gestartet werden sollte. Load Balancer hingegen verteilen Last und Anfragen auf mehrere Server, die optimalerweise in unterschiedlichen AZs stehen. Bei manchen Diensten wie dem Object Store (OBS) ist die Verteilung der Daten auf mehrere Standorte bereits eingebaut.
Die geteilte Verantwortung besteht also darin, dass die Open Telekom Cloud als Provider diese Plattform dienste bereitstellt, wohingegen es die Aufgabe der Anwender ist, diese Angebote auch zu nutzen.

Gemeinsam Sicherheit schaffen

Gerade Sicherheit ist ein sensibler Bereich, der optimal gemeinsam erreicht wird. Auch hier stellt die Open Telekom Cloud viele Dienste bereit, wie etwa Security Groups (SG) zum Schutz einzelner Server, Firewall-as-a-Service (FWaaS), die sich um ganze Setups kümmert oder die Web Application Firewall (WAF), die auf Anwendungsebene schädliche Inhalte ausfiltert. Mit dem Key Management Service (KMS) erhalten Anwender die Option, besondere Credentials in dedizierter Hardware zu speichern, etwa zur Verschlüsselung von Daten-Volumes. Auch hier ist es an den Anwendern, die angebotenen Dienste zu nutzen, etwa im Identitätsmanagement Rollen zu definieren und den passenden Benutzern zuzuweisen.
Insgesamt gilt der Grundsatz, dass die Open Telekom Cloud die Verantwortung für die dokumentierte Funktionsweise der Cloud-Dienste übernimmt. So sorgt die Virtualisierung der ECS-Instanzen für die Trennung zwischen einzelnen Workloads. Kommt jedoch ein Bare-Metal-Service zum Einsatz, garantiert der Cloud-Provider zwar die exklusive Nutzung dieses Servers, aber es obliegt dann dem Cloud-Anwender, für eine effektive Separation einer womöglich eingesetzten Virtualisierung selbst zu sorgen.

Technik und Prozesse

Erfahrene IT-Experten wissen, dass ganzheitliche Sicherheit nicht nur aus Technik, sondern auch aus Vereinbarungen und verlässlichen Abläufen besteht. Diese Compliance zu branchenüblichen Regelwerken und Empfehlungen dokumentieren die Zertifizierungen der Open Telekom Cloud nach vielen marktüblichen und branchenspezifischen Standards. Beispiele sind die ISO 2700x-Zertifizierungen zum Sicherheitsmanagement oder die TISAX-Zertifizierung für IT-Anwendungen in der vernetzten Automobilindustrie.
Diese Zertifizierungen dokumentieren beispielsweise, wie die Open Telekom Cloud dafür sorgt, dass keine Unbefugten Zutritt zu ihren Rechenzentren erhält, dass nur geschultes und ausgewähltes Personal die Wartung übernimmt oder wie die Energie- und Klimaversorgung geregelt ist.

Anwender verantworten Anwendungen

Das Design eines IT-Setup über die Bausteine der Infrastruktur- und Plattformdienste hinaus obliegt zwangsläufig dem Cloud-Anwender. Das beginnt bereits mit einer für die Cloud geeigneten Architektur und geht weiter im Regelbetrieb der Anwendungen, etwa durch regelmäßige Backups, etwa mit Hilfe der Cloud Backups and Recovery (CBR) oder dem Einhalten von einschlägigen Datenschutzverordnungen. Zur Unterstützung stellt die Open Telekom Cloud dazu umfangreiche Dokumentation der Dienste sowie Best Practices, Schulungen und Zertifizierungen für Nutzer bereit.
Der Anwender ist jedoch als Betreiber seiner Applikation für diese verantwortlich. Das beinhaltet auch den Schutz vor der Verbreitung von Malware oder anderem Missbrauch der Plattform zum Nachteil anderer. Bei diesen Maßnahmen unterstützt die Open Telekom Cloud durch weitere Angebote wie einem abgesicherten E-Mail-Dienst, Anti-DDoS-Diensten oder dem Bereitstellen von Repositorys mit aktuellen Updates.
Über die technischen Aspekte hinaus obliegt es dem Anwender, auch organisatorische Maßnahmen aufsetzen, beispielsweise einen aktiven Informationskanal zu betreiben, über den er zeitnah aktuelle Informationen erhält. Gleiches gilt etwa für die rechtskonforme Lizensierung von Software.


Managed Services

Durch Cloud Computing werden Aufgaben und Verantwortlichkeiten von IT-Systemen und Ressourcen entlang der Grenze zwischen Applikationslogik und der zugrundeliegenden Plattform und Infrastruktur klar getrennt. Das entlastet Cloud-Anwender von vielen Arbeiten, die nicht zu ihrem Kerngeschäft gehören.
Gleichwohl bleiben anwendungsbezogene Mitwirkungspflichten bestehen. Da diese spezifisch für die Anwendung sind, kann die Open Telekom Cloud als Anbieter einer generischen Plattform hier nur indirekt unterstützen. Anwender, die den Betrieb ihrer Anwendungen oder Teile davon nicht selbst übernehmen möchten, können die Dienstleistung von Managed Services in Betracht ziehen. Als standardisierte Cloud-Lösung stehen dazu am Markt viele Angebote bereit. Insbesondere bieten andere Units der T-Systems solche Managed Services. Sie sind mit den vielfältigen Anforderungen des Applikationsbetriebs und den Eigenschaften der Cloud-Plattform bestens vertraut.

Managed Services
24/7 Service
Nutzen Sie unser Beratungsangebot!

Kostenlos und durch Experten.

Wir beantworten Ihre Fragen zu Testmöglichkeit, Buchung und Nutzung – kostenfrei und individuell. Probieren Sie es aus!
Hotline: 24 Stunden am Tag, 7 Tage die Woche

0800 33 04477 aus Deutschland
+800 33 04 47 70 aus dem Ausland
  • Die Open Telekom Cloud Community

    Hier treffen sich Nutzer, Entwickler und Product Owner um sich zu helfen, auszutauschen und zu diskutieren.

    Jetzt entdecken

  • Telefon

    Kostenfreie Experten-Hotline

    Unsere zertifizierten Cloud-Experten stehen Ihnen mit persönlichem Service zur Seite.

    0800 33 04477 (aus Deutschland)

    +800 33 04 47 70 (aus dem Ausland)

    24 Stunden am Tag, 7 Tage die Woche

  • E-Mail

    Unser Kunden-Service steht Ihnen per E-Mail-Support kostenlos zur Verfügung.

    E-Mail schreiben