1 Einleitung
ISO/IEC 17789
Die ISO/IEC 17789 [1], Information technology – Cloud Computing – Reference architecture, spezifiziert die Cloud-Computing-Referenzarchitektur (CCRA). Sie enthält Rollen, Aktivitäten, funktionale Komponenten und ihre Beziehungen.
Die ISO/IEC 17789 [1], Information technology – Cloud Computing – Reference architecture, spezifiziert die Cloud-Computing-Referenzarchitektur (CCRA). Sie enthält Rollen, Aktivitäten, funktionale Komponenten und ihre Beziehungen.
Die Anfangskapitel des Standards gehen nach dem Vorwort ein auf den Geltungsbereich des Standards sowie normative Referenzen, verweisen in Kapitel 3 auf Begriffe und deren Definitionen und erläutern in Kapitel 4 Abkürzungen. Kapitel 3 enthält ein Unterkapitel mit Verweisen auf Definitionen in anderen ISO-Standards sowie ein Unterkapitel mit Definitionen, die in der ISO/IEC 17789 getroffen worden sind.
Die ISO/IEC 17789 definiert z. B. den Begriff Cloud-Service-Produkt als einen Cloud-Service, der mit einem Satz an Geschäftsbedingungen verbunden ist, unter denen der Cloud-Service angeboten wird. Zu derartigen Geschäftsbedingungen gehören beispielsweise Preise und Service-Level.
Kapitelüberblick
Diesen Anfangskapiteln schließen sich die folgenden Kapitel an:
Diesen Anfangskapiteln schließen sich die folgenden Kapitel an:
| • | Ziele der Cloud-Computing-Referenzarchitektur (CCRA) |
| • | Konzepte der Referenzarchitektur |
| • | Nutzersicht |
| • | Funktionale Sicht |
| • | Beziehung zwischen Nutzersicht und funktionaler Sicht |
| • | Anhang A: Weitere Details zur Nutzersicht und zur funktionalen Sicht |
2 Ziele der Cloud-Computing-Referenzarchitektur
Die CCRA stellt ein architekturelles Rahmenwerk zur Verfügung, mittels dessen sich Rollen, Sub-Rollen, Aktivitäten, Querschnittsaspekte, die funktionale Architektur und funktionale Komponenten des Cloud-Computing beschreiben lassen.
Ziele
Als ihre Ziele nennt die ISO/IEC 17789 die Beschreibung der Stakeholder und der fundamentalen Eigenschaften des Cloud-Computing, die Spezifikation der Aktivitäten und der funktionalen Komponenten sowie ihrer Beziehungen untereinander und zur Umwelt. Zu den Zielen gehören weiterhin die Identifikation von Prinzipien für den Entwurf und die Weiterentwicklung der CCRA.
Als ihre Ziele nennt die ISO/IEC 17789 die Beschreibung der Stakeholder und der fundamentalen Eigenschaften des Cloud-Computing, die Spezifikation der Aktivitäten und der funktionalen Komponenten sowie ihrer Beziehungen untereinander und zur Umwelt. Zu den Zielen gehören weiterhin die Identifikation von Prinzipien für den Entwurf und die Weiterentwicklung der CCRA.
4 Nutzersicht
In der Nutzersicht behandelt die ISO/IEC 17789 folgende Konzepte:
| • | Cloud-Computing-Aktivitäten |
| • | Rollen und Unterrollen |
| • | Beteiligte Parteien |
| • | Cloud-Services |
| • | Cloud-Deployment-Modelle |
| • | Querschnittsaspekte |
Rollen
Zu den Rollen gehören beispielsweise Cloud-Service-Kunden, -Provider und -Partner. Diese Rollen besitzen Unterrollen. Zu einem Cloud-Service-Partner gehört z. B. die Unterrolle Cloud-Service-Broker. Bei einem Cloud-Service-Kunden gibt es u. a. die Unterrollen Nutzer und Administrator. Zu den acht Unterrollen eines Cloud-Service-Providers gehören der Betriebs-, der Netzwerk- sowie der Sicherheits- und Risikomanager.
Zu den Rollen gehören beispielsweise Cloud-Service-Kunden, -Provider und -Partner. Diese Rollen besitzen Unterrollen. Zu einem Cloud-Service-Partner gehört z. B. die Unterrolle Cloud-Service-Broker. Bei einem Cloud-Service-Kunden gibt es u. a. die Unterrollen Nutzer und Administrator. Zu den acht Unterrollen eines Cloud-Service-Providers gehören der Betriebs-, der Netzwerk- sowie der Sicherheits- und Risikomanager.
Aktivitäten beim Kunden
Der Standard beschreibt die Aktivitäten, die zu einer Rolle gehören. Zu den Aktivitäten, die der Administrator beim Cloud-Service-Kunden wahrnimmt, gehören u. a. die Überwachung des Service und die Administration der Service-Sicherheit. Letztere umfasst die Sicherheit der Kundendaten sowie die Administration von Sicherheitspolicies.
Der Standard beschreibt die Aktivitäten, die zu einer Rolle gehören. Zu den Aktivitäten, die der Administrator beim Cloud-Service-Kunden wahrnimmt, gehören u. a. die Überwachung des Service und die Administration der Service-Sicherheit. Letztere umfasst die Sicherheit der Kundendaten sowie die Administration von Sicherheitspolicies.
Aktivitäten beim Provider
Zu den Aktivitäten eines Betriebsmanagers beim Provider gehören u. a. die Überwachung und Administration von Services sowie das Asset-Management. Die Administration umfasst die Berechtigungsverwaltung ebenso wie die Konfiguration und Wartung von Betriebssystemen. Das Asset-Management erstreckt sich von der Aufnahme über die Pflege bis hin zur Entsorgung von Assets und umfasst sowohl die Assets als auch deren Beziehungen untereinander.
Zu den Aktivitäten eines Betriebsmanagers beim Provider gehören u. a. die Überwachung und Administration von Services sowie das Asset-Management. Die Administration umfasst die Berechtigungsverwaltung ebenso wie die Konfiguration und Wartung von Betriebssystemen. Das Asset-Management erstreckt sich von der Aufnahme über die Pflege bis hin zur Entsorgung von Assets und umfasst sowohl die Assets als auch deren Beziehungen untereinander.
Zu den Aufgaben eines Sicherheits- und Risikomanagers gehört die Festlegung der Informationssicherheitspolitik und der Informationssicherheitsrisiken. Außerdem muss er Sicherheitsmaßnahmen auswählen, wie z. B. das Identity and Access Management (IAM), das Information Security Incident Management, eine sichere Infrastruktur sowie physische und personelle Sicherheit. Schließlich muss er Ausfallmöglichkeiten betrachten und Wiederanlaufprozesse etablieren, um Service Level Agreements (SLA) einzuhalten.
Aktivitäten beim Partner
Zu den Aktivitäten des Cloud-Service-Brokers beim Cloud-Service-Partner gehören
Zu den Aktivitäten des Cloud-Service-Brokers beim Cloud-Service-Partner gehören
| • | die Akquisition von Kunden, |
| • | die Bewertung des Marktes und |
| • | die vertraglichen Vereinbarungen. |
Cloud-Services und -Deployment
Der Standard erläutert Cloud-Services und Cloud-Deployment-Modelle zusammenfassend und verweist gleichzeitig auf deren Definition in der ISO/IEC 17788. Cloud-Deployment-Modelle umfassen beispielsweise öffentliche, private, gemeinschaftliche und hybride Clouds.
Der Standard erläutert Cloud-Services und Cloud-Deployment-Modelle zusammenfassend und verweist gleichzeitig auf deren Definition in der ISO/IEC 17788. Cloud-Deployment-Modelle umfassen beispielsweise öffentliche, private, gemeinschaftliche und hybride Clouds.
Querschnittsaspekte
Zu den Querschnittsaspekten zählt der Standard die Verfügbarkeit, die Leistungsfähigkeit, den Schutz personenbezogener Daten (Personally Identifiable Information, PII [2]), die Sicherheit sowie SLAs. Cloud-Computing-Systeme können dabei eine Vielzahl an Sicherheitsanforderungen ansprechen, wie z. B. Authentisierung, Autorisierung, Vertraulichkeit und Integrität. Zu den Sicherheitsmaßnahmen gehören Firewalls und der Schutz vor Angriffen.
Zu den Querschnittsaspekten zählt der Standard die Verfügbarkeit, die Leistungsfähigkeit, den Schutz personenbezogener Daten (Personally Identifiable Information, PII [2]), die Sicherheit sowie SLAs. Cloud-Computing-Systeme können dabei eine Vielzahl an Sicherheitsanforderungen ansprechen, wie z. B. Authentisierung, Autorisierung, Vertraulichkeit und Integrität. Zu den Sicherheitsmaßnahmen gehören Firewalls und der Schutz vor Angriffen.
5 Funktionale Sicht
Der Standard erläutert, dass die funktionale Sicht – unabhängig von der Technologie – diejenigen Funktionen beschreibt, die für ein Cloud-Computing-System erforderlich sind. Dazu gehören
| • | funktionale Komponenten, |
| • | funktionale Ebenen und |
| • | Funktionen, die sich über mehrere Ebenen erstrecken. |
Funktionale Ebenen
Die ISO/IEC 17789 unterscheidet vier funktionale Ebenen:
Die ISO/IEC 17789 unterscheidet vier funktionale Ebenen:
| • | Benutzerebene |
| • | Zugangsebene |
| • | Service-Ebene |
| • | Ressourcenebene |
Zu den Funktionen, die sich über mehrere Ebenen erstrecken (Multi-layer function), gehören beispielsweise Sicherheitssysteme und solche, die den Betrieb unterstützen.
Funktionale Komponenten
Ein Cloud-Computing-System setzt sich aus einem Satz an funktionalen Komponenten zusammen. In der Benutzerebene sind Nutzerfunktionen, Geschäftsfunktionen und Administratorfunktionen angesiedelt. Die Zugangsebene umfasst die Zugangskontrolle zu Services, zu geschäftsbezogenen, zu administrativen und zu entwicklungsbezogenen Leistungen.
Ein Cloud-Computing-System setzt sich aus einem Satz an funktionalen Komponenten zusammen. In der Benutzerebene sind Nutzerfunktionen, Geschäftsfunktionen und Administratorfunktionen angesiedelt. Die Zugangsebene umfasst die Zugangskontrolle zu Services, zu geschäftsbezogenen, zu administrativen und zu entwicklungsbezogenen Leistungen.
Ebenenübergreifende Funktionen
Zu Funktionen, die sich über mehrere Ebenen erstrecken, zählt der Standard funktionale Komponenten des Sicherheitssystems, wie z. B. IAM und Verschlüsselung. Ebenfalls dazu gehören der Service-Katalog, das Monitoring und Reporting sowie das Service-Policy- und Service-Level-Management.
Zu Funktionen, die sich über mehrere Ebenen erstrecken, zählt der Standard funktionale Komponenten des Sicherheitssystems, wie z. B. IAM und Verschlüsselung. Ebenfalls dazu gehören der Service-Katalog, das Monitoring und Reporting sowie das Service-Policy- und Service-Level-Management.
6 Beziehung zwischen Nutzersicht und funktionaler Sicht
Kapitel 10 der ISO/IEC 17789 gibt einen grafischen Überblick über die Beziehungen zwischen Rollen, Unterrollen, Aktivitäten und funktionalen Komponenten. In einer weiteren Grafik sind Beispiele von Beziehungen und Interaktionen zwischen Aktivitäten und funktionalen Komponenten angegeben.
7 Anhang A: Weitere Details
Teil 1
Anhang A geht auf Details zur Nutzersicht und zur funktionalen Sicht ein. Teil 1 beschäftigt sich mit der Beziehung zwischen dem Cloud-Service-Kunden (Cloud Service Customer, CSC) und dem Cloud-Service-Anbieter (Cloud-Service-Provider, CSP). Die drei wesentlichen Beziehungen sind grafisch dargestellt und erläutert. Sie umfassen:
Anhang A geht auf Details zur Nutzersicht und zur funktionalen Sicht ein. Teil 1 beschäftigt sich mit der Beziehung zwischen dem Cloud-Service-Kunden (Cloud Service Customer, CSC) und dem Cloud-Service-Anbieter (Cloud-Service-Provider, CSP). Die drei wesentlichen Beziehungen sind grafisch dargestellt und erläutert. Sie umfassen:
| • | die Nutzung von Services des CSP durch den Nutzer beim CSC, |
| • | die Nutzung geschäftsbezogener Leistungen des CSP durch den Business Manager beim CSC, z. B. um einen Service zu abonnieren und aus geschäftlicher Sicht zu managen, |
| • | die Nutzung von Administrationsleistungen des CSP durch den Administrator beim CSC. |
Teil 2 bis 4
Die Teile 2 bis 4 gehen auf die Beziehung zwischen Providern, zwischen Cloud-Service-Entwickler und Cloud-Service-Provider sowie zwischen Cloud-Service-Provider und Auditor ein und stellen sie grafisch dar.
Die Teile 2 bis 4 gehen auf die Beziehung zwischen Providern, zwischen Cloud-Service-Entwickler und Cloud-Service-Provider sowie zwischen Cloud-Service-Provider und Auditor ein und stellen sie grafisch dar.
Quellen
1
ISO/IEC 17789, Information technology – Cloud Computing – Reference architecture, International Organization for Standardization (ISO), Genf, Oktober 2014
2
ISO/IEC 27018, Information technology – Security techniques – Information security management systems – Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors, International Organization for Standardization (ISO), Genf, Oktober 2014
