Aufbau und Absicherung[Gesponsert]

Security first: Die Open Telekom Cloud

| Autor: Dr. Dietmar Müller

Sicherheit in der Open Telekom Cloud: Neben zahlreichen Zertifizierungen stehen umfangreiche Security-Funktonen und -Services zur Verfügung.
Sicherheit in der Open Telekom Cloud: Neben zahlreichen Zertifizierungen stehen umfangreiche Security-Funktonen und -Services zur Verfügung. (Bild: © leowolfert - stock.adobe.com)

Die Open Telekom Cloud zeichnet sich durch viele Vorzüge aus, etwa die uneingeschränkte Skalierbarkeit, OpenStack, das flexible Preismodell oder die individuelle Konfiguration. Für viele Interessenten aber ist ein anderes Argument am ausschlaggebendsten: die Sicherheit.

Hier kann die Telekom zunächst einmal auf eine grundsolide Hardware verweisen – die Open Telekom Cloud wird nämlich in zwei hochsicheren Twin-Core-Standorten in Deutschland vorgehalten. In Biere hat der Provider sein „House of Clouds“ errichtet, es ist nur wenige Kilometer entfernt von seinem Pendant in Magdeburg. In Biere beträgt die die Gesamtfläche des Rechenzentrums 40.000 m², davon sind rund 6.000 m² reine IT-Fläche. Im prinzipiell baugleichen Rechenzentrum in Magdeburg wird eine Gesamtfläche von 36.000 m², davon etwa 9.000 m² reine IT Fläche, vorgehalten. Die Steuerung der beiden Zentren erfolgt von Magdeburg aus.

Die Nachfrage ist so groß, dass der Ausbau in Biere bereits auf Hochtouren läuft. Bis zum Frühsommer 2018 soll zu den bestehenden beiden Rechenzentrumsmodulen drei weitere hinzugefügt werden. Dadurch wird sich die Rechen- und Speicherleistung um rund 150 Prozent erhöhen. Schon jetzt stehen in Biere 20.000 Server in 1.400 Spezialschränken.

Die Gebäude sind durch modernste Sicherheitsanlagen geschützt. Jeder Zutritt wird durch einsame Zugangswege, zwei Meter hohe Zäune, Stacheldraht, einen vier Meter hoher Schutz-Erdwall, 300 Überwachungskameras, Infrarot-Scheinwerfer, schusssicher verglaste Sicherheitszentrale sowie fensterloser überirdischer Bunker strengstens kontrolliert.

Bei Bedarf sichern leistungsstarke Notstromaggregate die Stromversorgung. Zwölf Schiffsdieselmotorengewährleisten den Betrieb im Notfall für mindestens zwei Tage, sollte das benachbarte Umspannwerk, das gleich zweimal an eine 110-Kilovolt-Trasse angeschlossen ist, ausfallen. In der Folge garantiert der Betreiber T-Systems eine permanente Datenverfügbarkeit von bis zu 99,999 Prozent, was dem Sicherheitsniveau Tier 3+ entspricht.

Kundendaten und -anwendungen können in beiden Rechenzentren gespiegelt werden. Der Datenaustausch zwischen den beiden wenige Kilometer voneinander entfernten Data Centers findet über ein eigenes, vom Internet geschiedenes Netzwerk statt. Mittels redundanter Glasfaserleitungen (IP-VPN-Tunnel) ist der Verbleib der Daten in Deutschland gesichert.

Kommt es in einem der beiden Rechenzentren zu einer Störung, springt der Zwilling in die Bresche – natürlich ohne dass Informationen verloren gehen. Der Geschäftsbetrieb der Kunden geht ungestört weiter. Im Rechenzentrum in Biere sind bereits mehr als 50 renommierte Hard- und Softwareanbieter „als Mieter eingezogen“ – darunter Unternehmen wie SAP, Cisco oder Huawei.

Sicherheit ist zertifiziert

Der Betreiber T-Systems lässt sich beim Datenschutz durchaus in die Karten schauen: Die DEKRA machte langwierige Tests bis feststand, dass die Open Telekom Cloud die Anforderungen der weltweit geachteten Normen ISO 27017 für Datensicherheit und ISO 27018 für Datenschutz erfüllt. Die beiden Normen sorgen dafür, dass Kundendaten und Tools gegen Hacks und Missbrauch geschützt sind. Bereits 2016 hatte der TÜV Austria Deutschland die Open Telekom Cloud mit zwei Zertifikaten für das Cloud Security Managementsystem ausgezeichnet. Dies erfolgte nach den Zertifizierungsprogrammen CSA STAR und TÜV Trusted Cloud Service.

Die Open Telekom Cloud verfügt über folgende Zertifikate:

Zertifikate von Subunternehmen/Rechenzentren:

Gerüstet für die DSGVO

Ende Mai 2018 tritt bekanntlich die neue Europäische Datenschutzgrundverordnung DSGVO in Kraft - mit teils weitreichenden Konsequenzen für Unternehmen, insbesondere wenn es um die Nutzung von Cloud-Anwendungen geht. Die Sicherstellung des Datenschutzniveaus entsprechend der Artikel 28, 32 und 42 der DSGVO wird durch die entsprechenden Zertifizierungen gewährleistet – hier sind die Zertifikate ISO 27001, ISO 27017/18, TÜV Trusted Cloud Service, CSA STAR level 2, und TCDP 1.0 relevant.

Darüber hinaus enthält die Open Telekom Cloud DSGVO-relevante Security-Funktionen wie den Key Management Service (KMS) und ein Identity und Access Management (IAM). Um auch gegen massive Angriffe durch Mass-Mailings gewappnet zu sein, bietet die Open Telekom Cloud eine Anti-DDoS-Funktion zur Abwehr von Distributed-Denial-of-Service-Attacken. Zudem steht eine ganze Reihe von kostenlosen und Software-basierte Sicherheitsmechanismen zur Verfügung, die im Folgenden erläutert werden:

Security-Werkzeuge in der Open Telecom Cloud

Anti-DDoS erkennt DDoS-Angriffe selbstständig und schirmt die Services der Nutzer in der Open Telekom Cloud sicher ab. Maximal vergehen drei Sekunden, bis ein unautorisierter Zugriff erkannt und blockiert wird, so dass Anwendungen wie etwa ein Shopping-Dienst für Dritte aufrufbar bleiben. Für ausgefuchste Angriffe oberhalb von 2 Gigabits/Sekunde stehen Drittanbieter-Lösungen bereit, die als sogenanntes „Black Hole“ genutzt werden können. So können Zugriffe von Botnetzen schnell und einfach erkannt und gefiltert werden.

Das bereits erwähnte Identity & Access Management (IAM) sorgt dafür, dass nur berechtigte Personen Ressourcen in der Open Telekom Cloud nutzen können. Das Management erfolgt von einer einzigen Konsole aus, auch wenn es sich um Multi-Project-Management handelt: Dabei werden von ein und demselben Anwender verschiedene und unabhängige Projekte verwaltet.

Im Price Online Display sind Informationen über den Preisrechner des Cloud-Portals integriert. Beim Aufsetzen einer spezifischen Ressourcen-Kombination – virtuelle Maschinen, Betriebssystem, Storage, etc. – erhält der Nutzer eine Aussage zu den zu erwartenden Kosten sowohl auf Stundenniveau im Pay-as-you-use-Modus als auch für langfristige Reserved-Modelle.

Mit dem Tag Management Service können Administratoren bis zu zehn Tags für einzelne Ressourcen vergeben, um diese Projekten oder Kostenstellen zuzuordnen. Die Tags können auch aus externen Dritt-Services wie LDAP-Systemen stammen.

Ein Distributed Message Service über eine einfach bedienbare Web-Konsole erlaubt Anwendungen, untereinander Daten auszutauschen. Der Dienst ist hochskalierbar, weil er auf verteilten Compute-Clustern aufgesetzt ist. Auch bietet er eine Restful API, um auf die erzeugten Nachrichten zuzugreifen.

Mit dem Cloud-Orchestrierungs-Werkzeug HEAT der OpenStack Foundation können sich auch Laien als Programmierer bewähren: Heat nutzt Templates, um Skripte zu erzeugen, die den Umgang mit den verschiedenen Ressourcen automatisieren.

Der Key Management Service (KMS) vergibt Schlüssel an autorisierte Nutzer und verwaltet diese. Neu daran ist die Funktion "Grant Master Key" – damit können Schlüsselinhaber anderen Nutzern für eine bestimmte Zeit Zugriffsrechte einräumen.

Mit Simple Message Notifications können einzelne Ressourcen Nachrichten austauschen. Sie dienen aber auch dazu, Anwender automatisch über den Zustand der Ressourcen zu informieren.

Die Monitoring-Funktionen Cloud Eye (CES) und Cloud Trace warnen frühzeitig vor potentiellen Störungen– damit erfüllt das Angebot auch die Vorgaben nach Artikel 33 und 34 der DSGVO.

Im Not- und Zweifelsfall steht Anwendern auch der Kunden-Support der Open Telekom Cloud zur Verfügung. Er garantiert eine Antwortzeit von maximal vier Stunden. Erreichbar ist er 24 Stunden an sieben Tagen der Woche. Auch Trainings können auf Anfrage von T-Systems erbracht werden.

Datensicherheit nach Vertragsablauf

Dank OpenStack droht Anwendern der Open Telecom Cloud kein Vendor-Lock-in, das bedeutet, dass sie nach Vertragsablauf sämtliche Daten migrieren können. Das fordert auch der Artikel 20 der DSGVO. Die Telekom hält bei Beendigung des Vertrages alle Daten dreißig Kalendertage zur Abholung bereit. Sollte der Kunde die Daten nicht mehr wollen, werden sie auf allen Datenträgern vernichtet.

Die Telekom bietet über OpenStack hinaus Migration-as-a-Service (MaaS). Das Werkzeug unterstützt Daten-Kompression, Verschlüsselung und Konsistenzprüfungen und verschiebt Daten verschlüsselt und komprimiert. MaaS besteht aus drei Teildiensten: Object Data Migration, Image Migration und Database Migration. Die Übertragung erfolgt über das Internet-Protokoll.

Agil und sicher

Die Open Telekom Cloud macht es Anwendern einfach. Wie viel Rechenleistung und Speicherkapazität Anwender auch immer benötigt wird, ob für einmalige Marketing-Aktionen im Webshop, beim App-Launch oder für Big-Data-Analysen: mit der Open Telekom Cloud stehen diese immer sofort zur Verfügung. Und bezahlt wird nur das, was auch tatsächlich verbraucht wird.

Mit der Open Telekom Cloud greifen Anwender flexibel und bedarfsgerecht auf Ressourcen zu – ohne hohe Investitionen. Und unter maximalen Sicherheitsbedingungen.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45064400 / DSGVO - Datenschutz Grundverordnung)