SQL in der Cloud - ITEK - ETH Zürich

itek.ethz.ch

SQL in der Cloud - ITEK - ETH Zürich

Inhalt• Warum Cloud? Warum jetzt?• Welche Cloud wurde betrachtet?• Vergleich SQL@ID und SQL@Azure• Rechtliche und sicherheitstechnische Aspekte• Was bedeuten diese für uns• Chancen und Risiken• Fazit• Take to action…


Cloud computingis a model for enabling convenient,on-demand network access to a shared pool ofconfigurable computing resources (e.g., networks,servers, storage, applications, and services) that can berapidly provisioned and released with minimalmanagement effort or service provider interaction.NIST (National Institute of Standardsand Technology USA)


Warum also die Cloud?Anforderungen an die ETH-Informatikdienste:• Schnelle (agile) Umsetzung benötigter IT-Lösungen• Moderne IT-Unterstützung für die Departemente der ETH• Implementierungen weitgehend unabhängig von Ort und Zeit• Hohe KosteneffizienzDefinition Cloud computing:• on-demand Nur wenn/falls benötigt• shared pool Skalierung Effizienz/Reserven• rapidly provisioned Schnelle Realisation• minimal management effort: minimierte Personalkosten


Warum jetzt?• Der Hype wird erst kommen (Gartner) – jetzt ist jedoch die Zeit sich zuvorzubereiten• Cloudanbieter haben aber JETZT ein grosses Interesse an uns und vorallem was wir zu den Dienstleistungen zu sagen haben Wir können mitgestalten• Microsoft, Google, Amazon, Oracle usw„go cloud anyway“ konkurrieren somit Ihre Partner mit dem eigenen Angebot werden uns – die ID – im Prinzip hängen lassen• Zunehmender Spardruck aus Wirtschaft, Politik und Gesellschaft


DemoDienstag, 21. Juni 2011 Informatikdienste – Basisdienste – Fabio Consani7


DemoDienstag, 21. Juni 2011 Informatikdienste – Basisdienste – Fabio Consani8


BeispieleDienstag, 21. Juni 2011 Informatikdienste – Basisdienste – Fabio Consani9


Vergleich SQL@ID und SQL@AzureMerkmal sql@id sql@azureLatenz Netzwerk 10‐20ms (ZH) ca. 400msKompatibilität Alle Versionen Azure speziellAuthentisierung mixed SQL‐Auth.Support für Endkunden sql@ethz.ch MS‐TechNetManagementtools Admin GUI SkriptSkalierungsaufwand mittel bis gross automatischÜberwachung ID‐intern ID‐internVerfügbarkeit (Dez. 2010) 99,976 99,872Backup / Restore Ja NeinVLDB (very large databases) Ja NeinFlexibilität (time to delivery)1‐2 Tage4 Wochen bei VLDB‘sSofort(keine VLDBs)


Merkmal sql@id sql@azureTotal cost per DB ‐1 GB (CHF pro Jahr) ca. 170 ca. 120Total cost per DB ‐5 GB (CHF pro Jahr) ca. 170 ca. 600Anteil Technik, Personalkosten, Storage (CHF) 50, 85, 35 ‐SLA Selber erstellt Professionell zu erstellenZertifizierung ISO 20‘000 Mehrere internationalePatchstand konservativ neusterAnwendbares Recht CH ? (safe Harbour EU)Haftung ETH ?Zuverlässigkeit hoch hochModernes Image (Vorreiterrolle) normal jaKnowhow Informatikdienste MicrosoftKostenschwerpunkt Personal ServiceRisiko für Imageschaden bei Datenverlust mässig hochAnsprechpartner Informatikdienste InformatikdiensteKostentransparenz Ja Ja


Rechtliche und sicherheitsrelevante Aspekte Die andere (juristische) Sicht..• Die Rollen (Data Protection Directive):(Data subjects: „Datenproduzent“)Data controller: Prinzipiell der Datenhalter mit Entscheidungsbefugnis(„do you keep or process any information about living people?“)Data processor: Datenhalter ohne Entscheidungsbefugnis• Die (juristische) Verantwortung liegt immer beim „data controler“Definition der zu befolgenden RichtlinienÜberwachung der Einhaltung der definierten Richtlinien• Nicht jede Information benötigt die gleichen Richtlinien, weil einMissbrauch nicht immer die gleichen Konsequenzen hat!


Definition von Datenklassen – unverbindliche Beispiele:• Private Daten Missbrauch hat Folgen für Individuen• Vertrauliche Daten Missbrauch hat Folgen für Organisationseinheiten/Strukturen• Wertvolle Daten Missbrauch hat direkte finanzielle Konsequenzen• Gefährliche Daten Missbrauch hat Folgen für die Gesellschaft oder einen Teil davonDienstag, 21. Juni 2011 Informatikdienste – Basisdienste – Fabio Consani15


Interessiert Sicherheit überhaupt?• Was ist Sicherheit juristisch gesehen?• Es geht um die Frage der Haftung• „Ich kann nachweisen, dass ich nach den allgemein akzeptiertenRichtlinien vorgegangen bin“• Bsp. Einbruch mit Bargeldverlust Versicherung? Zertifizierungen: Mythos und Realität• Eine Zertifizierung bedeutet nichts anderes als der überprüfbareNachweis, dass definierte Richtlinien eingehalten werden• Stimmen die zertifizierten mit „meinen“ definierten Richtlinien überein?Dienstag, 21. Juni 2011 Informatikdienste – Basisdienste – Fabio Consani16


Was bedeutet dies rechtlich für uns?Wir müssen:1. Daten klassieren (Wir definieren die Klassen und die Kundenbeurteilen Ihre Daten und teilen sie ein)2. Für die verschiedenen Klassen die notwendigen (mess-undkontrollierbaren) Rahmenbedingungenausarbeiten/definieren/publizieren3. Vorhandene Zertifizierungen hinsichtlich unserer benötigtenRahmenbedingungen beurteilen und vorhandeneDienstleistungsvereinbarungen allenfalls erweiternNur so die Rolle als „data controller“ auch wahrgenommen werden, soferneine Vereinbarung mit einem externen „data processor“ (in diesem FallCloudanbieter) angestrebt wird.


…und Risiken• Zug verpasst – Kunden schon in der Cloud Bei den Kunden als Know-how-träger auftreten• Kein internes Know-How über die Funktionsweise von an der ETHeingesetzten Datenbanklösungen mehr vorhanden(Kein Support mehr möglich) Das Wissen um die Funktionsweise, bzw. musserhalten werden• Zu starke Abhängigkeit von Cloudanbietern Mechanismen zur Rückholung der Datenin die Evaluation einbeziehen• Rechtliche/funktionale Schäden durch Datenverlust oder Datenleck Situation abklären, Standards definieren undimplementieren, Risiken quantifizieren


Fazit• Jetzt ist die Zeit sich vorzubereiten.• Die Informatikdienste sollten sich einen Cloud-Knowhow Vorsprungaufbauen.• Wenn wir nicht bald reagieren, wird in Zukunft nur sehr schwer zukontrollieren sein, welche Folgen die zukünftigen Entwicklungen aufunser Umfeld haben werden.


Dank• Michael Epprecht (technische Tipps)Microsoft Schweiz• Francesca di Massimo (rechtliche Inputs)CSMG Security and Interoperability Lead Microsoft Western EuropeDienstag, 21. Juni 2011 Informatikdienste – Basisdienste – Fabio Consani22

Weitere Magazine dieses Users
Ähnliche Magazine