Das Dokument behandelt den Bedarf an Interoperabilität und Standardisierung in Cloud-Computing-Systemen, inklusive der Implementierung von Zertifizierungen zur Gewährleistung von Vertrauen in Cloud-Dienste. Es werden verschiedene Zertifizierungskriterien, wie EuroCloud und ISO/IEC 27001:2005, besprochen, sowie die Rolle von Anbietern und Nutzern im gegebenen Ökosystem hervorgehoben. Zudem wird die Notwendigkeit von Standards und die Herausforderungen einer Vielzahl von Cloud-Diensten thematisiert.

1. Cloud Standards und Zertifizierungen –
Bedarf und Wirklichkeit
CloudOps
Jürgen Falkner, Fraunhofer IAO
Sprecher der Fraunhofer-Allianz Cloud Computing
Frankfurt, 17.03.2011
© Fraunhofer IAO, IAT Universität Stuttgart

2. Agenda
Vorstellung der Fraunhofer-Gesellschaft /
des Fraunhofer IAO
Interoperabilität und Standardisierungsbedarf
Standards
Vertrauen durch Zertifizierung
© Fraunhofer IAO, IAT Universität Stuttgart Slide 2

3. Die Fraunhofer-Gesellschaft im Profil
Institute und Standorte
Fraunhofer-Zentrale
in München
Jährliches Forschungsvolumen: 1,6 Mrd. Euro*
Davon ca. 1,3 Mrd. Euro Vertragsforschung*
Erwirtschaftet zu ca. zwei Dritteln aus Erträgen
aus Projekten mit der Wirtschaft sowie
aus öffentlich finanzierten Forschungsprojekten
Zu ca. einem Drittel von Bund und Ländern für die
Vorlaufsforschung (Problemlösungen, die in fünf oder
zehn Jahren für die Wirtschaft und Gesellschaft aktuell
sein werden).
* Zahlen aus 2009
Fraunhofer-
Präsident
Prof. Bullinger
© Fraunhofer IAO, IAT Universität Stuttgart Slide 3

4. Die Fraunhofer-Gesellschaft im Profil
www.fraunhofer.de
Gründungsjahr: 1949
17 000 Mitarbeiter
Mehr als 80 Forschungseinrichtungen,
davon 60 Institute als selbständige Profit-Center
Fraunhofer International
Europa: Brüssel (Belgien), Budapest (Ungarn),
Jönköping (Schweden), Bozen (Italien) u.a.
USA: Boston (Massachusetts), Pittsburgh (Pennsylvania),
Plymouth (Michigan), Providence (Rhode Island),
College Park (Maryland), Peoria (Illinois)
Asien: Ampang (Malaysia), Beijing (China), Jakarta
(Indonesien), Koramangala Bangalore (Indien), Seoul
(Korea), Singapur, Tokio (Japan)
Naher Osten: Dubai (VAE), Kairo (Ägypten)
© Fraunhofer IAO, IAT Universität Stuttgart Slide 4

5. Fraunhofer IAO und IAT Universität Stuttgart
Gründungsjahr: IAO – 1981
IAT – 1991
Institutsleiter: Prof. Dr.-Ing. Dr.-Ing. E.h. Dieter Spath
Finanzvolumen: 28 Mio €, davon ca. 35 %
im Auftrag der Wirtschaft
Mitarbeiter: 400 Mitarbeiter,
Daten 2009, inklusive IAT der Universität Stuttgart
5 Geschäftsfelder
Unternehmensentwicklung und Arbeitsgestaltung
Dienstleistungs- und Personalmanagement
Engineering-Systeme
Informations- und Kommunikationstechnik
Technologie- und Innovationsmanagement
© Fraunhofer IAO, IAT Universität Stuttgart Slide 6

6. Fraunhofer-Allianz Cloud Computing
IT-Dienste aus der Wolke
© Fraunhofer IAO, IAT Universität Stuttgart

7. Agenda
Vorstellung der Fraunhofer-Gesellschaft / des Fraunhofer IAO
Interoperabilität und Standardisierungsbedarf
Standards
Vertrauen durch Zertifizierung
© Fraunhofer IAO, IAT Universität Stuttgart Slide 10

8. Teilnehmer im Cloud Ökosystem
Dienstleister
Dienstleister Enabler
Enabler
Nutzer und Anbieter von Software (as-a-Service)
Nutzer und Anbieter von Software (as-a-Service) Enabler
Enabler
Dienstleister
Dienstleister Enabler
Enabler
Nutzer und Anbieter von Cloud Plattformen
Nutzer und Anbieter von Cloud Plattformen Enabler
Enabler
Dienstleister
Dienstleister Enabler
Enabler
Nutzer und Anbieter von Cloud Infrastrukturen
Nutzer und Anbieter von Cloud Infrastrukturen Enabler
Enabler
© Fraunhofer IAO, IAT Universität Stuttgart Slide 11

9. Der Endnutzerarbeitsplatz
ERP aaS CRM aaS
Zielvorstellung…
Groupware aaS X aaS…
© Fraunhofer IAO, IAT Universität Stuttgart Slide 12

10. Integrationsbedarf Endnutzer
ERP aaS CRM aaS
Praxis…
Groupware aaS X aaS…
+ + + On Premise…
© Fraunhofer IAO, IAT Universität Stuttgart Slide 13

11. Standardisierungsbedarf Ebenenübergreifend
SaaS
API
PaaS
API
IaaS
Hintergründe:
Diversifizierung von »Zulieferern« (Failover, Redundanz…)
Vermeidung von Vendor Lock-in
Wechsel des Anbieters => Migration
© Fraunhofer IAO, IAT Universität Stuttgart Slide 14

12. Standardisierungsbedarf auf der PaaS-Ebene
Trust Delegation
Metering
Authorization
Accounting
Authentication
PaaS
Monitoring Payment
Billing
SDK /
SLAs / SSLAs
Development API
force.com APEX, Muster-
Windows Azure vertrag
AppFabric,
…
© Fraunhofer IAO, IAT Universität Stuttgart Slide 15

13. Standardisierung vs. neue Services im Cloud Ökosystem
Business Process Services
Business Process Services
Nutzer und Anbieter von Software (as-a-Service)
Nutzer und Anbieter von Software (as-a-Service)
Nutzer und Anbieter von Software (as-a-Service)
Nutzer und Anbieter von Software (as-a-Service)
Nutzer und Anbieter von Software (as-a-Service)
Nutzer und Anbieter von Software (as-a-Service)
Plattform Distribution
Plattform Distribution
Nutzer und Anbieter von Cloud Plattformen
Nutzer und Anbieter von Cloud Plattformen
Nutzer und Anbieter von Cloud Plattformen
Nutzer und Anbieter von Cloud Plattformen
Nutzer und Anbieter von Cloud Plattformen
Nutzer und Anbieter von Cloud Plattformen
Storage Distribution
Storage Distribution
Nutzer und Anbieter von Cloud Infrastrukturen
Nutzer und Anbieter von Cloud Infrastrukturen
und Anbieter von Cloud Infrastrukturen
Nutzer und Anbieter von Cloud Infrastrukturen
Nutzer und Anbieter von Cloud Infrastrukturen
Nutzer und Anbieter von Cloud Infrastrukturen
Nutzer
© Fraunhofer IAO, IAT Universität Stuttgart Slide 16

14. Agenda
Vorstellung der Fraunhofer-Gesellschaft / des Fraunhofer IAO
Interoperabilität und Standardisierungsbedarf
Standards
Vertrauen durch Zertifizierung
© Fraunhofer IAO, IAT Universität Stuttgart Slide 17

15. Opensource / Industriestandards – OpenStack
Unterstützer:
Rackspace, NASA (Nebula Cloud Computing Platform), Dell, Citrix, Cisco,
Canonical und weitere 50 Organisationen
=> http://www.openstack.org/community/companies/
Besteht aus:
OpenStack Compute
=> »cloud computing fabric controller«
OpenStack Object Storage
=> »software for creating redundant, scalable object storage«
Fokus: Weitere Informationen:
Weitere Informationen:
large-scale deployment http://wiki.openstack.org/
http://wiki.openstack.org/
scalability
© Fraunhofer IAO, IAT Universität Stuttgart Slide 18

16. Open Cloud Computing Interface
Verband: http://www.occi-wg.org/
Open Grid Forum
Mission:
»API specification for remote management of cloud computing
infrastructure«
Status:
Fertigstellung des Drafts
OCCI und OpenStack:
»The OCCI working group and the OpenStack team are working together
to deliver an OCCI implementation in OpenStack«
© Fraunhofer IAO, IAT Universität Stuttgart Slide 19

17. Marktmacht – Amazon EC2 / S3 API
Etablierte Cloud Services: Gründe:
Amazon Elastic Compute Cloud (EC2) Amazon Kunden den Umstieg
Amazon Simple Storage Service (S3) erleichtern
=> weite Verbreitung durch Vorreiterrolle Beispiele:
=> Nachahmung der APIs durch andere Eucalyptus / Ubuntu Enterprise
Mitbewerber Cloud (UEC)
Quelle:
TU München,
SSC News 2010/3,
Private Clouds und ihr
Einsatz am SCC
© Fraunhofer IAO, IAT Universität Stuttgart Slide 20

18. Agenda
Vorstellung der Fraunhofer-Gesellschaft / des Fraunhofer IAO
Interoperabilität und Standardisierungsbedarf
Standards
Vertrauen durch Zertifizierung
© Fraunhofer IAO, IAT Universität Stuttgart Slide 21

19. Vertrauen durch Zertifizierung
Beispiel: Fernseher-Kauf Beispiel Hotel
X as a Service
?
? ?
? ?
?
© Fraunhofer IAO, IAT Universität Stuttgart Slide 22

20. Zertifizierungen – Eurocloud Star Audit
http://www.saas-audit.de
Auditkriterien: Prozess:
Profil Fragebogen
Vertrag und Compliance Auswertung des Fragebogens
Sicherheit Vor-Ort-Gespräch
Betrieb und Infrastruktur Begehung
Betriebsprozesse Bewertung
Anwendung Verleihung Urkunde und Plakette
Implementierung Keine Veröffentlichung der
Detailergebnisse durch EuroCloud
Zunächst nur für SaaS, später auch PaaS und IaaS
© Fraunhofer IAO, IAT Universität Stuttgart Slide 23

21. Zertifizierungen – ISO/IEC 27001:2005
Anwendungsbereiche:
XXX
Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
Kosteneffizientes Management von Sicherheitsrisiken
Sicherstellung der Konformität mit Gesetzen und Regulatorien
Prozessrahmen für die Implementierung und das Management von Maßnahmen
zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
Definition von neuen Informationssicherheits-Managementprozessen
Identifikation und Definition von bestehenden Informationssicherheits-
Managementprozessen
Definition von Informationssicherheits-Managementtätigkeiten
Gebrauch durch interne und externe Auditoren zur Feststellung des
Umsetzungsgrades von Richtlinien und Standards
© Fraunhofer IAO, IAT Universität Stuttgart Slide 25

22. Zertifizierungen – SAS 70
Entwickelt vom
American Institute of Certified Public Accountants
(AICPA)
Zweck:
Prüfung der Kontrollmechanismen und -Prozesse in Rechenzentren
keine zwingend vorgegebene Struktur
orientiert sich an
COBIT der ISACA
BS7799 des BSI UK
Risikomodell COSO
Unterschied zw. Typ I und Typ II:
Typ I: Überprüfung findet statt
Typ II: Die Einschätzung des Auditors zur Effektivität
© Fraunhofer IAO, IAT Universität Stuttgart Slide 26

23. Was ist ein SAS 70 Audit?
„A SAS 70 audit is fairly straight forward, as the service organization
defines its control objectives with the collaborative efforts of the CPA
and other professionals involved in the audit process. The control
objectives, at the minimum, entail what the service organization is
marketing and offering to its clients such as the degree of security
within its data center facility, innovative equipment, secured
infrastructure and other enhanced services of the data center offered to its
customers. With ever-changing technology, experienced SAS 70 auditors
provide recommendations on improving and strengthening the
control environment while conducting the SAS 70 audit.“
Quelle: Ali Gheewala, 09. September 2010,
http://www.datacenterknowledge.com/archives/2010/09/09/sas-70-audits-can-increase-
marketability/
Ali Gheewala, of Gheewala CPA PLLC, is a Certified Public Accountant specializing in conducting
SAS 70 audits throughout the nation and helping data centers become SAS 70 Certified.
© Fraunhofer IAO, IAT Universität Stuttgart Slide 27

24. SkIDentity – Vertrauenswürdige Identitäten für die Cloud
Ziel: Tragfähiger Brückenschlag zwischen
sicheren elektronischen Ausweise (eID) und
Cloud Computing Infrastrukturen
http://www.skidentity.de/
© Fraunhofer IAO, IAT Universität Stuttgart Slide 28

25. Stuttgarter Softwaretechnik Forum
Datum: 27.-29. September 2011
Ort: Fraunhofer-Institutszentrum Stuttgart
Praxisvorträge und Erfahrungsberichte zu:
Stammdatenmanagement
Cloud Computing und SaaS
Business Process Management /
SOA
Begleitende Fachausstellung
⇒ www.ssf.iao.fraunhofer.de
© Fraunhofer IAO, IAT Universität Stuttgart Slide 29

26. Diskussion
Brauchen wir Standards?
Servicevielfalt statt Standardisierung?
Standards und Migrationsfreiheit in „der“ Cloud?
Welche Cloud-Standards gibt es noch?
Wer nutzt bereits Cloud-Standards?
Welche Standards sind die dringendsten?
Wie wichtig ist Open Source in der Cloud?
© Fraunhofer IAO, IAT Universität Stuttgart Slide 30

27. Kontaktdaten
Fraunhofer-Institut
für
Arbeitswirtschaft und Organisation (IAO)
Jürgen Falkner
Leiter CT Softwaretechnik
Sprecher der Fraunhofer-Allianz Cloud Computing
Mail: juergen.falkner@iao.fraunhofer.de
Web: www.swm.iao.fraunhofer.de
© Fraunhofer IAO, IAT Universität Stuttgart Slide 31