Microsoft in the Cloud          

Windows Azure, BPOS, Exchange Hosted Services - was ist eigentlich was und was haben Sie als Partner davon?

Immer mehr wandert in die Cloud. Aber seine eigenen Daten bei Microsoft zu speichern, davon sind wir noch weit weg.
Oder?

Inhalt

• The Cloud - Public, Private, oder gar nicht?
• Software + Services
• Microsoft Online Services 
  - Empfehlungen zum Netzwerk und zur Bandbreite für Online Services
  - Sicherheit in der Cloud
  - Orientierungshilfe – Cloud Computing
  - Datenschutzbestimmungen
• Windows Intune
• Windows Azure

The Cloud - Public, Private, oder gar nicht?

Dass Cloud nicht nur ein Hype-Thema ist, sondern die IT-Infrastrukturen der nächsten Dekaden bestimmen wird, ist heißdiskutiert. Stellvertretend für viele andere Studien habe ich hier die Experton Group mit einer von vielen Aussagen dazu:

„Cloud Computing“ steht für einen Pool aus abstrahierter, hochskalierbarer und verwalteter IT-Infrastruktur, die Kundenanwendungen vorhält und falls erforderlich nach Gebrauch abgerechnet werden kann. (Quelle: Forrester Research)

„Cloud Computing“ umfasst On-Demand-Infrastruktur (Rechner, Speicher, Netze) und On-Demand-Software (Betriebssysteme, Anwendungen, Middleware, Management- und Entwicklungs-Tools), die jeweils dynamisch an die Erfordernisse von Geschäftsprozessen angepasst werden. Dazu gehört auch die Fähigkeit, komplette Prozesse zu betreiben und zu managen. (Quelle: Saugatuck Technology)

Ich habe einen Blog-Artikel gefunden, der die Cloud mit folgenden Fragen, Gedanken und Folgerungen beschreibt:

The Cloud, die Wolke, steht derzeit als Synonym für ein Rechenzentrum im Internet ("Öffentliche Wolke"). Das "Gegenteil" ist der Begriff "On Premise", also ein eigenes Rechenzentrum im eigenen Unternehmen.

Was ist aber dann der Unterschied zwischen einer On Premise-Installation und einer Private Cloud?
Wenn man das eigene Rechenzentrum und die eigene IT-Abteilung als Lieferant von skalierbaren Diensten versteht und auch dort die Software nach Bedarf liefert, wird eine On Premise Installation zur Private Cloud. Dh. auch das eigene RZ geht in Richtung Dynamische Bereitstellung von Diensten. Hierfür muss das Cloud-System mandantenfähig sein, und eine Abrechnung des Verbrauchs für unterschiedliche Kostenstellen, z.B. Abteilungen erlauben und auch das Anforderung neuer Ressourcen einfach umsetzbar machen für diese Mandanten. Dazu gibt es z.B. Self Service Portale (bei Microsoft kommt dieses für den System Center Virtual Machine Manager kostenfrei). Die Daten liegen in der Private Cloud in der Hand und Verantwortung des Unternehmens (auch die Security) und sind nicht outgesourced.

Übrigens gibt es auch den Begriff "Hybrid Cloud": Ein Unternehmen betreibt eine eigene „Private Cloud“ und nutzt eine „Public Cloud“ als Failoveransatz oder für Belastungsspitzen.

Hier gibt es eine deutsche Microsoft-Seite dazu: http://www.microsoft.de/private-cloud. 

Damit der Begriff Cloud aber nicht einfach nur ein Synonym für "im Internet" ist, sind noch einige Anforderungen mehr vonnöten, um "IT aus der Steckdose" umzusetzen. Z.B. die Abrechnung nach Bedarf - eben wie beim Strom aus der Steckdose - und damit einhergehend eine Dynamik der Ressourcen. Hier spricht man auch von Elastizität. Dies ist eben auch eine Anforderung der Privaten Cloud.

Cloud bei Microsoft definiert sich über folgende Angebote (www.microsoft.de/cloudpower):

• Private Cloud mit Windows Server 2008 R2 und Hyper-V 2.0
• Cloud Produktivität mit Office 365
• Cloud Plattform mit Windows Azure

Microsoft bietet mit Windows Azure ein IaaS-Angebot, mit Hyper-V für Private Clouds ein PaaS- und mit seinen Online Services (CRM, Office Live, BPOS=Business Productivity Online Services) ein SaaS-Offering an.

• PaaS = Platform as a Service
• SaaS = Software as a Service
• IaaS = Infrastructure as a Service

Dabei ist nicht nur der Browser als Frontend für die Benutzer möglich: "Three-screens & the Cloud"... Microsoft glaubt, dass man als Frontend verschiedene Devices gleichermaßen unterstützen muss - vom Phone über den PC sowie mit dem Browser.

Das Thema Cloud wird auch viele andere Bereiche betreffen: so müssen Dienste standardisiert und lose koppelbar gemacht werden, um ausgelagert werden zu können (Service oriented Architecture SOA), das IT Service Management muss ausgeweitet werden, um auch verteilte Inftrastrukturen verwalten zu können. Hier gilt ein tiefer definiertes SLA-Management und die Einführung von SelfService-Portalen als Herausforderung.

Von der BITKOM gibt es einen recht guten Leitfaden (85 S.) für Entscheider:

und auch das BSI bietet einen Eckpunkte-Leitfaden "Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit)": https://www.bsi.bund.de/DE/Themen/CloudComputing/Eckpunktepapier/Eckpunktepapier_node.html

 

Wann lohnt sich die Cloud?

Ob sich das Auslagern der Infrastruktur in die Cloud lohnt oder nicht, bedarf einer genauen Analyse, die viele Aspekte umfasst, und strategisch vor allem über viel Jahre hinweg gerechnet werden sollte.

Hier ein Ansatz:

• Ressourcenschonende Skalierbarkeit  (Schnelle und genaue Anpassung der Kapazitäten an den realen Bedarf, exakte Abrechnung je Nutzer)
• Keine eigene Infrastruktur (Hardware/Server)
• Minimierter Eigenaufwand für IT-Betrieb (Server, Strom, Personal, Updates, Backup etc.)
• Immer die aktuellsten Technologien
• Nicht das interne IT-Personal muss Fachwissen schnell aktuell halten (Mail-Security)
• Schnelle Implementierung
• Sofort verfügbar – auch als Testumgebung
• Keine Migration, Deployment, Konfiguration
• Lohnt sich bei bereits wenigen Anwendern
• Budgetplanungssicherheit durch Nutzungsorientiertes Abrechnungsmodell
• Vorhersehbare und konstante IT-Kosten
• Verbesserter Cashflow
• Verringerte Kapitalbindung
• Schonung des Capex-Budgets durch monatliche Abrechnung (Opex)
• Flexibler Mischbetrieb mit lokalen Servern
• Permanenter Support, 24 h am Tag, 365 Tage im Jahr
• Dienstgütevereinbarung (SLA) mit 99,9% garantierter Verfügbarkeit
• ISO 27001-Zertifizierung und SAS 70 für die Rechenzentren (oft haben Unternehmen selbst nicht so hohe Standards)

In einer Fraunhofer-Allianz organisierte Fachgruppen verschiedener Fraunhofer-Institute haben sich des Themas recht gut und übersichtlich angenommen: http://www.cloud.fraunhofer.de/wirtschaftlichkeit

^nach oben

Software + Services

Der Begriff Software as a Service SaaS ist allgemein verwendet für das Hosting-Angebot von Diensten, z.B. CRM von SalesForce. SalesForce wird ausschließlich als gehostete Lösung angeboten.

Der Microsoft-Ansatz ist ein gemischter: der Kunde kann entscheiden, ob er eine bei sich im Rechenzentrum installierte Infrastruktur (On Premise) haben möchte oder gehostet bei einem Partner, einem outgesourcten Rechenzentrum, oder bei Microsoft direkt oder eben gemischt.
Daher nennt Microsoft den Ansatz Software plus Services, auch S+S. Das Plus sollte hier auch betont werden und nicht zu einem simplen und verkommen.

Möglich ist dies technisch durch die Bereitstellung von Schnittstellen zwischen den Produkten und auch innerhalb von Produkten, so dass z.B. ein Exchange Server On-Premise, also lokal im Unternehmensrechenzentrum und kombiniert gehostet eingesetzt werden kann.

^nach oben

Microsoft Online Services

Im Mai 2011 haben wir das Microsoft Partner Training zum Thema "Microsoft Cloud Services - Office 365" durchgeführt (Carola Pantenburg). Die Folien dazu werden stetig überarbeitet und liegen hier. Neue Termine für dieses Training finden sich hier.

Microsoft hat seit Jahren Rechenzentren für Internet-Dienste wie Hotmail, bing, XBox Live, Windows Live etc. in Betrieb, dh. das Thema Cloud ist auch in der Praxis kein neues Thema. Vor 10 Jahren sprachen wir über Application Service Providing. Das hat sich damals nicht durchgesetzt. Aber heute ist die Zeit wohl reif dafür...

Sicherheit in der Cloud

Dieses amerikanische Video zeigt die Microsoft Rechenzentren und ihre Infrastruktur sowie Sicherheitsbestimmungen und Energieeffizienz.  In 10 min zeigt es einen recht beeindruckenden Blick in diese Data Center Struktur, eine der größten der Welt:

Für Microsoft Data Center gilt folgendes in Bezug auf das Thema Datensicherheit: es gilt das Datenschutz-Recht jener Region, in welcher das Data Center betrieben wird. 2010 werden in Europa zwei Data Center mit der Microsoft Cloud-Plattform ausgestattet - in Amsterdam und in Dublin. 

Zu der Fragestellung, "Wo liegen die Daten, sie müssen in Deutschland liegen; was ist mit Revisionssicher, Rechtskonform und Aufbewahrungspflichten" haben wir ein WhitePaper von PRW Rechtsanwälten gefunden. Dieses liegt im Bereich Exchange 2010 - Wichtige Funktionen - Archivierung und Aufbewahrung.

Sehr häufig taucht die Frage auf, wenn Daten dann in einem Rechenzentrum gespeichert werden und man immer über den Weg des Internets geht, wie sicher sind diese Daten und - rechtlich gesehen, darf ein deutsches Unternehmen dies überhaupt?

Hier ist es wichtig, bei Kundengesprächen das Thema Cloud nicht als IT-Projekt zu sehen, sondern Fachabteilungen, Einkauf, IT und auch die Rechtsabteilung an einen Tisch zu holen.

Deutsches Microsoft WhitePaper "Sicherheit in der Cloud":

Orientierungshilfe – Cloud Computing

Die Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder haben eine  Orientierungshilfe erarbeitet. Dieser Leitfaden richtet sich an Entscheidungsträger,  betriebliche  und  behördliche  Datenschutzbeauftragte  sowie  an  IT-Verantwortliche und soll den datenschutzgerechten Einsatz dieser Technologie  fördern.

Microsoft hatte Anfang Dezember 2011 bekanntgegeben, dass es die Office 365-Verträge an diesen Leitfaden anpassen wird. Ziel der neuen Office 365-Vereinbarungen ist es, die deutschen und europäischen Datenschutzbestimmungen juristisch sauber umzusetzen. Ab Mitte Dezember 2011 werden weitere Infos sowie diese Verträge, inkl. der so genannten „EU-Standardvertragsklauseln“ (EU Model Clauses) und eine Vereinbarung zur Auftragsdatenverarbeitung (DPA, Data Processing Agreement), hier liegen: www.trustcenter.office365.de

Das neue Trust Center bietet Klarheit und Transparenz darüber,

 

‣	wo sich die Daten eines Kunden befinden
‣	wer Zugang zu diesen Daten hat
‣	wie Microsoft diese Daten schützt und
‣	welche Zertifizierungen Microsoft erfüllt.

Auszug aus den Microsoft Online Services Datenschutzbestimmungen:
Mit der Richtlinie 95/46/EG (Datenschutzrichtlinie) haben das Europäische Parlament und der Europäische Rat Mindeststandards für den Datenschutz der Mitgliedsstaaten festgeschrieben. Geregelt wird u.a. die Übermittlung von personenbezogenen Daten an Drittstaaten, die nicht Mitglied der EU sind. Ergänzt wurde die allgemeine Datenschutzrichtlinie durch die bereichsspezifische Richtlinie 2002/58/EG (Datenschutzrichtlinie für elektronische Kommunikation).
(siehe auch wikipedia.org)

"Informationen, die von Microsoft erfasst oder an Microsoft gesendet wurden, werden möglicherweise in den Vereinigten Staaten oder in anderen Ländern gespeichert und verarbeitet, in denen Microsoft oder dessen Partnerunternehmen, Niederlassungen oder Dienstanbieter Einrichtungen haben. Microsoft hält sich in Bezug auf die Erfassung, Verwendung und Speicherung von Daten aus der Europäischen Union an die Bestimmungen des US-Handelsministeriums (Safe Harbor, http://safeharbor.export.gov/list.aspx)." Datenschutzbestimmungen der Microsoft Online Services.

Stärker als Safe Harbor wird vermutlich der Patriot Act wirken. Dieser wurde 2010 verschärft durch den Terrorbekämpfungs-Ansatz "Cybersecurity". Damit hätte der Amerikanische Geheimdienst die Möglichkeit, per Gerichtsbeschluss auf Kundendaten zuzugreifen unter bestimmten Voraussetzungen, z.B. Terror-Verdacht, sogar ohne den Kunden darüber informieren zu müssen. Dabei muss noch nicht einmal die Mutterfirma ihren Sitz in USA haben, es genügt eine irgendwie geartete Verbindung des Unternehmens in die USA. Die Herausgabe von Daten erfolgt nicht nur auf Daten, die in der Cloud liegen, sondern auch auf Daten, die auf den Servern des Unternehmens liegen.
Gleiches gilt bei entsprechendem Verdacht in Deutschland für das Deutsche Innesministerium.

Derzeit wird an einem Europäischen Cloud-Zertifikat EuroCloud-Zertifikat gearbeitet, das eine Zertifizierung für Sicherheitsrichtlinien erlaubt und über bis zu 5 Sterne in der Bewertung eines Cloud-Anbieters die Vertrauenswürdigkeit deklariert.

Microsoft Online Services Privacy Statement:  Hier werden spezielle Bestimmungen beschrieben.

Microsoft Online Services - SLA-Vertrag

Was passiert, wenn Daten verloren gingen etc?
"Microsoft cannot provide an insurance policy for any risks associated with data losses. Our liability is limited to damages, directly linked to a foreseeable act by Microsoft and is capped at 12 months' service fees." (Quelle)

 

Empfehlungen zum Netzwerk und zur Bandbreite für Online Services

Microsoft gibt eine ziemlich detaillierte Hilfe und "best practise" Empfehlungen für die nötigen Bandbreiten, je nach Intensität der Datenübertragungen für die einzelnen Online Dienste, zur Netzwerkkonfiguration und Synchronisationszeiten.
Die Empfehlungen finden Sie bei Microsoft Online Services (EN).

^nach oben

Windows Intune

Die neue Cloud-Anwendung Windows Intune erlaubt IT-Verantwortlichen in kleinen und mittelständischen Unternehmen (25-500 PCs), ihre PCs über eine einfache, webbasierte Konsole von jedem Ort zu verwalten und zu sichern, neue Software aufzuspielen oder bestehende Anwendungen zu ergänzen. Wir haben Windows Intune genauer beschrieben auf einer Produktseite und dort finden Sie auch ein DemoVideo dazu.

^nach oben

Windows Azure

Um Anwendungen Kunden bereitzustellen, die z.B. Platz benötigen und skalierbar sein müssen, also mit den Anforderungen des Kunden nach mehr oder aber auch nach weniger mitwachsen müssen, kann der Kunde selbst seine Infrastruktur (Plattenplatz, Arbeitsspeicher, Anzahl der Prozessoren etc.) anpassen oder eine gehostete Infrastruktur mieten. Diese skaliert automatisch bei größerer Last und passt sich auch nach unten wieder an. Der Kunde bezahlt also nur den tatsächlichen Bedarf an Ressourcen.

Dies erfordert ein Betriebssystem, das diese Skalierbarkeit unterstützt. Das macht Windows Azure.

Windows Azure ist dabei die Basis für die Azure Services Plattform oder auch das Betriebssystem für die Cloud.  Windows Azure bietet Funktionalitäten, die typischerweise auch Desktop- oder Server-Betriebssystemen zugeschrieben werden (nur eben auf einer Menge vernetzter Server, was die Voraussetzung für die Skalierbarkeit ist):

• Ausführungsumgebung für Anwendungen
• Dateisystem, das sich mehrere Anwendungen teilen
• Ressourcenzuordnung
• Programmierumgebung

Azure ist dabei der Oberbegriff für alle Basis- und Anwendungsdienste, die Microsoft in eigenen Rechenzentren Entwicklern zur Verfügung stellt. Basis der Plattform ist Windows Azure, darauf aufsetzend die Azure Services. Dies sind übrigens nicht nur Windows-Plattform-Anwendungen, sondern z.B. auch PHP on Azure, MySQL on Azure, Java und Eclipse 4 Azure.

Für die Microsoft Cloud Plattform gibt es einen TCO Analyzer: http://www.microsoft.com/windowsazure/tco/

Wer von (unendlicher) Skalierbarkeit und entsprechend hoher Ausfallssicherheit profitieren kann ohne selbst Systeme warten zu wollen (die Wartung inkl. Patch Management, Hardwaretausch etc. ist alles in den Preisen drin), für den können die Angebote recht attraktiv sein... natürlich muss man das aber durchrechnen... z.B. wieviele Lastspitzen hat man, wie lange dauern diese, wie intensiv sind diese etc. etc. 

Ein Beispiel für die Azure-Nutzung liefert die Grundy-UFA Fernsehproduktionsgesellschaft mit "ScreenerONE": Das Produktionsteam von der DailySoap "Verbotene Liebe" kann nun sämtliche Storyboards und Videosequenzen verwalten.

 

Abgrenzung zu Windows Live Mesh

Windows Live Mesh gehört zu den Windows Live Diensten (Live Essentials) und stellt Funktionen zum Ablegen und Synchronisieren von Daten im Internet (also bei Microsoft liegend) bereit. Neben einer Web-Oberfläche, dem "Live Desktop" gibt es Client-Anwendungen, die für Windows XP, Windows Vista, Windows 7, Windows Mobile und Macs bereitstehen.. Der Live Mesh-Dienst synchronisiert alle Daten, die in speziell gekennzeichneten Ordnern abgelegt werden, automatisch mit allen anderen Geräten, die an den Dienst angeschlossen sind, d.h. im persönlichen "Mesh" des Anwenders hängen. Neben der Datenaustauschfunktion gibt es auch eine "Remote Desktop"-Funktion, mit der sich Geräte über das Mesh fernsteuern lassen. 

Hier lassen sich also nur Daten synchronisieren, dh. es wird Plattenplatz (bis zu 5 GB) bereitgestellt allerdings gibt es für Entwickler auch schon Möglichkeiten, Anwendunge für Mesh zu programmieren, sogeannte Mesh Services. Auch von Microsoft gibt es bereits Mesh Services, wie z.B. den Synch-Dienst oder RemoteDesktop-Dienst..

Wie verhalten sich Windows Azure, Live Mesh und die Mesh Services nun zueinander?

• Windows Azure ist das Fundament für Azure Services.
• Live Services sind eine Kategorie von Azure Services.
• Mesh Services sind vier Services aus den Live Services.
• Live Mesh ist eine Software-plus-Services Lösung, die Client-Komponenten umfasst und sich der Mesh Services bedient, um es Anwendern zu erlauben, Anwendungen und Daten auf ihren Endgeräten, die sie in ihr persönliches "Mesh" aufgenommen haben, hinweg zu synchronisieren.

^nach oben