In diesem Abschnitt geht es darum, einen groben Überblick darüber zu erhalten, wie ein Cloud-Anbieter eine hochverfügbare Infrastruktur plant, aufbaut und schützt – auch wenn die Verantwortung dafür vollständig beim CSP liegt.
Logisches Design
Wenn der offizielle Exam Outline als Grundlage genommen wird, werden in diesem Punkt zwei große Bereiche behandelt: Tenant Partitioning und Access Control. Beide wurden bereits in früheren Abschnitten ausführlich behandelt. Hier daher nur eine kurze Zusammenfassung.
Tenant Partitioning – da sich viele Kunden (Mandanten) in einem Cloud-Rechenzentrum dieselbe physische Hardware teilen, ist eine strikte logische Isolation zwischen diesen Mandanten unerlässlich. Um diese Isolation sicherzustellen, kommen folgende Maßnahmen zum Einsatz: virtuelle Netzwerktrennung (VLANs, VPCs, virtuelle Firewalls), VM-Isolation auf Hypervisor-Ebene, Verschlüsselung der Kundendaten, IAM-Policies sowie getrennte Storage-Bereiche pro Mandant.
Access Control – hier sorgt primär die Implementierung von Identity and Access Management (IAM) für die Sicherheit. Ergänzend dazu sind organisatorische Maßnahmen notwendig: Personen, die Systeme physisch oder logisch administrieren, müssen regelmäßig geschult werden. Aus technischer Sicht gelten hier dieselben Maßnahmen, die bereits im Abschnitt „Schutz der Management Plane“ beschrieben wurden.
Physisches Design
Dieser Punkt enthält eher „Nice-to-Know“-Informationen, die sich mit der Frage der Standortauswahl sowie „Bauen wir selbst oder kaufen wir eine bestehende Infrastruktur?“ beschäftigen.
Standortauswahl (Location)
Die Entscheidung, wo ein Rechenzentrum gebaut wird, sollte Regionen mit geringem Naturkatastrophenrisiko bevorzugen: Überschwemmungen, Waldbrände, Tornados oder Erdbeben sind relevante Faktoren. Unter anderem spielen auch die logistische Nähe zu Energieversorgern, Netzanbietern und Verkehrsanbindungen eine Rolle – ebenso wie die Möglichkeit, mehrere geografisch getrennte Rechenzentren für den redundanten Betrieb zu betreiben.
Bauen oder Kaufen
Ich wage es zu bezweifeln, dass diejenigen, die solche strategischen Entscheidungen treffen, dieses Buch jemals lesen würden.
Bauen – ermöglicht vollständige Kontrolle über Design, Sicherheit und Standort, ist aber mit den zusätzlichen Risiken und Kosten einer Baumaßnahme verbunden.
Kaufen – kann schneller und kosteneffizienter sein, erfordert aber eine gründliche Sicherheitsprüfung sowie Überlegungen bzgl. regulatorischer Anforderungen (Compliance) und langfristiger Skalierbarkeit.
Umweltbezogenes Design
Das Leben in Deutschland hat sehr ungewöhnliche Spuren hinterlassen, wenn ich das Wort „Umwelt“ höre, kommt automatisch „Schutz“ dazu. Beim Environmental Design geht es jedoch darum, wie die Infrastruktur vor äußeren Einflüssen geschützt werden kann.
HVAC (Heating, Ventilation, and Air Conditioning) – wer mit dem Betrieb von Rechenzentren zu tun hat, weiß, wie schnell enorme Abwärme erzeugt werden kann, was zum erzwungenen Herunterfahren von Hardwarekomponenten führen kann. Daher muss eine effiziente Luftzirkulation und Klimatisierung gewährleistet sein. Das Klima des Standortes beeinflusst die Designentscheidungen: In kalten Regionen kann Außenluft zur Kühlung genutzt werden (Free Cooling), in heißen Regionen hingegen sind leistungsfähige Kühlsysteme erforderlich.
Stromversorgung – das Thema lässt sich in zwei Bereiche unterteilen: Erstens muss eine Versorgungsstabilität garantiert werden, die sich durch zwei unabhängige Energieversorger realisieren lässt. Zweitens benötigt man unterbrechungsfreie Stromversorgungen (USV) und je nach Kritikalität der Infrastruktur – Notstromaggregate (Dieselgeneratoren) für den Fall eines Stromausfalls.
Design Resilient
Im letzten Anschnitt geht es darum, wie man die Infrastruktur konzipiert, damit die ersten Linien die äußeren Einflüsse und Ausfälle überstehen kann, ohne dass der Dienst für den Endnutzer unterbrochen wird.
Folgende Beispiele verdeutlichen diese Idee: Wenn die Infrastruktur in einem Erdbebengebiet gebaut werden muss, ist eine seismisch verstärkte Bauweise erforderlich. Besonders schützenswerte Systeme – z. B. der Netzwerk-Core, sollten sich in gesicherten Bereichen mit erhöhter Schutzstufe befinden.
Ein weiteres Grundprinzip des resilienten Designs ist Redundanz: Kritische Komponenten wie Stromversorgung, Netzwerkverbindungen und Kühlsysteme sollten mehrfach vorhanden sein, sodass beim Ausfall einer Komponente automatisch eine andere übernimmt (Failover).
Darüber hinaus sind Anpassungsfähigkeit und Modularität grundlegende Eigenschaften eines resilienten Designs – denn man muss in der Lage sein, schnell auf neue Bedrohungen sowie technische und regulatorische Änderungen reagieren zu können.