Unternehmen klagen im Zuge der Verlagerung von Anwendungen in die Cloud nicht selten über Latenzprobleme beim Zugriff auf Applikationen und explodierende WAN-Kosten. Die vielgepriesenen Vorteile der Wolke von mehr Effizienz und Agilität scheinen sich in Luft aufzulösen, wenn die User Experience beim Zugriff auf die Daten in der Cloud nicht zufriedenstellend ist und zudem die Kosten aus dem Ruder laufen. Wie müssen Organisationen ihre Transformationsprojekte angehen, damit sie auch erfolgreich umgesetzt werden können? Die Unsicherheit scheint nach wie vor groß, auch wenn schon viele Firmen ihren Weg in die Cloud gestartet haben.
Laut einer aktuellen Umfrage von Atomik Research unter 400 Entscheidungsträgern in den Europäischen Kernländern fährt weniger als jedes zehnte Unternehmen (9 Prozent) in Deutschland, England, Frankreich und Benelux einen ganzheitlichen Transformationsansatz unter Berücksichtigung von Applikations-, Netzwerk und Sicherheitsaspekten. Zudem starten 21 Prozent der Unternehmen ihren Weg in die Cloud von der Applikation ausgehend, bei 26% ist das Netzwerk der Ausgangspunkt und ein Drittel der befragten Unternehmen (33%) beginnen mit der Transformation der Sicherheit. Mit 11 Prozent berücksichtigen die Entscheidungsträger die Transformation der Applikationen zusammen mit dem Netzwerk. Diese Umfrage vermittelt auf den ersten Blick den Eindruck einer uneinheitliche Vorgehensweise, wie sich Unternehmen ihren Transformationsprojekten annähern.
Netzwerktopologie für die Cloud
Unternehmen sind gut beraten, wenn sie bereits in der Planungsphase ihres Cloud-Projekts ganzheitliche Überlegungen hinsichtlich der Auswirkungen der Applikationsverlagerung vorhersehen. Das bedeutet, dass die Entscheidungen für ein Cloud-Projekt nicht isoliert von einem Unternehmensbereich ausgehend gestartet werden sollten. Denn genau in einem solchen Silo-Denken nimmt die negative Performance- und Kostenspirale ihren Ausgang. Wird also eine Applikation in die Cloud geschoben, ohne dass die Netzwerk- und Sicherheitsabteilung in die Planung einbezogen wird, sind Probleme vorprogrammiert.
Eine herkömmliche Netzwerktopologie ist nicht auf die Anforderungen der Cloud ausgelegt. Ein User wird durch ein klassisches Hub-& Spoke-Netzwerk nicht auf dem direkten Weg mit seiner Anwendung in der Cloud verbunden. Er muss immer den Umweg über das Rechenzentrum in der Unternehmenszentrale nehmen, von der aus in den meisten Fällen die Standleitung in die Cloud, z.B. über Azure, implementiert ist. Für Niederlassungen oder Remote User bedeutet ein solches Konstrukt, dass sie immer zuerst auf das eigenen Rechenzentrum Zugriff benötigen, um von dort auf Azure umgeleitet zu werden. Und bereits im Wort „Umleitung“ offenbart sich die latenztreibende Problematik – es handelt sich dabei niemals um den kürzesten, und damit zeitschonendsten Weg.
Und über diesen Umweg lässt sich ebenfalls das in die Höhe schnellen der Kostenspirale erklären. Die Daten von remote Usern durchlaufen durch diesen Umweg gleich mehrfach die MPLS-Leitungen. Hinzu kommt, dass der Anstieg des Traffics Richtung Internet durch die Cloud berücksichtigt werden muss. Bestes Beispiel dafür ist Office 365. Bei der Einführung der Cloud-basierten Office-Suite müssen sich Unternehmen darüber im Klaren sein, dass der Wechsel in die Cloud mit bis zu 40 Prozent höherem Datenaufkommen ins Internet einhergeht. Aus gutem Grund lautet die Empfehlung im Microsoft Design Guide auch auf direkte Internet-Breakouts an jedem Standort zu setzen, um dem Mitarbeiter kurze Wege zu den Anwendungen in der Cloud zu ermöglichen.
Sicherheit für die Cloud – aus der Cloud
Unternehmen tun gut daran, wenn sie sich vor der Implementierung einer Cloud-basierten Anwendung darüber im Klaren sind, wie ein Cloud-ready Netzwerk aufgebaut sein sollte. Damit einher gehen notwendigerweise auch Anpassungen zur Sicherheitsinfrastruktur. Wenn die Anwendungen das Netzwerk verlassen soll und der mobile User auf seine Daten in der Cloud zugreifen möchte, dann gerät Security-Hardware am Perimeter zum Bottleneck für den Traffic. Hier tut sich das zweite Silo auf. Die Security-Abteilung muss ebenfalls an den runden Tisch geladen werden, wenn ein Transformationsprojekt geplant wird.
Es gilt die spezifischen Security-Anforderungen Cloud basierter Projekte zu berücksichtigen. Wird nur das Netzwerkteam befragt, nicht aber der Sicherheitsexperte, bleiben folgende Aspekte in der Planung unberücksichtigt: Ist der vorhandene Proxy darauf ausgelegt, den steigenden Netzwerk-Traffic zu bewältigen? Ist die Appliance in der Lage, den Datenverkehr auch auf das steigende Malware-Aufkommen zu untersuchen, dass sich hinter SSL-Verschlüsselung verbirgt? Und hält die Firewall ebenfalls Schritt mit dem neuen Datenvolumen und den parallelen Verbindungen, die wiederum für das Beispiel von Office 365 erforderlich ist? Kurz gesagt: Es besteht nicht nur ein höheres Datenaufkommen, sondern auch völlig neue Anforderungen an die Sicherheitsinfrastruktur, wenn Applikationen in die Wolke wandern.
Denn wenn Unternehmen den Schritt vorhersehen und für lokale Internet-Breakouts sorgen, bedeutet das logischerweise, dass auch die Sicherheitsinfrastruktur vor Ort vorgehalten werden muss. Denn die traditionelle Sicherheitsinfrastruktur rund um das zentrale Rechenzentrum wäre wiederum mit einem Umweg verbunden. Die Lösung kann aus Kosten- und Administrationsaufwand nicht lauten, an jedem Standort Stapel von Appliances zu installieren, sondern vielmehr muss die Security-Funktionalität virtuell in der der Cloud gestapelt werden. Die Cloud kann ihre Vorteile in Punkto Elastizität und Flexibilität auch für die Sicherheitsinfrastruktur ausspielen. Ein Sicherheits-Stack aus der Cloud mit allen erforderlichen Sicherheitsmodulen angefangen von der Next Generation Firewall, über Cloud Sandboxing bis hin zu Data Loss Prevention reduziert den Verwaltungsaufwand bei erhöhter Sicherheit durch einen hohen Integrationsgrad und deshalb kurze Weg bei der Log-Korrelation. Und die Sicherheit aus der Cloud skaliert problemlos mit dem neuen Datenaufkommen ins Internet und sorgt ganz neben bei durch Bandbreiten-Management noch einmal für Vorfahrt der geschäftskritischen Anwendungen.
Applikations-, Netzwerk- und Security-Transformation müssen Hand in Hand gehen
Um auf die eingangs zitierte Studie zurückzukommen: wer von den befragten Unternehmen schlägt nun den effizientesten Weg ein? In einem ersten Schritt tun Unternehmen gut daran, ihre Security an die neuen Anforderungen anzupassen, also sind ein Drittel der Entscheidungsträger bereits gut beraten. Darauf aufbauend sollte die Netzwerktopologie Cloud-ready gestaltet werden um Bottlenecks abzufangen, wenn die Anwendungen in die Cloud verlagert werden. Das Viertel der Unternehmen, die mit der Transformation der Anwendungen anfagen wollen, sollten ihre Strategie noch einmal überdenken. Unterm Strich müssen die Transformationsbestrebungen aller drei Bereiche aber Hand in Hand gehen und von Beginn an gemeinsam von allen Abteilungen geplant werden. So profitieren Unternehmen tatsächlich von ihrer Cloudifizierung.