Bewertung  von  Cloud-­‐Anbietern  aus  Sicht  

eines  Start-­‐ups  Dr.  Thomas  King,  audriga  GmbH  

Agenda  

► Welcher  Cloud-­‐Anbieter  ist  der  Rich4ge?  ► Mo4va4on  ► Anforderungen  von  Start-­‐ups  ► Bewertungskatalog  ► Bewertung  am  Beispiel  Amazon  AWS  und  Jiffybox  

2  

Welcher  Cloud-­‐Anbieter  ist  der  RichDge?  

3  

PaaS  

IaaS  

MoDvaDon  

Warum  ist  die  Auswahl  des  Cloud-­‐Anbieters  kri4sch?      

Der  Lock-­‐In  eines  Cloud-­‐Anbieters  ist  groß,  da  Rüstkosten  hoch  sind  

4  

Exkurs:  E-­‐Mail-­‐Umzugsdienst  von  audriga  

►  Self-­‐Service  Umzugsdienst  für  E-­‐Mails  und  PIM  (Kontakte,  Kalender,  Aufgaben,  Tasks)  ►  Start-­‐up:  Gegründet  2011  ►  Anwendungsfälle:  Cloud-­‐zu-­‐Cloud  und  On-­‐Premise-­‐zu-­‐Cloud  Migra4on  

5  

Nutzer  wollen  E-­‐Mail  Hoster  wechseln  

Nutzer  wollen  bestehende  Daten  nicht  verlieren  

E-­‐Mail  Migra:on  ist  komplex  

Anforderungen  von  Start-­‐ups  

6  

Geringe  Kosten   Hohe  Automa4sierung  

Geringe  Einarbeitung   Flexibilität  

Bewertungskatalog  

►  Technische  Aspekte  §  FunkDonalität  (IaaS:  Windows,  Linux;  PaaS:  Datenbank,  verteiltes  Dateisystem,  Applica4on-­‐

Server,  CDNs)  §  Skalierbarkeit  (Horizontal,  Ver4cal,  Elas4sch)  §  Automa4sierung  (High-­‐Level  Services,  API)  §  Monitoring  (API,  Console)  §  Weltweite  Verteilung  (RZs  ins  verschiedenen  Ländern)  §  Hochverfügbarkeit  (von  IaaS  bis  PaaS)  

►  Ökonomische  Aspekte  §  Setup  Kosten  §  Monatliche  Kosten  §  Pay-­‐As-­‐You-­‐Go  

►  Rechtliche  Aspekte  §  SLAs  §  Datenschutz  §  Datenhaltung  /  IP-­‐Adressen  §  Zer4fikate  

7  

FunkDonalität  

►  IaaS:  §  Betriebssysteme:  Linux,  Windows  (verschiedene  Versionen)  §  Verschiedene  CPU  /  RAM  Konfigura4onen  §  Backup  der  VM  §  Feste  IP(s)  §  Verschiedene  /  zusätzliche  Festplaben  §  Hochverfügbarkeit  §  Vorkonfigurierte  Profile  §  Monitoring  (CPU,  Datendurchsatz  Festplabe,  Netzwerkauslastung)  

►  PaaS:  §  Applica4onserver  (J2EE,  Php)  §  Datenbankserver  (SQL,  noSQL)  §  Verteiles  Dateisystem  §  Automa4sche  Skalierbarkeit  

8  

FunkDonalität  bei  Cloud-­‐Anbietern  

►  IaaS:  §  Betriebssysteme:  Linux,  Windows  §  Verschiedene  CPU  /  RAM  Konfigura4onen  §  Backup  der  VM  §  Feste  IP(s)  §  Verschiedene  /  zusätzliche  Festplaben  §  Hochverfügbarkeit  §  Vorkonfigurierte  Profile  §  Monitoring  (CPU,  …)  

►  PaaS:  §  Applica4onserver  (J2EE,  Php)  §  Datenbankserver  (SQL,  noSQL)  §  Verteiles  Dateisystem  §  Automa4sche  Skalierbarkeit  

9  

Rießige  Auswahl   Begrenzt,  kein  MS  Rießige  Auswahl   Begrenzt,  max  4  CPUs  

Ja   Ja  Ja   Ja  Ja   Nein  Ja   Nein  Ja   Ja  Ja   Ja,  keine  API  

Ja   Nein  Ja   Nein  Ja   Nein  Ja   Nein  

Unfair  

Datenschutz  

►  BDSG:  Betrig  nur  personenbezogene  Daten  (z.B.  IP  Adressen)    ►  Cloud-­‐Anbieter  vs.  Personenbezogene  Daten  

§  Nicht  erlaubt:  Weitergabe  von  Daten  an  Dribe,  die  diese  ohne  Auirag  selber  weiter  nutzen  dürfen.  

§  Erlaubt:  Die  personenbezogenen  Daten  werden  an  einen  Driben  weiter  gegeben,  aber  mit  dem  Auirag  diese  nur  für  einen  bes4mmten  Zweck  zu  speichern  und  zu  verarbeiten.  Der  Beauiragte  hat  zu  den  Besitzern  der  Daten  keine  eigene  vertragliche  oder  vertragsähnliche  Beziehung.  Dieses  Modell  ist  vorherrschend  bei  der  geschäilichen  Nutzung  von  Cloud-­‐Diensten.  →  Vertrag  zu  Au\ragsdatenverarbeitung  mit  Cloud-­‐Anbieter  

►  Pflichten  des  Auiraggebers  §  Prüfen  der  "8  goldenen  Regeln"  des  Datenschutzes  (§9  BDSG)  beim  Cloud-­‐Anbieter  §  Schriiliche  Dokumenta4on  des  Vertrages  zur  Auiragsdatenverarbeitung  (§11  BDSG)  §  Auiraggeber  prüi  regelmäßig  die  Einhaltung  der  getroffenen  technischen  und  

organisatorischen  Maßnahmen  beim  Auiragnehmer  (§11  Abs.  2  BDSG)  §  Praxis:  Der  Auiraggeber  muss  jederzeit  ein  ausführliches  und  rechtskonformes  Gutachten    

über  die  Einhaltung  der  Standards  vorlegen  können.  →  z.B.  ein  IT-­‐Sicherheits-­‐  oder  Datenschutz  ZerDfikat  vom  Cloud-­‐Anbieter  

10  

Dies  ist  keine  Rechtsberatung!  

Datenschutz  nach  BDSG  bei  Cloud-­‐Anbietern  

11  

Au\ragsdatenverarbeitung  

ZerDfikate  

PCI  DSS  Level  1  ISO  27001  SAS  70  Type  1  HIPAA    

Zusammenfassung  

►  Die  Auswahl  des  Cloud-­‐Anbieters  ist  kri4sch,  da  ein  Wechsel  oi  nicht  einfach  

►  Die  Anforderungen  an  einen  Cloud-­‐Anbieter  sind  vielfäl4g  ►  Die  Auswahl  eines  Cloud-­‐Anbieters  ist  nicht  einfach  ►  Na4onale  Besonderheiten  (z.B.  Datenschutz)  sind  zu  beachten  ►  Auch  kleinere  Anbieter  können  gute  Dienste  erbringen  

12  

audriga  GmbH  Dr.  Thomas  King  king@audriga.com  +49  721  170  293  172