Es gibt heute schon Möglichkeiten, eine langfristig sinnvolle Cloud-Strategie mit hohem Sicherheitsniveau und ohne Kontrollverlust umzusetzen. Dazu sind hybride Modelle zwischen SaaS- und Private-Cloud wie Virtual Private Clouds mit orchestrierten, vollautomatisierten Plattformen (Exchange online, Office 365) geeignet.
Versteckte Akzeptanzkiller. Webinar 4 der Webinarreihe von Beck et al. Services
Microsoft Environments aus der Cloud
1. AWS Cloud
Microsoftumgebungen aus
der Cloud
13. November 2014
Helmut Weiss, Beck et al. Services
Fernando Schubert, Beck et al. Services Brasil
@beaservices1
17. Nächstes Webinar
AWS Cloud
Startup in Konzernen
Wie Enerprise und IT „in-house-Startups“ enablen
19. November 2014
Matthias Geisler, Beck et al. Services
@beaservices1
Notes de l'éditeur
SLIDE: TITEL
Auch ich möchte Sie auch von meiner Seite herzlich begrüßen, zu diesem vierten Webinar unserer Reihe “AWS Cloud: Wir holen das Beste für Sie raus”.
Heute geht es um ein spannendes Thema: Microsoftumgebungen aus der Cloud.
SLIDE: CLOUDLER
Ihre Referenten sind heute Fernando Schubert und ich, Helmut Weiss. Wir beraten unsere Kunden in Cloud-Angelegenheiten. Da wir das schon ziemlich lange machen, können wir auf einige Erfahrungen im Bereich Cloud-Architektur und Betrieb zurückblicken.
Haben Sie Fragen zum Thema? Bitte immer gerne direkt an uns.
Kurz zu unserer Webinarreihe…
SLIDE: UNSERE WEBINAR-REIHE
Unsere Webinar-Reihe besteht aus 6 Webinars, heute sind wir beim Vierten. Wir fokussieren uns in dieser Webinar-Reihe ganz konkret auf Cloud für Unternehmen und besprechen Themen wie Wirtschaftlichkeit, Datensicherheit, wie sich Cloud die kommende Generation von mobilen Workplaces integriert, schauen uns an wie man Microsoft-Plattformen wirtschaftlich und mit hoher Kontrolle aus der Cloud erbringt, beleuchten die Rolle der Cloud bei der Innovation der Unternehmens-IT und kommen schließlich am 27.11. in einer Hangout-Runde mit Kunden und Anbietern bei dem Thema an, welche Aufgaben und Rollen die Enterprise-IT im Cloud Zeitalter hat.
Ich hoffe Sie melden sich nach diesem Webinar noch für die verbleibenden 2 Webinare an.
SLIDE: Recap: Industrialisierung der IT und Verbesserung der Sicherheit
^Hier nochmal das wichtigste aus den vergangenen Webinars, die Sie übrigens aufgezeichet als Video unter www.bea-services.de/awscloud finden.
Wir haben festgestellt, dass Cloud kein Produkt oder irgendeine Technologie meint, sondern die Industrialisierung der IT und damit eine Methode ist, um die Wirtschaftlichkeit der Unternehmens-IT nachhaltig zu verbessern.
Und wir haben festgestellt, dass eine der wichtigsten und schwierigsten Aufgaben ist, die Kontrolle über die eigenen Daten zu behalten.
===
Im zweiten Webinar ging es um Sicherheit und wie man mehr Sicherheit aus der Cloud bekommt. Den einen oder anderen Aspekt werden wir heute noch einmal aufgreifen, denn Datensicherheit ist einer der Punkte mir den größten Info-Bedarf beim Thema Cloud.
===
Im dritten Webinar sprachen wir über den Arbeitsplatz der Zukunft, ein heisses Thema in vielen Unternehmen.
Wie bekommt man den Betriebssystem.- und Gerätezoo verwaltet? iPads, Smartphones, Android, iOS etc
Wie bekommt man mobile User sicher ans Unternehmen angebuden? Das sind alles Fragen, die sich die meisten Unternehmen stellen müssen.
Heute geht’s nun konkret um Microsoft, bzw. wo und wie man Microsofts Enterprise Dienste aus der Cloud liefern oder beziehen kann.
SLIDE: THEMEN FÜR HEUTE
Microsoft und Cloud?
Satya Nadella, Nachfolger von Steve Ballmer als Microsofts CEO [Siee Ihhh Ouh], macht es in seinen Strategien und Vorträgen sehr deutlich, wo die Zukunft von Microsofts Enterprise Services liegt, nämlich ausgerichtet auf mobile Anwendern, bereitgestellt aus der Cloud.
Microsoft adressiert damit den Trend, der nicht nur von Gartner gemeldet wird: Nämlich Cloud auch als Platform für die Verarbeitung von Daten zu verwenden, welche Compliance Richtlinien unterworfen sind, also als „Schützenswert“ eingestuft sind.
Microsoft Kunden tun also gut daran, sich ebenfalls Gedanken zu diesen Themen zu machen. Wo also sollen zukünftig meine Exchange-, SharePoint-, Lync- oder SQL Server laufen und wem darf und will ich die Identitäten meiner Belegschaft im Active Directory Objekten anvertrauen.
Für KMUs, welche bisher den Small Business Server einsetzen, ist diese Aufgabe ggf. sogar akut, weil der Windows Server 2012 Essential z.B. kein Exchange mehr enthält. Hier wird der Kunde von Microsoft hin zu Cloud-Dienste gedrängt.
Auch neue und interessante SharePoint Module wie Office Graph gibt es erst einmal nur auf dem Cloud-Sharepoint
Wohin geht’s also mit meinen Daten, wenn ich mein On Premises Datacenter verlassen will? Wenn es um Microsoft Technologien geht, dann ist natürlich „zu Microsoft“ einer der ersten Gedanken.
Und in der Tat bietet Microsoft verschiedene Möglichkeiten, hier einfach und schnell Mailboxen via Office 365 zu beziehen oder umfangreichere Services auf Azure [Äscher] aufzuziehen. So kostet Office 365 Business Premium 9,60 EUR / Monat und User und bringt alles mit was man braucht, Office auf Tables inclusive. Vorausgesetzt natürlich, wann ist gewillt, die Unternehmensdaten einer SaaS Lösung anzuvertrauen. Bedenken diesbezüglich sind durchaus angebracht, denn schließlich übergibt man die Verantwortung für die eigenen Daten einem US-Amerikainschen Unternehmen, welches diese auf mandatenfähigen Systemen betreibt und man keine Kontrolle mehr über die Daten hat. Wie wir alle wissen, kann dank des Patiot Acts ein US-Gericht von einem US-Unternehmen die Herausgabe von Kundendaten auch von Servern in der EU verlangen. Verschlüsselung wäre hierbei das probate Gegenmittel, das ist auch möglich, aber nicht einfach über den Office 365 Weg, sondern via einer Verknüpfung des Corporate AD mit Office 365 über Azure. So einfach und für viele Anwender auch sinnvoll die sehr einfache Administration der Office 365 Services ist, so unpassend mag sie aufgrund von Datenschutzaspekten, der fehlenden Config-Möglichkeiten oder hardcoded Limits für andere Zwecke sein. Und für letztgenannte wollen wir uns heute eine Lösung ansehen. Diese Alternative soll auf AWS, den Amazon Web Services entstehen, weil AWS heute die bei weitem vollständigste IaaS Umgebung ist, welche auch von Microsoft als supportete Alternative anerkannt ist. Damit wir besser verstehen, wo nun hinsichtlich Verantwortun und Kontrolle der Daten der Unterschied zwischen den Modellen ist ….
…schauen wir und diese Tabelle an.
Bei On Premises ist alles in der eigenen Hand. Eine klene Abwandlung davon ist das Colocation Hosting, wo man die unterste, eventuell die untersten beiden Schichten zukauft
Bei Infrastructure as a Service habe ich alles oberhalb des Hypervisors unter meiner Kontrolle. Niemand vom Cloudanbieter braucht also Zugang zu meinen VMs. Meine Daten sind an der von mir gewählten Stelle gespeichert mit einem von mir gewählten Verschlüsselungskey.
Das Paradebeispiel hierfür ist AWS.
Bei Platforma as a Service stellt mir der Provider alles notwendige zur Verfügung, um über definierte Interdafaces eingene Applications auszuführen. Z.B. auf einer Java API oder aif einer DOT-Net Umgebung. PaaS-Umgebungen erlauben keinen Zugriff auf das Betriebssystem.
Beispiele sind: Google App Engine, Teile von Windows Azure
Software as a Service: Hier kümmert sich der Provider um alles, ich muss nur noch damit arbeiten. Beispiele sind: Salesforce, Google Docs oder eben auch Office 365
Welchen Weg man geht ist keine Alles oder nichts Entscheidung….
Gemischte Umgebungen sind eher die Regel als die Ausnahme!
Selbst wenn ein Unternehmen die meisten seiner Services wie CRM, SAP etc. auf AWS betreibt, kann der richtige Platz für den Mailservice und Lync dennoch Office 365 sein.
AWS ist ein guter Platz, um beispielsweise den Blackberry-Server zu hosten, welcher mit Exchange auf Office 365 spricht.
Wenn man sich in IaaS Umgebungen begibt, ist ein andere Herausforderung die größere: Lizenzen!
Die Lizenzierung. Jawohl. Bei Office 365 ist dies kein Thema, im on Premises Datacenter schon schwierig (zumindest wenn wir über Microsoft sprechen…) und dementsprechend in IaaS Umgebungen wie AWS nochmal ein wenig komplizierter. Sieht man sich das aber genauer an, ists gar nicht so kompliziert, denn Microsoft hat mit „MS License Mobility“ die Voraussetzungen geschaffen, verschiedene Backoffice- oder Applikationsserver in Cloudumgebungen zu lizezieren. Hier ist zu unterscheiden, dass es z.B, auf AWS natürlich mit RDS, dem Relational Database Service, z.B., den MS SQL Server innerhalb der IaaS Umgebung als PaaS gibt. Da ist zwar die Lizenz in Form einer SPLA lizenz enthalten, aber auch Einschränkungen, wie wir sie bei Office 365 bereits angeprochen haben. Braucht eine Anwendung beispielsweise su-rechte, so kommt man mit RDS nicht weiter, also wird auf einer EC2 Instanz ein SQLserver installiert, welcher dann entsprechen per „bring your own license“ lizensiert werden muss.
Analog gilt dies auch für die anderen genannten Server: Das Windows-Betriebssystem ist immer via SPLA durch AWS lizensiert, sie darauf aufsetzenden Microsoft Services jedoch nicht.
Wichtig: Damit „Bring your own License“ im Rahmen der „MS License Mobility“ Anwendung finden kann, muss zwingend eine Software Assurance abgeschlossen sein.
Nachdem nun die Lizenzthematik geklärt ist, man also legal einen MS Service auf AWS betreiben kann, ist die Frage zu klären, warum AWS als datenschutztechnisch vorteilhafter anzusehen ist als Office 365
Die Basis für die Datensicherheit bei AWS ist die VPC, die Virtual Private Cloud. In dieser Umgebung hat man alle Möglichkeiten einer Private Cloud, also auch über die Subnetze bzw. IP Adressen, welche sich in das Subnetz-Schema der Firma einfügen können, über die Sicherheit zum Internet hin.
Der Weg vom On Premise Datacenter zur VPC kann auf 3 sicheren Wegen erfolgen:
Über das Internet SSL verschlüsselt
Über das Internet als Site-to-site VPN, Ipsec basierend
Über eine Standleitung, den AWS Direct Connect
„NSA Anfragen“ kann effektiv mit Datenverschlüsselung begenet werden, denn da man im IaaS Modell den Stack ab dem Hypervisor selbst managed, muss AWS den Verschlüsselungskey nicht ändern. Folgendes Bild zeigt dies vielleicht noch besser:
Bei AWS spricht man von der „Shared Responsibiliy“.
„Shared „ steht dabei ganz im Sinne des englsichen Ausrucks sowohl für die Aufteilung der Verantwortung, als auch für die gemeinsame Verantwortung.
Man sieht im Bild, dass sich AWS um die Inrastuktur und um die Foundation Services kümmert. Auf alles, was da blau ist, hat AWS keinen Zugriff.
Also anders als in einem SaaS Modell, wo eine individuelle Verschlüsselung aufgrund der Tatsache, dass man sich auf einem System als Mandant nur untermietet schwierig ist, hat man im IaaS Modell alle Möglichkeiten wie im On Premises Datacenter. Nur dass diese Möglichkeiten auf AWS durch entsprechende Methoden unterstützt werden und es somit wesentlich einfacher ist, hier für eine lückenlose Sicherheit zu sorgen.
Und wie baut man nun Microsoft-Lösungen auf AWS? Hierzu übergebe ich das Mikrofon an Fernando Schubert nach Florianopolis in Brasilien
Was ist eine Software Defined Infrastructure? Einfach programmieren, und los! Die elemente sind so wie Lego blocks das man zusammen orchestriert mit CloudFOrmation.
Komplexe oder einfache Infrastruktur bauen und mit einem Click starten; Active Directory, VPC mit netzwerke, IP range, Web server farms mit IIS, File SERVICES, Exchange, Sharepoint
Upz, ich habe ein Fehler im dieses Stack gemacht, ok, nur die letzte Version aus GIT oder SUBVERSION herunterladen
Schnelles deploy von Test, Stage und löschen
Beispiel: Sharepoint an der Cloud
Upz, ich habe ein Fehler im dieses Stack gemacht, ok, nur die letzte Version aus GIT oder SUBVERSION herunterladen
Schnelles deploy von Test, Stage und löschen
Beispiel: Sharepoint an der Cloud
Mir bleibt jetzt nur noch, hier auf ein paar Links zu verweisen,
SLIDE: NÄCHSTES WEBINAR
Und damit sind wir auch schon am Ende unseres heutigen Webinars angekommen.
Ich bedanke mich herzlich für ihre Aufmerksamkeit und möchte Sie zu unserem nächsten Webinar am 19 November einladen,
wo mein Kollege Matthias Geisler über Startups in Konzernen spricht.
Vielen Dank!