Bewertung vonCloud-Anbietern aus Sicht

eines Start-upsDr. Thomas King, audriga GmbH

Agenda

►Welcher Cloud-Anbieter ist der Richtige?►Motivation► Anforderungen von Start-ups► Bewertungskatalog► Bewertung am Beispiel Amazon AWS und Jiffybox

2

Welcher Cloud-Anbieter ist der Richtige?

3

PaaS

IaaS

Motivation

Warum ist die Auswahl des Cloud-Anbieters kritisch?

Der Lock-In eines Cloud-Anbieters ist groß,da Rüstkosten hoch sind

4

Exkurs: E-Mail-Umzugsdienst von audriga

► Self-Service Umzugsdienst für E-Mails und PIM (Kontakte, Kalender, Aufgaben, Tasks)► Start-up: Gegründet 2011► Anwendungsfälle: Cloud-zu-Cloud und On-Premise-zu-Cloud Migration

5

Nutzer wollen E-Mail Hoster wechseln

Nutzer wollen bestehende Daten nicht verlieren

E-Mail Migration ist komplex

Anforderungen von Start-ups

6

Geringe Kosten Hohe Automatisierung

Geringe Einarbeitung Flexibilität

Bewertungskatalog

► Technische Aspekte Funktionalität (IaaS: Windows, Linux; PaaS: Datenbank, verteiltes Dateisystem, Application-

Server, CDNs) Skalierbarkeit (Horizontal, Vertical, Elastisch) Automatisierung (High-Level Services, API) Monitoring (API, Console) Weltweite Verteilung (RZs ins verschiedenen Ländern) Hochverfügbarkeit (von IaaS bis PaaS)

► Ökonomische Aspekte Setup Kosten Monatliche Kosten Pay-As-You-Go

► Rechtliche Aspekte SLAs Datenschutz Datenhaltung / IP-Adressen Zertifikate

7

Funktionalität

► IaaS: Betriebssysteme: Linux, Windows (verschiedene Versionen) Verschiedene CPU / RAM Konfigurationen Backup der VM Feste IP(s) Verschiedene / zusätzliche Festplatten Hochverfügbarkeit Vorkonfigurierte Profile Monitoring (CPU, Datendurchsatz Festplatte, Netzwerkauslastung)

► PaaS: Applicationserver (J2EE, Php) Datenbankserver (SQL, noSQL) Verteiles Dateisystem Automatische Skalierbarkeit

8

Funktionalität bei Cloud-Anbietern

► IaaS: Betriebssysteme: Linux, Windows Verschiedene CPU / RAM Konfigurationen Backup der VM Feste IP(s) Verschiedene / zusätzliche Festplatten Hochverfügbarkeit Vorkonfigurierte Profile Monitoring (CPU, …)

► PaaS: Applicationserver (J2EE, Php) Datenbankserver (SQL, noSQL) Verteiles Dateisystem Automatische Skalierbarkeit

9

Rießige Auswahl Begrenzt, kein MS

Rießige Auswahl Begrenzt, max 6 CPUsJa JaJa JaJa NeinJa NeinJa JaJa Ja, keine API

Ja NeinJa NeinJa NeinJa Nein

Unfair

Datenschutz

► BDSG: Betrifft nur personenbezogene Daten (z.B. IP Adressen) ► Cloud-Anbieter vs. Personenbezogene Daten

Nicht erlaubt: Weitergabe von Daten an Dritte, die diese ohne Auftrag selber weiter nutzen dürfen.

Erlaubt: Die personenbezogenen Daten werden an einen Dritten weiter gegeben, aber mit dem Auftrag diese nur für einen bestimmten Zweck zu speichern und zu verarbeiten. Der Beauftragte hat zu den Besitzern der Daten keine eigene vertragliche oder vertragsähnliche Beziehung. Dieses Modell ist vorherrschend bei der geschäftlichen Nutzung von Cloud-Diensten. → Vertrag zu Auftragsdatenverarbeitung mit Cloud-Anbieter

► Pflichten des Auftraggebers Prüfen der "8 goldenen Regeln" des Datenschutzes (§9 BDSG) beim Cloud-Anbieter Schriftliche Dokumentation des Vertrages zur Auftragsdatenverarbeitung (§11 BDSG) Auftraggeber prüft regelmäßig die Einhaltung der getroffenen technischen und

organisatorischen Maßnahmen beim Auftragnehmer (§11 Abs. 2 BDSG) Praxis: Der Auftraggeber muss jederzeit ein ausführliches und rechtskonformes Gutachten

über die Einhaltung der Standards vorlegen können. → z.B. ein IT-Sicherheits- oder Datenschutz Zertifikat vom Cloud-Anbieter

10

Dies ist keine Rechtsberatung!

Datenschutz nach BDSG bei Cloud-Anbietern

11

Auftragsdatenverarbeitung

Zertifikate

PCI DSS Level 1ISO 27001SAS 70 Type 1HIPAA

Zusammenfassung

► Die Auswahl des Cloud-Anbieters ist kritisch, da ein Wechsel oft nicht einfach

► Die Anforderungen an einen Cloud-Anbieter sind vielfältig► Die Auswahl eines Cloud-Anbieters ist nicht einfach► Nationale Besonderheiten (z.B. Datenschutz) sind zu beachten► Auch kleinere Anbieter können gute Dienste erbringen

12

audriga GmbHDr. Thomas Kingking@audriga.com+49 721 170 293 172