Hybrid-IT, aber nicht ohne Strategie
Der Cloud-Hype erfährt derzeit einen Dämpfer. Der Blick durch die rosarote Brille ist durch Schreckensszenarien getrübt. Im Rahmen einer Umfrage zum Thema Cloud, Daten und Sicherheit kam Netwrix zum Schluss: Wer begeistert in die Cloud ging, der hat nun offenbar Kopfweh. So verführerisch die Agilität und Wirtschaftlichkeit der dynamischen Cloud-Ressourcen angepriesen werden, so hart stösst man in der Realität den Kopf an. Dabei sind aber nicht bloss die bösen Hacker schuld. Doppelt so viele Störfälle sind gemäss Studie hausgemacht. Es liegt wohl auch daran, dass man noch nicht so recht weiss, wie mit der neuen Technologie umgegangen werden soll. Also lautet die Devise: Die weniger wichtigen Daten können sorglos in der Cloud verstaut werden, wenn es sich aber um businesskritische Daten handelt, sollte man möglichst die Hände von der Cloud lassen. Wenn sich der "Wolkenstaub" nun etwas gelegt hat, ist ein Hybrid-IT-Modell, das beides zulässt und die Türen auf beiden Seiten offenhält, offenbar die beste Option für die Zukunft.
Das ist grundsätzlich ein guter Ansatz. Es gibt auch Organisationen, die diese schmerzhaften Erfahrungen nicht machen mussten und schon von Anbeginn auf ein hybrides Modell gesetzt haben. Egal, auf welchem Weg man zu dieser Überzeugung gelangt, das Ziel dabei muss immer sein, die Sicherheit für das Unternehmen insgesamt hoch zu halten, wenn nicht gar zu steigern. Dabei ist die Frage nach der Sicherheit nicht allein damit geklärt, ob die Daten in der Cloud sind oder auf der eigenen Infrastruktur. Es ist übrigens auch nicht damit geklärt, dass ich weiss, ob die Daten in der Schweiz gespeichert sind oder nicht. Wenn eigene physische Maschinen virtualisiert und mit Openstack-Technologien als Private Cloud mit Public Clouds wie Azure, AWS oder Google vermischt werden, dann steigen die Risiken mit der Komplexität exponentiell. Es wird praktisch unmöglich, die vielen verteilten Systeme, aus der sich die hybride IT zusammensetzt, klar zu betrachten und zu kontrollieren. Dies gilt insbesondere für Administratoren, die versuchen, die Sicherheit und Compliance manuell zu überwachen. Und wenn dann noch Selfservice-Systeme zum Einsatz gelangen, die jegliche Konfigurationsänderungen per Portal zulassen, dann ist das nächste Blame-Game vorprogrammiert.
Eine Hybrid-Cloud ist nicht einfach ein organisches Anreichern der traditionellen Virtual-Machine-Infrastruktur mit Public-Cloud-Diensten. Es braucht auch hier eine klare Cloud-Strategie, wie eine solche Umgebung gestaltet und gemanagt werden muss. Insbesondere muss die Kontrolle über die Cloud vollständig automatisiert werden können, weil händisch der Dynamik nicht beizukommen ist. Ohne klare Strategie ist eine Hybrid-IT dem Wildwuchs, Chaos und der Blindheit ausgesetzt.