Autor: Stan Kwong
Das Thema Sovereign Cloud gewinnt immer mehr an Bedeutung, wie auch kürzlich auf der VMware Explore in den USA deutlich wurde. Der geschätzte TAM des Sovereign-Cloud-Geschäfts beläuft sich bis 2025 auf 60 Milliarden US-Dollar, was nicht zuletzt auf die rasche Zunahme von Datenschutzgesetzen und die Komplexität der Compliance in stark regulierten Branchen zurückzuführen ist. (Derzeit haben 145 Länder Datenschutzgesetze.)
In dem Maße, in dem der Bedarf an der Monetarisierung von Daten wächst und die Länder versuchen, den wahren Wert von Daten zu realisieren, setzen wir die Bestandteile unseres Sovereign-Cloud-Standpunkts um: Sicherheit, Compliance, Kontrolle, Autonomie und Innovation.
Sie wissen jetzt, was Datensouveränität ist und wie sie sich auf das Geschäftsleben auswirkt, wenn es um personenbezogene, sensible oder klassifizierte Daten geht. Kommen wir nun dazu, wie ein Unternehmen durch die Wahl der richtigen Cloud-Architektur die Gesetze zur Datensouveränität besser einhalten kann.
Die meisten Unternehmen nutzen Cloud-Computing zumindest für einen Teil ihrer Daten. Die Cloud bietet mehr Flexibilität, Skalierbarkeit und Rechenleistung als herkömmliche interne Rechenzentren. Public Clouds sind aufgrund ihrer hohen Kapazität und niedrigen Kosten zwar beliebt, trotzdem haben einige Unternehmen begonnen, ihre Daten aus der Cloud zu verlagern, um Vorschriften einzuhalten. 81 % der Entscheidungsträger in regulierten Branchen haben einige oder alle Daten und Workloads aus Public Clouds zurückgeführt.1 Einige haben alle Daten wieder on-premises, andere nutzen einen Mix aus Public und Private Clouds. Im Grunde war der Schutz und die Verwertung nationaler Daten noch nie so wichtig beim Aufbau einer Cloud. Durch die Kombination der ständig steigenden Anzahl an länderspezifischen Vorschriften, darunter der US-amerikanische CLOUD Act, die EU-Datenschutz-Grundverordnung (DSGVO), das chinesische „Personal Information Protection Law“ und die Datenschutzgesetze in 132 Ländern, deren Anzahl jährlich um etwa 10 % zunimmt, ist es sehr wichtig, die richtige Lösung für Datensouveränität auszuwählen.
Um besser zu verstehen, warum ein bestimmtes Cloud-Modell für ein Unternehmen möglicherweise besser geeignet ist, hier die gängigen Cloud-Architekturen im Überblick:
- Public Cloud: Public Clouds bieten bedarfsorientierte Computing-Services und Infrastruktur, die von einem Drittanbieter verwaltet und von mehreren Organisationen über das öffentliche Internet gemeinsam genutzt werden. Sie sind in der Regel mandantenfähig, d. h. mehrere Kunden teilen sich denselben Server, auch wenn dieser partitioniert ist, um unbefugten Zugriff zu verhindern. Public Clouds bieten hohe Skalierbarkeit zu niedrigen Kosten.
- Private Cloud: Private Clouds bieten eine dedizierte Infrastruktur für eine einzige Organisation von Anwendern. Eine Private Cloud kann entweder im eigenen Rechenzentrum eines Unternehmens, in einer Einrichtung eines Drittanbieters oder über einen Private-Cloud-Anbieter gehostet werden. Aufgrund von Zugriffsbeschränkungen ist diese Lösung in der Regel sicherer als eine
Public Cloud und ermöglicht es, regulatorische Auflagen z. B. hinsichtlich Datenschutz und -souveränität zu erfüllen. Für ihre Einrichtung und Wartung sind jedoch mehr Ressourcen erforderlich. - Community Cloud: Hierbei handelt es sich um eine gemeinsame, integrierte Cloud, die mehrere Organisationen oder Mitarbeiter zur Zusammenarbeit verbindet. Beispielsweise können mehrere Private Clouds miteinander verbunden werden, um den Datenaustausch zu erleichtern. Community Clouds werden häufig in regulierten Branchen genutzt, in denen Public Clouds nicht in Frage kommen. Da mehrere Gruppen beteiligt sind, ist die Einrichtung jedoch kompliziert.
- Government Cloud: Dies ist eine Art von Private Cloud oder Community-Cloud, die speziell für Regierungsbehörden entwickelt wurde, um Souveränität und Kontrolle zu gewährleisten.
- Multi-Cloud: Bei einer Multi-Cloud-Lösung nutzen Unternehmen mehrere Public Clouds, um von unterschiedlichen Funktionen zu profitieren. Ein Unternehmen kann einige Services in einer Cloud hosten und andere bei einem anderen Anbieter. Dieses Modell birgt aufgrund des Datenvolumens und des Zugriffs das höchste Sicherheitsrisiko.
- Hybrid Cloud: Dies ist ein Mix aus Public und Private Clouds. Manchmal wird der Begriff auch für eine Kombination aus Public Cloud und privaten On-Premises-Rechenzentren verwendet.
Public Clouds kommen für öffentliche Informationen in Frage, die keinen Gesetzen zur Datensouveränität unterliegen. Zur Einhaltung allgemeiner Compliance-Auflagen ist eine Hybrid Cloud oder eine noch privatere Lösung erforderlich. Private Clouds können Anforderungen an die Datensouveränität erfüllen, erfordern aber dedizierte Rechenzentren, die entweder vom Unternehmen selbst oder über einen Anbieter mit dedizierter Hardware betrieben werden. Das kann kostspielig und zeitaufwendig sein. Aber die schnellste oder einsatzbereite Lösung weist möglicherweise nicht das für Souveränität nötige Sicherheits- oder Compliance-Niveau auf. Beim Abwägen zählen zu den wichtigsten Faktoren Kontrolle der Gerichtsbarkeit, lokale Aufsicht, Datenportabilität und Anpassbarkeit, um nur einige zu nennen.
Sovereign Cloud ist eine Option, die speziell entwickelt wurde, um Anforderungen an die Datensouveränität zu erfüllen. Stellen Sie sich diese Sovereign Cloud als eine Art Semi-Private-Cloud vor, die einige der besten Funktionen von Public Clouds und Private Clouds vereint. Sie werden von erfahrenen Cloud-Anbietern in kleineren, lokalen, mandantenfähigen Rechenzentren betrieben. Eine Sovereign Cloud bietet die Vorteile der Datensouveränität einer Private Cloud ohne die IT-Komplexität.
Sovereign Clouds können als Teil einer Hybrid-Cloud-Architektur in Kombination mit Public Clouds verwendet werden. Dabei verbleiben Daten und Services, die Gesetzen zur Datensouveränität unterliegen, in der Sovereign Cloud, und nicht sensible Daten und Services können in der Public Cloud gespeichert werden. Der Austausch von Daten zwischen diesen Clouds muss sorgfältig kontrolliert werden, um Compliance sicherzustellen.
Bei der Auswahl eines Sovereign-Cloud-Anbieters sind Anpassbarkeit, Flexibilität und reibungslose Implementierung wichtige Faktoren. Zur Einhaltung von Compliance-Auflagen müssen Sie in der Lage sein, Betriebsabläufe und Zugriff zu prüfen. Lokale, selbstzertifizierte Sovereign-Cloud-Anbieter können Anforderungen an die Datenresidenz korrekt umsetzen, implementieren und erstellen, sodass die Anforderungen an Datenresidenz und -souveränität erfüllt werden. Außerdem müssen Einschränkungen und Kontrolle der Gerichtsbarkeit beim grenzüberschreitenden Datenaustausch berücksichtigt werden. Um auf Datenschutzbedenken einzugehen, dürfen Daten nicht remote verarbeitet werden. Letztlich stellen Sie mit echter Souveränität sicher, dass andere Gerichtsbarkeiten keine Verfügungsgewalt über Daten geltend machen können, die über ihre nationalen Grenzen hinaus gespeichert werden, und fördern so das Wachstum der nationalen Datenwirtschaft.
Echte Sovereign Clouds erfordern ein höheres Maß an Schutz und Risikomanagement für Daten und Metadaten als typische Public Clouds. Neben den Daten selbst müssen auch die Metadaten geschützt werden, d. h. die Informationen über die Daten, wie IP-Adressen oder Hostnamen. VMware Sovereign Cloud Provider bieten Transparenz hinsichtlich ihrer Sicherheitsmaßnahmen. Das gilt sowohl für die Cybersecurity-Maßnahmen als auch für die physische Sicherheit im Rechenzentrum.
Argumente für VMware Sovereign Cloud Provider
- Vertrauenswürdige, zugelassene Partner, die erstklassige IaaS-Sicherheit und Compliance anbieten
- Experten für lokale Plattformen und lokale Datenschutzgesetze
- Stellen flexible und anpassbare Lösungen mit niedrigen TCO bereit, die Wahlfreiheit und Kontrolle für Daten bieten
- Bieten umfassende, zukunftssichere Lösungen, die mit den Kundenanforderungen wachsen
Kunden, die Sovereign-Cloud-Lösungen benötigen, erwarten Know-how und Transparenz von VMware Sovereign Cloud Providern, die Sicherheit sowie Compliance mit lokalen Datenschutz- und Datensouveränitätsgesetzen gewährleisten. Dieses Know-how und diese Transparenz sind unentbehrlich,
um das richtige Maß an Datensicherheit und Compliance zu ermöglichen.
Finden Sie jetzt einen Sovereign Cloud Provider, sehen Sie sich die neueste Infografik zu VMware Sovereign Cloud an oder tauschen Sie sich in unserer LinkedIn-Community mit anderen aus.
Quelle:
IDC, im Auftrag von VMware: Deploying the Right Data to the Right Cloud in Regulated Industries, Juni 2021
Sie möchten bei VMware immer up to date sein? Dann folgen Sie VMware auf Twitter, XING, LinkedIn, Youtube & Podcast