Sysbus
ArtikelCloud

Ist die Cloud immer noch kostengünstiger?

dcg

Autor/Redakteur: Frank Thias, Principal Solutions Engineer bei F5/gg

Public-Cloud-Provider müssen angesichts steigender Stromkosten ihre Preise deutlich anheben. Damit stellt sich die Frage, ob die Cloud weiterhin kostengünstiger ist als der Betrieb im eigenen Rechenzentrum.

Bild: F5

Lange Zeit versprach die Digitalisierung zwei wesentliche Vorteile: sowohl eine schlankere Kostenbasis als auch die Chance, neue digitale Geschäftsmodelle aufzubauen und weitere Umsatzquellen zu erschließen. Die Cloud galt dabei als eine Schlüsselkomponente für die IT, um Geschäftsprozesse digital zu gestalten und ein neues Niveau an operativer Effizienz zu erlangen. Aufgrund der steigenden Stromkosten müssen Public-Cloud-Anbieter jedoch ihre Dienstleistungen erheblich verteuern.

Auswirkungen der Energiekrise

Ob nun Cloud oder On-Premises kostengünstiger sind, lässt sich nicht so einfach beantworten. Durch die Energiekrise steigen die Stromkosten quasi überall. Dies verteuert sowohl den Bezug von Cloud-Services als auch den Betrieb im eigenen Rechenzentrum. Entsprechend müssen Unternehmen ihre IT-Budgets umverteilen. Dies geht häufig auf Kosten der Innovation der IT-Services. Daher ist es durchaus empfehlenswert, Aufwand und Nutzen der jeweiligen Alternativen immer wieder zu überprüfen. Sind die aktuellen wirtschaftlichen Bedingungen ein Anlass, konservativ zu sein oder sind sie eher ein zusätzliches Motiv, um jetzt erst recht auf die Cloud zu setzen?

Je nach individueller Situation mag die Kosten-Nutzen-Rechnung eher für die Cloud oder für On-Premises sprechen. Doch aus rein finanzieller Sicht kann die Cloud nur eine temporäre Lösung in diesem Kontext sein. Denn letztlich kann niemand vorhersehen, wie sich die Preisspirale bei den Energiekosten weiterentwickeln wird. Daher sollten Unternehmen neben den Kosten auch die weiteren Vor- und Nachteile der Cloud genau analysieren.

Die Chancen der Cloud

Ein großer Vorteil der Cloud ist die organisatorische und technische Standardisierung der Prozesse und Abläufe. Das eingebaute Autoscaling vereinfacht deutlich die Erweiterbarkeit und Skalierbarkeit der Services. Damit erhöht sich auch die Flexibilität der Bereitstellungen. Zudem sprechen die einfachere Bedienung, Automatisierungen, integrierte Funktionen und Dienste für eine Cloud-Plattform.

Angesichts der zunehmenden IT-Angriffe wird die Sicherheit immer wichtiger. Einheitliche Security-Konfigurationen und -Prozesse erleichtern den Überblick für das IT-Management. Ein integrierter Schutz vor DDoS-Attacken und eine eingebaute Redundanz der Cloud-Systeme verbessert die Abwehr von Angriffen sowie die Business Continuity. Hybride und Multi-Cloud-Lösungen verhindern zusätzlich einen Vendor Lock-In. Dann können sogar die Dienste eines Anbieters komplett ausfallen, ohne dass dies die eigenen Geschäftsprozesse wesentlich beeinträchtigt.

Die Risiken der Cloud

Demgegenüber weist der Cloud-Einsatz auch mögliche Nachteile auf. So müssen die Unternehmensprozesse und Workflows angepasst werden, in der Regel zu agilen Prozessen auf Scrum-Basis. In der Praxis führt dies häufig zunächst zu einem Stillstand neuer Projekte, bis die Teams entsprechend aufgestellt sind. Die Umstellung erfordert auch eine gewisse Flexibilität auf Seiten der Mitarbeitenden und ihre Bereitschaft, diesen Weg mitzugehen. Change Management und Transformation nehmen häufig zwei bis drei Jahre in Anspruch.

Das Kostenmodell „pay per use“ wird zwar häufig als Vorteil genannt, da nur tatsächlich benötigte Dienste abgerechnet werden. Jedoch sind die genauen Kosten schwer kalkulierbar, aufgrund der sehr flexiblen Nutzung der Services. Regelmäßiges Reporting ist daher zwingend notwendig. Je flexibler das Nutzungsmodell, desto höher fallen häufig die Kosten für den Service aus. Zudem werden die steigenden Energiekosten auf die Cloud-Kunden umgelegt.

Grafik: F5

In der Regel werden Cloud-Services automatisiert betrieben. Daher muss die Automation durch kompetentes Fachpersonal angepasst werden. Auch die Security-Konfiguration für unterschiedliche Clouds erfordert qualifizierte Fachkräfte, da diese meist nicht einheitlich möglich ist. Zusätzlich unterscheidet sich die Qualität der Security-Services, wodurch sich das Umsetzen einer konsistenten Security Policy erschwert. Zumindest stehen einheitliche Cloud-basierte Lösungen für WAF, DDoS- und Bot-Abwehr zur Verfügung, um ein konsistentes und sicheres Framework zu etablieren.

Bei der Sicherheit gilt es, weitere Herausforderungen zu beachten. Der integrierte DDoS-Schutz dient in der Regel dazu, die gesamte Cloud-Plattform zu schützen und nicht individuelle Services. Sind individuelle Konfigurationen möglich, bleiben diese oft stark eingeschränkt und das Reporting ist sehr generisch. Zudem gibt es häufig keinen Layer-7-DDoS-Schutz. Mögliche Fehlkonfiguration werden sogar repliziert und erhöhen das Security-Risiko. Tritt bei einheitlichen Systemen eine Security-Schwachstelle in nur einem System auf, sind alle Systeme davon betroffen. Problematisch sind auch Supply-Chain-Angriffe, die sich auf sämtliche Systeme auswirken, in denen die Komponente oder Software eingesetzt wird. In der Praxis kann sogar die gesamte Cloud-Plattform ausfallen. Kunden sollten sich auf dieses Szenario vorbereiten.

Je mehr Clouds zum Einsatz kommen, desto höher wird die Komplexität und damit die Anzahl der Angriffsvektoren. Neben der eigentlichen Datenebene muss auch die Management-Ebene geschützt werden. Hierzu eignen sich etwa WAFs für Webanwendungen und APIs. Die Authentisierung findet im Bereich der APIs Token-basiert, mittels mTLS oder API-Key, statt. Bei einer hohen Anzahl von Micrsoservices ist es empfehlenswert, eine Application Infrastructure Protection (AIP) einzuführen. Sie entdeckt Anomalien mit Hilfe von Agenten auf den Instanzen und meldet diese. Damit lässt sich die Infrastruktur stärker absichern.

Lösungen in der Praxis

Die jeweiligen Stärken und Schwächen der Cloud-Angebote – ob allgemein oder anbieter-spezifisch – führen dazu, dass Unternehmen in der Praxis typischerweise auf Hybrid-Cloud oder Multi-Cloud setzen. Damit wollen sie das Beste aus allen Welten kombinieren, also von On-Premises und mehreren Hyperscalern.

Meist verbleiben dabei kritische Daten, etwa im Finanz- und Gesundheitswesen, im eigenen Datacenter. Denn beim Anbinden der Cloud vergrößert sich grundsätzlich die Angriffsoberfläche, da weitere Infrastrukturen und neue Dienste – häufig auf Basis von Microservices – hinzukommen.

Um die Sicherheit in diesem Umfeld zu erhöhen, sollten Unternehmen WAFs, API-WAFs, Bot-Erkennungsdienste, AIP und mTLS verwenden. Bei mTLS handelt es sich um eine verteilte Architektur zur gegenseitigen Authentifizierung, die oft einem Zero-Trust-Konzept unterliegt. Sie kommt zum Einsatz, da die Cloud häufig dynamische IP-Adresskonzepte verwendet und daher klassische Firewall-Installationen bei verteilten Services nicht funktionieren.

Fazit

Eine reine Kosten-Nutzen-Rechnung ist bei einer Entscheidung für oder gegen Cloud zu kurzsichtig. Denn die Rahmenbedingungen können sich angesichts der Energiekrise schnell verändern. Zukunftsorientierte Unternehmen setzen strategisch auf Cloud-Services, da diese ein hohes Maß an Flexibilität und Komfort bieten. Allerdings müssen sie bei der Migration ihre Prozesse anpassen, neue Tools einführen und die dadurch erforderliche Weiterbildung der Mitarbeitenden berücksichtigen. Zudem steigt der Schutzbedarf ihrer Umgebung. Mit der richtigen Vorbereitung und den geeigneten Lösungen profitieren Unternehmen jedoch langfristig von einem optimalen Mix aus On-Premises, Hybrid- und Multi-Cloud.

Ähnliche Beiträge:

  1. Unsichere IoT-Geräte, eine Einladung zu DDoS-Angriffen
  2. Wie das New Normal neue Möglichkeiten für Cyberkriminelle schafft
  3. Blick in den Abgrund: Die Botnet-Landschaft als sozialer Graph
  4. 5G-Welt: Mobile Edge-Sicherheit für CSPs

Das könnte dir auch gefallen

F5: Cloud wird wichtig zur Abwehr von Cyber-Attacken

gcg

Mit Pizza und Lego Fehlkonfigurationen vermeiden

gg

Integrierte Daten als Basis im „New Normal“

dcg