Auf dem Weg in die neue schöne Welt einer modernen IT stehen wir als IT-Verantwortliche immer wieder vor der Herausforderung zentrale und zum Teil auch noch monolithische Unternehmensanwendungen in die Cloud zu migrieren. Wir sind nun gefordert zu entscheiden, an welchen Ecken der Baustein „Cloud“ bzw. „XaaS“ der richtige ist.
1 Bestandsaufnahme Ihrer Systemlandschaft
Dazu empfehle ich geneigten IT-Verantwortlichen, sich immer zuerst ihre Systemlandschaft anzuschauen und ggf. noch bestehende blinde Flecke aufzuhellen. Vielleicht haben Sie an der einen oder anderen Stelle schon einen XaaS-Baustein implementiert, sei es Microsoft365 (wer administriert heutzutage gerne noch on-premises Exchange Server?) oder z.B. Ihr browserbasiertes Travel-Management-System.
Die Bestandsaufnahme ihrer Systemlandschaft soll dazu dienen, einen sauberen Migrationsplan (Stichwort Migrations-Typen, wie z.B. „Lift+Shift oder „Refactoring“) unter der Berücksichtigung von Abhängigkeiten zu erstellen und sich klar darüber zu werden, wo welche Systeme künftig laufen sollen – bei einem oder mehreren Cloud-Provider(n) als XaaS oder weiterhin in ihrem lokalen Datacenter.
Sobald Ihnen ihre Applikationsliste vorliegt, gilt es die Abhängigkeiten der Applikationen untereinander darzustellen. Sie wollen schließlich vermeiden, dass ihr Rechnungssystem auf einmal nicht mehr mit dem ERP System sprechen kann, weil es zu einem SaaS-Anbieter migriert wurde. Ich empfehle hier eine grafische Form der Darstellung, am besten in einem Online-Collaboration Tool wie Excalidraw (https://excalidraw.com) oder Miro (https://miro.com/de/) .
2 Entscheidungskriterien
Auf Basis Ihrer aktuellen und grafisch aufbereiteten Applikationslandschaft müssen nun Entscheidungen getroffen werden, wo welches System künftig laufen soll. Folgende, nicht abschließende Aufzählung von Kriterien pro Applikation soll eine Hilfestellung geben für die Entscheidungsfindung:
- Wie unternehmenskritisch ist die Applikation?
- Wie hoch ist die Verfügbarkeitsanforderung?
- Welche Abhängigkeiten bestehen von anderen Applikationen?
- Welche Compliance-Anforderungen bestehen an die Daten?
- Welche Datenflüsse finden wohin in welchem Umfang statt?
Folgend vier fiktive Beispiele, die ein Gefühl dafür vermitteln sollen, wie Ihnen das bei der Entscheidungsfindung weiterhilft:
2.1 Beispiele
HR-System
Wie unternehmenskritisch ist die Applikation?
Äußerst Unternehmenskritisch: Lohnzahlungen, Zeitbuchungen etc.
Wie hoch ist die Verfügbarkeitsanforderung?
Hoch, ein maximaler Ausfall von <= 3h ist verschmerzbar
Welche Abhängigkeiten bestehen zu anderen Applikationen?
Diverse Schnittstellen zu anderen Systemen bestehen, darunter das ERP-System, das Active-Directory, das Banking-System und das Travel-Management-System.
Welche Compliance-Anforderungen bestehen an die Daten?
Es sind sehr sensible DSGVO-relevante Daten, es handelt sich fast ausschließlich um personenbezogene Daten erheblichen Umfangs.
Welche Datenflüsse finden wohin in welchem Umfang statt?
Daten Zu- und Abflüsse mit den genannten Systemen finden statt, das (technische) Datenvolumen ist allerdings gering. Der Datenfluss zu Client-Computern ist ebenfalls gering.
Nach Beantwortung der Fragen wird klar, dass es sich um eine sehr wichtige Applikation mit sensiblen Daten in Verbindung mit einer starken internen Verzahnung und umfangreichen Abhängigkeiten handelt. Damit ist dieses System ein klassischer Kandidat für eine Migration in eine Infrastructure-as-a-Service (IaaS) Plattform eines deutschen Anbieters, der eine ausschließliche DSGVO-konforme Datenhaltung in Deutschland bietet.
Prozess-Management Tool
Wie unternehmenskritisch ist die Applikation?
Der Datenbestand ist zwar sehr wichtig, die Applikation ist aber eine klassische Support-Applikation, die nicht unmittelbar dem Geschäftszweck des Unternehmens dient. Mittlere Kritikalität.
Wie hoch ist die Verfügbarkeitsanforderung?
Niedrig, ein Tag Ausfall ist verschmerzbar
Welche Abhängigkeiten bestehen zu anderen Applikationen?
Es gibt außer einer Export-Funktion auf einen Fileshare und eine Integration ins webbasierte Intranet keine Abhängigkeiten von anderen Systemen
Welche Compliance-Anforderungen bestehen an die Daten?
Nicht besonders sensibel, keine personenbezogenen Daten
Welche Datenflüsse finden wohin in welchem Umfang statt?
Keine Datenflüsse
Nach Beantwortung der Fragen wird klar, dass es sich um eine Applikation handelt, deren Datenbestand zwar sehr wichtig ist, die sich jedoch auf Grund der kaum vorhandenen Abhängigkeiten und der nicht sensiblen Daten um einen idealen Kandidaten für eine Migration zu einem SaaS-Anbieter handelt.
Videoüberwachung
Wie unternehmenskritisch ist die Applikation?
Mittlere Kritikalität, es handelt sich um eine Support-Applikation, die nicht unmittelbar dem Geschäftszweck des Unternehmens dient.
Wie hoch ist die Verfügbarkeitsanforderung?
Mittel
Welche Abhängigkeiten bestehen zu anderen Applikationen?
Keine Abhängigkeiten außer eine SSO-AD-Authentifizierung an der Verwaltungsoberfläche
Welche Compliance-Anforderungen bestehen an die Daten?
Die Daten sind sensibel und unterliegen klaren rechtlichen Vorgaben bzgl. Löschfristen etc.
Welche Datenflüsse finden wohin in welchem Umfang statt?
Umfangreiche Datenströme: Videobilder werden auf Fileserver gespeichert.
Nach Beantwortung der Fragen wird klar, dass es sich um eine Applikation handelt, die eine mittlere Kritikalität hat, bei der kaum Abhängigkeiten bestehen von anderen Systemen, und die große Datenmengen bewegt. Damit ist diese Applikation auch in Zukunft ein klassischer Kandidat für einen On-Premises Betrieb.
Web-Plattform für Ihre Kunden, z.B. ein Webshop
Wie unternehmenskritisch ist die Applikation?
Sehr hohe Kritikalität, Ausfälle oder Ressourcenengpässe kosten bares Geld
Wie hoch ist die Verfügbarkeitsanforderung?
Sehr hoch
Welche Abhängigkeiten bestehen zu anderen Applikationen?
Wichtige Abhängigkeiten, da ggf. aus dem System Lieferungen oder Rechnungsstellungen getriggert werden
Welche Compliance-Anforderungen bestehen an die Daten?
Die Daten sind äußerst sensibel, da es sich z.B. um Zahlungsinformationen und personenbezogene Daten handelt
Welche Datenflüsse finden wohin in welchem Umfang statt?
Viele Datenflüsse allerdings mit geringem Datenvolumen
Diese Applikation ist äußerst kritisch, benötigt höchste Verfügbarkeit und hat wichtige Abhängigkeiten. Sie ist ein guter Kandidat für ein „Rebuild/Refactoring“, da die Anforderungen am besten durch eine cloud-native, containerisierte Applikation mit höchster Skalierbarkeit und Ausfallsicherheit erfüllt werden können. Sie ist ein Kandidat zur Migration zu einem Cloud-Anbieter, welcher Container-as-a-Service bzw. Kubernetes-as-a-Service anbietet. Der Migrationsaufwand ist je nach bisher eingesetztem Produkt allerdings nicht zu vernachlässigen, da die Applikation beim Refactoring komplett umgebaut werden muss. Einfacher und schneller wird das, sobald der jeweilige Softwareanbieter auch eine Container-basierte Variante seines Systems anbietet, das man beim Cloud-Anbieter dann relativ einfach implementieren kann.
3 Entscheidungsfindung und Providerauswahl
Ich hoffe, dass die vier Beispiele anschaulich erläutern, wie man zu einer guten Einschätzung gelangen kann, wo man in Zukunft welche Applikationen betreiben möchte. Einige entscheidungsrelevante Eckpunkte möchte ich noch für Sie zusammenfassen:
- Die Verfügbarkeit von Diensten ist bei Cloud-Anbietern fast immer höher als bei On-Prem betriebenen Systemen
- Die Sicherheit von Diensten ist bei Cloud-Anbietern fast immer höher als bei On-Prem betriebenen Systemen
- Die Wichtigkeit von ausfallsicherer Konnektivität steigt exponentiell, sobald Dienste in der Cloud betrieben werden
- Datenschutzkonformität ist am ehesten bei rein deutschen Anbietern von Cloud-Diensten gegeben
Mit all diesen Denkanstößen sollten Sie nun in der Lage sein, ihre Applikationen in vier Töpfe einzusortieren und ihren Migrationsplan in Angriff zu nehmen!
Autor:
Michael Fittler, Director Cloud Services bei der focusnet GmbH in Berlin, März 2023