Eine Bestandsaufnahme von Standardisierungspotentialen und -lücken im Cloud Computing

Transkript

1 Eine Bestandsaufnahme von Standardisierungspotentialen und -lücken im Cloud Computing 11. Internationale Tagung Wirtschaftsinformatik, 28. Februar 2013 Robin Fischer, Christian Janiesch, Joachim Strach, Nicolai Bieber, Wolfgang Zink und Stefan Tai Lehrstuhl für Ökonomie und Technologie der eorganisation, Prof. Tai KIT University of the State of Baden-Württemberg and National Laboratory of the Helmholtz Association

2 Zielsetzung der Bestandsaufnahme von Standardisierung im Cloud Computing! Bereitstellung von Orientierungswissen über Normen und Standards im Cloud Computing! Identifikation und Definition von Bereichen für Technikkonvergenz! Analyse initiierter neuer Themen bei den Regelsetzern / Ableitung nationale Strategie! Empfehlungen zur Unterstützung von Standardisierungsaktivitäten im Aktionsprogramm Durchgeführt von Auftraggeber 2

3 Agenda! 1) Welche Herausforderungen und Ansatzpunkte existieren für die Standardisierung im Cloud Computing?! Literaturrecherche zu Herausforderungen und Ansatzpunkten! Diskussion der Ergebnisse mit Experten! Validierung der Ergebnisse durch Umfrage! 2) Welche Standards bzw. Standardisierungsinitiativen mit Relevanz für Cloud Computing sind zu beobachten?! Erhebung der Relevanz von Standards für Cloud Computing! Vorgehen zur Auswahl, Klassifikation und Bewertung von Standards! Standardisierungslandkarte! 3) Welche Potenziale und Lücken für weitere Standards und Standardisierungsinitiativen lassen sich identifizieren?! Erhebung des Standardisierungspotenzials! Vorgehen zur Identifizierung von Lücken! Landkarte von Standardisierungspotentialen und lücken 3

4 Identifikation von neun übergeordneten Herausforderung für Cloud Computing Blickwinkel Herausforderungen im Cloud Computing (1. Detaillierungsebene) Anbieterinteressen 1 2 Effizienz der Dienstebereitstellung Effektivität der Dienstenutzung und -steuerung 3 Transparenz der Leistungserbringung und Abrechnung Anwenderinteressen Informationsicherheit Datenschutz Interoperabiltität zwischen Cloud Diensten bzw. mit on premise IT Herausforderungen für die Normierung und Standardisierung 7 Portabiltität zwischen Anbietern Übergeordnete Interessen 8 9 Sicherstellung funktionierender Wettbewerb Compliance mit geltender Rechtslage 4

5 Detaillierung der Herausforderungen Herausforderungen im Cloud Computing (1. & 2. Detaillierungsebene) 1 Effizienz der Dienstebereitstellung 4 Informationsicherheit a Nutzung von Entwicklungstools & -komponenten a Identitäts- & Rechtemanagement b Aufbau skalierbarer Architekturen b Vertraulichkeit & Integrität c Ressourcenmanagement & Flexibilität c Zugriffsschutz, Logging, Abwehr von Angriffen d Verfügbarkeit der Services d Nachweis & Zertifizierung 2 Effektivität der Dienstenutzung und Steuerung 5 Datenschutz a b c Vertragsgestaltung inkl. Haftungsfragen Steuerung der Services durch den Anwender Governance / Eskalationsmechanismen 6 a b Interoperabiltität Migration in die / aus der Cloud Integrationsfähigkeit in on-premise IT c Cloud Federation 3 Transparenz der Leistungserbringung und Abrechnung 7 Portabiltität zwischen Anbietern a b Abrechnung inkl. Lizenzmanagement Qualitätssicherung & Überwachung SLA a b Dienst-Portabilität Daten-Portabilität c Art und Ort der Datenverarbeitung 8 Sicherstellung eines funktionierendem Wettbewerb 9 Compliance mit geltender Rechtslage 5

6 Ansatzpunkte der Standardisierung Bereich Ansatzpunkte Beispiele Technik Management Recht Ansatzpunkte der Standardisierung/ Normierung Datei- & Austauschformate OVF, EC2, USDL, CIM SVM Programmiermodelle MapReduce, JAQL, PIG, HIVE Protokolle & Schnittstellen OCCI, CDMI, CloudAudit, Google DLF, Standardkomponenten & Referenzarchitekturen, OSGI, NIST RM, IBM RM, DMTF, CTP, Benchmarks & Tests Benchmarking Suites, Security Assessment,. Geschäftsmodelle IaaS, PaaS, SaaS-Betreibermodelle, Service Level Agreements WS-Agreement, Business SLAs, Vertragsbedingungen EVB-IT, EU SVK, Bausteine für AGB, EULA Managementmodelle & -prozesse ISO 27001/27002, ITIL, COBIT, Controllingmodelle & -prozesse SSAE, SAS 70,. Leitfäden, Audit, etc. BSI Eckpunktepapier, NIST UC, EuroCloud LRD&C Rechtliche Vorgaben EU Datenschutzrichtlinie, BDSG, Safe Harbor Selbstverpflichtungen Open Cloud Manifesto, Unternehmensrichtlinien Interne Policies, 6

7 Agenda! 1) Welche Herausforderungen und Ansatzpunkte existieren für die Standardisierung im Cloud Computing?! Literaturrecherche zu Herausforderungen und Ansatzpunkten! Diskussion der Ergebnisse mit Experten! Validierung der Ergebnisse durch Umfrage! 2) Welche Standards bzw. Standardisierungsinitiativen mit Relevanz für Cloud Computing sind zu beobachten?! Erhebung der Relevanz von Standards für Cloud Computing! Vorgehen zur Auswahl, Klassifikation und Bewertung von Standards! Standardisierungslandkarte! 3) Welche Potenziale und Lücken für weitere Standards und Standardisierungsinitiativen lassen sich identifizieren?! Erhebung des Standardisierungspotenzials! Vorgehen zur Identifizierung von Lücken! Landkarte von Standardisierungspotentialen und -lücken 7

8 Standardbegriff Formalisierung Höherer Grad der Formalisierung geht einher mit leichterer Zertifizierbarkeit, mehr Mitbestimmung und steigendem Aufwand bei der Erstellung Spezifikation Industriestandard Offener Standard Rechtliche Vorgabe Norm Cloud-Standards Standards Zertifizierung (Referenz-)Implementierung Orientierungswissen Vorarbeiten Verbindlichkeitswirkung (typischerweise) Die höhere Wirkung der Normen und Standards ergibt sich aus transparenten Prozessen und Einbeziehung der Öffentlichkeit bei der Definition 8

9 Vorgehen und Kriterien zur Auswahl und Bewertung von Standards im Cloud Computing Vorgehen Kriterien Illustration Fokus Auswahl Standards 2a Betrachtete Standards 2b Prototypische Standards (+ ähnliche Standards ( 35) 2a: a) Bezug zum Cloud Computing b) Branchenbezug und Ansatzpunkt 2b: a) Verschiedenartigkeit bzgl. Herausforderungen und Ansatzpunkten b) Vorbildhaftigkeit c) Bewertung Bewertung Standard- Steckbriefe 2c 21 8 Standardisierungslücken 2c: a) Durchsetzungsfähigkeit b) Qualität / Reifegrad c) Partizipationsmöglichkeit 9

10 Standardisierungslandkarte für Cloud Computing Ansatzpunkte der Standardisierung Technik Manage ment Recht Datei- & Austauschformate 1 2 Effektivitäparensicherheischuterabiltitäbiltitäbewerb 3 Trans- 4 Info- 5 Daten- 6 Interop- 7 Porta- 8 Wett- 9 Compliance Effizienz CIMSVM, OVF, TOSCA, USDL, WS-* USDL, WS-* SCAP, WS-* CIMSVM, OVF, TOSCA, SCAP, USDL, WS-* CIMSVM, OVF, TOSCA, USDL Programmiermodelle Hive Hive Hive Protokolle & Schnittstellen Standardkomponenten & Referenzarchitekturen Benchmarks & Tests CDMI, CIMSVM, CTP, OCCI,, WS-* CDMI, CIMSVM, CTP, CCRA, CDMI, CTP, OCCI, CDMI, CTP, CCRA, CloudAudit, CTP, WS-* CTP, CCRA CTP, Oauth, SCAP, WS-* CTP, CCRA, BSI-ESCC BSI-ESCC CDMI, CIMSVM, OCCI,, SCAP, WS-* CDMI, CIMSVM, CIMSVM, OCCI, CIMSVM, Geschäftsmodelle USDL USDL USDL USDL Service Level Agreements USDL USDL USDL USDL Vertragsbedingungen USDL USDL USDL USDL Managementmodelle & - prozesse Controlling Leitfäden Rechtliche Vorgaben GRC GRC GRC, SSAE-16 GRC CTP, EuroCloud-SA, GRC CTP, EuroCloud- SA, GRC, NIST- UC CTP, EuroCloud-SA, NIST-UC SSAE-16 CTP, BSI-ESCC, EuroCloud-SA, GRC, NIST-UC BSI-ESCC, EuroCloud-SA, NIST-UC 95/46/EG NIST-UC EuroCloud-SA Selbstverpflichtungen OCM OCM OCM OCM OCM Unternehmensrichtlinien Herausforderungen im Cloud Computing CloudAudit EuroCloud-SA, GRC 10

11 Beispiel für einen Standardsteckbrief: Open Virtualization Format (OVF) Open Virtualization Format (OVF) BASIS- INFORMATION TAXONOMIE GELTUNGS- BEREICH BEWERTUNG Status Veröffentlicht Formalisierung Standard Bezug zu CC Explizit Initiator DMTF Beteiligte >100 Link Ansatzpunkte! T Datei- & Austauschformate Herausforderungen Service-Modell IaaS Nutzergruppe Alle! Effizienz! Interoperabilität! Portabilität Branche Übergreifend Deployment Alle Geographie Global Unternehmensgröße Alle Reifegrad Hoch Durchsetzungsfähigkeit Mittel bis hoch Partizipationsmöglichkeit Hoch ÄHNLICHE STANDARDS AMI, EMI, Xen, vmdk,... 11

12 Agenda! 1) Welche Herausforderungen und Ansatzpunkte existieren für die Standardisierung im Cloud Computing?! Literaturrecherche zu Herausforderungen und Ansatzpunkten! Diskussion der Ergebnisse mit Experten! Validierung der Ergebnisse durch Fragebogenumfrage! 2) Welche Standards bzw. Standardisierungsinitiativen mit Relevanz für Cloud Computing sind zu beobachten?! Erhebung der Relevanz von Standards für Cloud Computing! Vorgehen zur Auswahl, Klassifikation und Bewertung von Standards! Standardisierungslandkarte! 3) Welche Potenziale und Lücken für weitere Standards und Standardisierungsinitiativen lassen sich identifizieren?! Erhebung des Standardisierungspotenzials! Vorgehen zur Identifizierung von Lücken! Landkarte von Standardisierungspotentialen und -lücken 12

13 Vorgehen zur Identifikation von Standardisierungslücken Schritt 1.1 Einordnung der Cloud-Standards Schritt 1.2 Potenzialanalyse für Standardisierung Technik Manage ment Recht Datei- & Austauschformate 1 2 Effektivitäparensicherheischuterabiltitäbiltitäbewerb 3 Trans- 4 Info- 5 Daten- 6 Interop- 7 Porta- 8 Wett- 9 Compliance Effizienz 1 2 Effektivitäparensicherheischuterabiltitäbiltitäbewerb 3 Trans- 4 Info- 5 Daten- 6 Interop- 7 Porta- 8 Wett- 9 Compliance Effizienz CIMSVM, OVF, USDL, WS-* USDL, WS-* SCAP, WS-* CIMSVM, OVF, SCAP, USDL, WS-* CIMSVM, OVF, USDL Programmiermodelle Hive Hive Hive Protokolle & Schnittstellen Standardkomponenten & Referenzarchitekturen Benchmarks & Tests CDMI, CIMSVM, CTP, OCCI,, WS-* CDMI, CIMSVM, CTP, CCRA, CDMI, CTP, OCCI, CDMI, CTP, CCRA, CloudAudit, CTP, WS-* CTP, CCRA CTP, Oauth, SCAP, WS-* CTP, CCRA, BSI-ESCC BSI-ESCC CDMI, CIMSVM, OCCI,, SCAP, WS-* CDMI, CIMSVM, CIMSVM, OCCI, CIMSVM, Geschäftsmodelle USDL USDL USDL USDL Service Level Agreements USDL USDL USDL USDL Vertragsbedingungen USDL USDL USDL USDL Managementmodelle & - prozesse Controlling Leitfäden Rechtliche Vorgaben GRC GRC GRC, SSAE-16 GRC CTP, EuroCloud- SA, GRC CTP, EuroCloud-SA, GRC, NIST-UC CTP, EuroCloud-SA, NIST-UC SSAE-16 CTP, BSI-ESCC, EuroCloud-SA, GRC, NIST-UC BSI-ESCC, EuroCloud-SA, NIST-UC NIST-UC EuroCloud-SA Selbstverpflichtungen OCM OCM OCM OCM OCM Unternehmensrichtlinien 95/46/EG CloudAudit EuroCloud-SA, GRC Datei- & Austauschformate Programmiermodelle Technik Protokolle & Schnittstellen Manage ment Recht Standardkomponenten & Referenzarchitekturen Benchmarks & Tests Geschäftsmodelle Service Level Agreements Vertragsbedingungen Managementmodelle & - prozesse Controlling Leitfäden Rechtliche Vorgaben Selbstverpflichtungen Unternehmensrichtlinien Potenzial der Standardisierung: Ja Eher ja Eher nein Nein Datei- & Austauschformate Programmiermodelle Technik Protokolle & Schnittstellen Manage ment Recht Standardkomponenten & Referenzarchitekturen Benchmarks & Tests Geschäftsmodelle Service Level Agreements Vertragsbedingungen Managementmodelle & - prozesse Controlling Leitfäden Rechtliche Vorgaben Selbstverpflichtungen 1 2 Effektivitäparensicherheischuterabiltitäbiltitäbewerb 3 Trans- 4 Info- 5 Daten- 6 Interop- 7 Porta- 8 Wett- 9 Compliance Effizienz Potential für neue Standards ( Lücke ): Hoch Erhöht Vorhanden Unternehmensrichtlinien Schritt 2 Identifikation und Bewertung von Lücken 13

14 Schritt 1.2: Identifikation von Bereichen, die Standardisierungspotenzial besitzen Datei- & Austauschformate Herausforderungen im Cloud Computing 1 2 Effektivitäparensicherheischuterabiltitäbiltitäbewerb 3 Trans- 4 Info- 5 Daten- 6 Interop- 7 Porta- 8 Wett- 9 Compliance Effizienz Ansatzpunkte der Standardisierung Technik Manage ment Recht Programmiermodelle Protokolle & Schnittstellen Standardkomponenten & Referenzarchitekturen Benchmarks & Tests Geschäftsmodelle Service Level Agreements Vertragsbedingungen Managementmodelle & - prozesse Controlling Leitfäden Rechtliche Vorgaben Selbstverpflichtungen Unternehmensrichtlinien Potenzial der Standardisierung: Ja Eher ja Eher nein Nein 14

15 Schritt 2: Identifikation von Lücken in der Standardisierung für Cloud Computing Datei- & Austauschformate Herausforderungen im Cloud Computing 1 2 Effektivitäparensicherheischuterabiltitäbiltitäbewerb 3 Trans- 4 Info- 5 Daten- 6 Interop- 7 Porta- 8 Wett- 9 Compliance Effizienz Ansatzpunkte der Standardisierung Technik Manage ment Recht Programmiermodelle Protokolle & Schnittstellen Standardkomponenten & Referenzarchitekturen Benchmarks & Tests Geschäftsmodelle Service Level Agreements Vertragsbedingungen Managementmodelle & - prozesse Controlling Leitfäden Rechtliche Vorgaben Selbstverpflichtungen Unternehmensrichtlinien Potenzial der Standardisierung: Ja Eher ja Eher nein Potential für neue Standards ( Lücke ): Hoch Erhöht Vorhanden Nein 15

16 Diskussion! Existierende Standardisierungslücken! öffentliche Anforderungen müssen formuliert werden! Lücken priorisieren! Anreize für offene Standards setzen! Eckpunkte setzen um Doppelarbeit zu vermeiden! Bestehende Standards! Prüfung bzgl. Offenheit! kontinuierliche Katalogisierung notwendig 16

17 Ausblick Public EU / International Policy Makers & Reg. Bodies Trusted Cloud Community Standards Bodies Users & Content Providers Cloud Consumers Cloud Providers Experts S1 S2... Sn Online Services Multi-Stakeholder Platform DB1... DBn Repositories 17

18 Fragen?! Kontakt Robin Fischer Christian Janiesch 18