Auf dem Papier sind die Daten bei Diensteanbietern wie Amazon Web Services genauso sicher aufbewahrt wie bei europäischen Cloudprovidern. Doch mit dem Patriot Act und spätestens seit Edward Snowden hegen viele Anwender Fluchtgedanken.

Amazon Web Services (AWS, [1]) muss man ohne Einschränkungen wirtschaftlich und technisch als Erfolgsgeschichte bezeichnen. Der seit 2006 als Amazon-Tochter weltweit tätige Cloudprovider hat ein Produktportfolio geschaffen wie niemand sonst. Eine aktuelle Analyse von Gartner weist Amazon einen schwer einholbaren Spitzenplatz zu (Abbildung 1). Allenfalls Microsoft (Azure) und Google (Cloud Platform, GCP) verdienen die Bezeichnung “Mitbewerber”.

Auch die Hürden für den Zugang liegen niedrig: Ein AWS-Onlinekonto ist schnell eröffnet, der Einstieg erstmal kostenlos. Wer danach nennenswerte Aktivitäten entfaltet, bezahlt nutzungsabhängig für die hinterlegten Daten, die Rechenpower und die aktivierte Software.

Abbildung 1: Eine Spezialität der Analaysten von Gartner ist das Einordnen von Firmen, Produkten oder Dienstleistungen in den so genannten Magic Quadrant, hier für “Cloud Infrastructure as a Service” [3]. Auf der x-Achse wächst dir Innovationsfähigkeit, auf der y-Achse wächst der Grad der technischen Umsetzung. © Gartner, 2017

Große Wolkenformation

Grob unterteilt stehen Amazon-Kunden folgene Services zur Verfügung:

• EC2 (Elastic Compute Cloud): Virtuelle Linux- oder Windows-Server mit frei konfigurierbaren Ressourcen, deren Arbeitsspeicher beim Herunterfahren nicht persistent sind.
• S3 (Simple Storage Service): Auf Buckets und Objects fußendes Filehosting mit HTTP(S)-Zugriff. Außerdem existieren Netzlaufwerke (Elastic File System) und Dateiarchive (Glacier).
• Cloud Front: Content Delivery Network, das Inhalte aus AWS-Diensten per HTTP bereitstellt. Dazu passt das AWS-DNS “Route 53”.
• Simple DB und Relational Database Service (RDS): Virtuelle Datenbanken (objektorient beziehungsweise auf Basis von MySQL, Microsoft SQL Server oder Oracle).
• Elastic Beanstalk: PaaS für Java, Python, Docker und weitere Plattformen. Außerdem: Simple Workflow Service (SWS), Simple Email Service (SES), Simple Queue Service (SQS), Simple Notification Service (SNS) sowie die Möglichkeit eigene Anwendungen im AWS Marketplace für andere bereitzustellen.
• AWS Identity and Access Management (IAM): Verzeichnisdienst zur umfassenden Rechtevergabe an Benutzer einer Organisation.
• Cloud Watch, Direct Connect und andere: Verwaltungswerkzeuge für VMs, Netzverbindungen und andere Ressourcen.
• Amazon Mechanical Turk: Ausschreibungen für kleinere Aufträge im Zusammenhang mit AWS.

Die Intergrationsleistung, die Amazon hier vollbracht hat, ist enorm. Die meisten Services sind perfekt aufeinander abgestimmt und mit dokumentierten APIs versehen. Ein guter Einstiegspunkt in die AWS-Dokumentation ist [2]. Außerdem arbeiten Amazon-intern und von Kunden bezahlte Entwicklern an der steten Erweiterung der Angebote (Abbildung 2). Gerade Linux-Anwender finden viele Möglichkeiten, Teile ihrer IT ins Amazon-Land zu schicken.

Abbildung 2: Strukturierte Ansicht der zurzeit angebotenen AWS-Dienste. © Amazon

Und die Datenhoheit?

Bei aller technischer Raffinesse plagen zahlreiche europäische Anwender die Sorgen um den Datenschutz: AWS als Tochtergesellschaft des US-Konzerns Amazon unterliegt den juristischen und praktischen Gegebenheiten des Heimatlandes, und die sind nicht mustergültig. Wo die US-amerikanische Administration ihre nationalen Sicherheits- und wohl auch wirtschaftlichen Interessen verletzt sieht, steht die Privacy ausländischer Firmen und Personen auf der Prioritätenliste weit hinten. Man hat das immer geahnt, spätestens seit Edward Snowden existieren dafür auch schriftliche Beweise. Und der neue amerikanische Präsident Trump lässt wahrlich nicht erkennen, diese Praxis entschärfen zu wollen.

Mit 9/11 haben die Vereinigten Staaten per Patriot Act die Befugnisse ihrer Behörden sichtlich erweitert. Das FBI darf nach Section 215 “Access to Records and other Items under the Foreign Intelligence Surveillance Act” den zuständigen Court anrufen und so Zugang zu gewünschten Daten bei Providern erhalten. Noch einfacher und häufiger geschieht das Gleiche über den Erlass eines National Security Letter (NSL), der Unternehmen zur Datenübermittlung verpflichtet, ohne Überwachte hiervon zu informieren.

2011 kritisierten Microsoft und Google mit Blick auf das eigene Cloudgeschäft diese Praxis öffentlich, was dem Image der eigenen Produkte sicher abträglich war, als Akt der Transparenz und des Widerstands aber positiv zu werten ist. Amazon hält sich hier – warum wohl? – bedeckter, sieht aber für den Umsatz außerhalb der USA das Problem offenbar auch. Kunden können seit einigen Jahren wählen, in welchem Land AWS ihre Daten ablegen soll (AWS-Region) und damit, unter welcher nationalen Rechtsordnung das geschehen soll.

Konform zur DSGV

Ende Juni diesem Jahres hat Amazon Web Services zudem angekündigt, pünktlich mit dem Inkrafttreten der neuen europäischen Datenschutzgrundverordnung (DSGV) am 25. Mai 2018 deren Anforderungen für sämtliche AWS-Dienste vollumfänglich zu erfüllen [4]. Dazu hat Amazon eine neue Datenverarbeitungsvereinbarung (Data Processing Agreement, DPA) aufgesetzt. Außerdem speichert AWS Kundendaten weitgehend verschlüsselt und kann mehrere Zertifizierungen vorweisen.

Auf dem Papier kann der Kunde somit ein zu europäischen Providern vergleichbares Datenschutzniveau erwarten. Die guten Vorzeichen ändern jedoch nichts daran, dass sich der Konzern als Ganzes der US-Justiz nicht entziehen kann (knappgehaltene Halbjahresreports über eingegangenen Anfragen: [5]) und der ausgeuferten Datensammelei der amerikanischen Geheimdienste ausgesetzt ist. 2013 wurde zudem bekannt, dass die CIA Großkundin bei AWS ist.

In diesem Lichte ist es verständlich, wenn europäische IT-Verantwortliche, CIOs und Admins geschäftskritische oder personenbezogene Daten nur widerwillig AWS anvertrauen wollen. Der in solchen Fällen übliche Weg, nämlich zu einem Mitbewerber zu wechseln, funktioniert hier nicht: Bei den Alternativen Microsoft Azure und Google Cloud Platform würde der von einer Vertrauenskrise geschüttelte Anwender wieder bei US-Unternehmen landen. Selbst Firmen, die Gartner als “Visionäre” einstuft (Oracle, IBM, Alibaba), kommenden aus den USA oder China. Der Schwerpunkt dieser Linux-Magazin-Ausgabe will Wechselwilligen mit einem deutlichen Bezug zu Open Source ein paar Ideen vermitteln, wie sie trotzdem an ein gutes Ziel kommen.

Kein universell lösbares Problem

Um es gleich vorab zu verkünden: Bei Weitem nicht jedem wird das Unterfangen gelingen. Namentlich die Nutzer sehr vieler Amazon-Dienste werden es nicht schaffen, mit vertretbarem Aufwand die teils technisch sehr ausgefeilten und beim Accounting (IAM) gekonnt verwobenen Services nachzubilden. Wem es doch gelingt, der lädt sich dann den laufenden Betriebsaufwand mit Patchmanagement, Monitoring, Verfügbarkeit und Skalierung auf.

Wer aber mit seinen bisherigen Ansprüchen an AWS nicht aus dem Vollen geschöpft hat, sieht sich einer lösbaren Aufgabe gegenüber. Die individuellen Anforderungen bestimmen – wie so häufig – die Marschrichtung. Wenn es beispielsweise darum geht, einen funktionsreichen Webauftritt oder ein Intranet oder ähnliches aufzusetzen, bei dem die Zugriffszahlen absehbar von extremen Lastspitzen verschont bleiben, der fährt mit einem Linux-Angebot von Red Hat, Suse und Co. wahrscheinlich recht gut.

Hier sind insbesondere die um Virtualisierung und/oder Containerisierung erweiterten Cloud-Computing-Angebote zu nennen wie Red Hat Open Shift Container Platform [6], manches Suse-Produkt[7] oder dedizierte professionell supportete Linux-Containerplattformen. Je nach gusto installiert man solche Lösungen entweder im eigenen Rechenzentrum oder bei einem (europäischen) Provider des Vertrauens.

Sie stellen eine funktionierende, weitgehend softwaredefinierte und gut managebare Infrastruktur für alle als Container oder VMs verfügbaren Services bereit. Das Geld für solche kommerziellen Angebote kommt durch den gegenüber Standarddistributionen geringeren Wartungsaufwand oft wieder rein. Die benötigten Services selbst muss der Admin aber selbst in Gang setzen und einmal durchkonfigurieren. Auch was das Identity Management, Accounting und die Mandantenfähigkeit angeht, darf er keine schlüsselfertige Lösung wie in AWS erwarten. Beim (auch agilen) Entwickeln und Bereitstellen eigener Dienste bekommt er allerdings Tool-Unterstützung, die auf dem Niveau von AWS liegt.

Sprung mit Open Stack

Wer von seiner Alternativlösung mehr in Richtung Skalierung, Storage, Integration und so weiter erwarten muss, macht mit einiger Wahrscheinlichkeit mit Open Stack einen gewaltigen Satz nach vorn. Open-Stack-Experte Martin Loschwitz lotet in seinem unmittelbar hier folgenden Artikel die Möglichkeiten dazu aus.

Anspruchsvoll und machbar

Wenn es um Einzeldienste geht, brauchen Open-Source-Auskenner (regelmäßige Linux-Magazin-Leser) keinen großen Wegweiser, der sie zu Managementtools, Monitoring, Virtualisierungen, Kubernetes, Owncloud und Co., Datenbanken oder IDEs führt. Die zusammenzuführen bleibt trotzdem eine anspruchsvolle Aufgabe. Nicht ganz nahe liegt der Schutz gegen DDoS-Attacken, hier hilft der Artikel des Sicherheitsexperten Konstantin Agouros weiter. Michael Schilli zeigt dagegen, wie er selbst Daten abrüsselt, die in Amazon S3 gelandet waren.