Ein eigenes Cloud-Angebot hat Cancom schon lange. Jetzt will der Dienstleister das noch einmal ergänzen und für spezielle Anforderungen fit machen. Dazu hat er einen "ersten Prototyp einer sicheren deutschen Cloud-Umgebung mit durchgängiger Trust-Kette von Chip bis zur Anwendung entwickelt." Bei dem Projekt arbeitet Cancom mit Hewlett Packard Enterprise (HPE) zusammen. HPE liefert die benötigten Architekturbausteine und die Technologie, Cancom übernimmt die Bereitstellung und das Management der Cloud-Plattform.
Kern ist eine Trust-Plattform, die kontinuierlich und automatisiert eine technische "Trust Chain" über Infrastruktur, Betriebssysteme und Workloads hinweg bereitstellt. Ziel ist ein Angebot, das Cloud-Security- und Souveränitätsfeatures kombiniert. Damit sollen Firmen mit erhöhtem Bedarf an abgesicherten Workloads, insbesondere im Gesundheits- oder Finanzwesen, sowie Behörden und Einrichtungen des öffentlichen Dienstes angesprochen werden.
Cancom sieht in diesen Bereichen eine steigende Nachfrage nach Angeboten mit hoher Sicherheit und transparenter Datensouveränität. Sie seien entscheidend, um Innovations-, Wettbewerbsfähigkeit und Resilienz deutscher beziehungsweise europäischer Unternehmen sicherzustellen. "Zum einen geht es darum, unabhängig von Cloud- und Technologieanbietern zu sein und die Kontrolle über die eigenen Daten zu bewahren. Zum anderen muss nicht nur die Sicherheit von Daten und Anwendungen gewährleistet werden, sondern auch jederzeit nachvollziehbar sein, wo sich Daten und Workloads befinden. Ebenso ist Datensouveränität ein wichtiger Aspekt, um gesetzliche IT-Compliance Vorgaben einzuhalten", erklärt Cancom.
Auf dem Weg zum sicheren und souveränen Cloud-Ökosystem
IT-Betrieb aus deutschen Rechenzentren mit zertifizierter Informationssicherheit und Verfügbarkeit gemäß geltenden EU-Regularien bietet Cancom im Rahmen seines Infrastructure-as-a-Service-Angebots bereits. Die gemeinsam mit HPE angestoßene Weiterentwicklung richtet sich vor allem an Kunden, die jederzeit wissen müssen (oder wollen), wo sich Daten und Workloads befinden, deren Sicherheit gewährleisten und in der Lage sein müssen, beides auch nachweisen zu können. Neben zusätzlichen Zero-Trust-Funktionen arbeitet Cancom dafür auch an Souveränitätsfeatures. "Mit ihnen können Unternehmen künftig den Ort von Daten nachweislich verifizieren und attestieren", erklärt das Unternehmen.
"Ziel ist es, unseren Kunden ein sicheres und souveränes Cloud-Ökosystem zu bieten, das die vollständige Kontrolle und Nachvollziehbarkeit über den Speicherort ihrer Daten und die Ausführung von Anwendungen miteinander verbindet", sagt Winfried Grünert, Vice President Modern Datacenter bei Cancom. "Die Stärkung eines souveränen IT-Betriebs und die Erhöhung der Datensicherheit von deutschen Unternehmen und Organisationen ist uns dabei besonders wichtig."
Rückgriff auf SPIFFE und SPIRE
"Das zusammen mit Cancom implementierte Verfahren beruht auf dem bewährten quelloffenen Identitäts-Framework SPIFFE und seiner Referenzimplementierung SPIRE. Es erzwingt technisch die Überprüfung und den Nachweis, dass ein Service tatsächlich der ist, der er zu sein vorgibt, und dass der Rechner, auf dem er läuft, nicht kompromittiert ist", erklärt Hartmut Schultze, Business Architect bei HPE, das Vorgehen. "Stand heute wird das vor allem für Kunden mit besonders hohen Souveränitäts- und Sicherheits-Anforderungen relevant sein - wir gehen aber davon aus, dass solche Anforderungen künftig in hybriden Multi-Cloud-Umgebungen zum Standard werden."
Das Cloud-Service-Konzept basiert auf einer hochstandardisierten und automatisierten Zero-Trust-Sicherheitsarchitektur und Open-Stack-Technologie. Um Souveränität zu gewährleisten, müssen Ort, Plattform und Identitäten der beteiligten Workloads als Teil einer gemeinsamen "Trust Chain" technisch attestiert werden. Die Bestätigung der Integrität und Sicherheit von Softwareservices erfolgt daher mittels plattformunabhängiger, kryptografischer Identitäten über ein von HPE mitentwickeltes Open-Source-System - vergleichbar mit einer digitalen "Ausweiskontrolle", bei der die Identitäten laufend überprüft werden, bevor bestimmte Services genutzt werden können.
Noch handelt es sich wie gesagt um einen ersten Prototyp. Es ist aber geplant, dass Kunden die erweiterten Features künftig über den Cancom Cloud Marketplace als digitale Services buchen und so in ihre bestehende IT-Landschaft integrieren können. Einen Zeitrahmen dafür haben die Partner noch nicht gennant.