Was ist eine Appliance?
Wozu kann ich eine Appliance nutzen?
Was haben ein Traktor und eine Appliance gemeinsam?
Wer käme schon auf die Idee, mit einem Oberklasse-Auto den Acker zu pflügen? Das geht im Zweifel mit einem 20 PS Traktor besser, als mit einer 200 PS Limousine. Der Traktor kann das nicht nur besser, er wird auch weniger Sprit verbrauchen und im Langzeittest beim Pflügen die Limousine sicher schlagen. Ähnlich abschneiden wird im Zweifel eine Appliance im Vergleich zu Standard-Hardware.
Als Appliance wird grundsätzlich ein betriebsfertiges System aus Hardware und Software bezeichnet. Die Hardware einer Appliance wird in der Regel speziell für die jeweilige Anwendung konstruiert und gefertigt.
Bei Appliances ist der Umfang der Funktionalität bewusst eingeschränkt. Einfache Inbetriebnahme, Bedienung und eine fehlerfreie Funktionalität stehen bei einer Appliance im Vordergrund. Dies wird durch Spezialisierung nicht nur der Hard- und Software realisiert, sondern auch beim Betriebssystem und beim BIOS. Als Betriebssystem wird meistens ein besonders gehärtetes, verschlanktes System genutzt, während beim BIOS oftmals besondere Booteigenschaften gefordert sind, etwa um im Notfall ein System-Recovery zu erreichen.
In der Regel werden Appliances mit einer betriebsfertigen Grundkonfiguration ausgeliefert, welche vom Hersteller nach einheitlichen Standards vorgenommen wird. Ziel ist es, unnötige Problemfälle weitgehend zu vermeiden und die Erstinbetriebnahme zu vereinfachen.
Schema einer Appliance: Software und Hardware sind bei einer Appliance aufeinander abgestimmt und betriebsfertig installiert sowie weitgehend vorkonfiguriert. Hier handelt es sich um eine Firewall Appliance mit 4 Netzwerkports und einem LCD Bedienfeld.
Der Zweck einer (Hardware-)Appliance ist in der Regel durch die Hardware vorgegeben, z.B. Firewall-Appliances, UTM-Appliances oder Network Monitoring- und PBX-Appliances. Da die meisten Appliances im 24h Dauerbetrieb laufen, ist Energieeffizienz ein wichtiges Merkmal bei der Beurteilung der Qualität einer Appliance.
(Foto: Landitec GmbH) www.landitec.com
Die Bauform einer Appliance wiederum hängt nicht nur vom Zweck der Appliance ab, sondern auch vom Einsatzort. Grundsätzlich unterscheiden kann man sog. Desktop Appliances (Bild), meistens also kleinere Geräte, die möglichst ohne merkbare Lüftergeräusche in der Nähe eines Arbeitsplatzes im Büro aufgestellt werden und Rack-Appliances für den Einbau in Server-Schränke.
(Foto: Qiata Pte Ltd) www.qiata.de
Zuletzt gibt es noch Sonderbauformen, also etwa Appliances die im Freien oder unter besonderen Umweltbedingungen betrieben werden sollen.
(Foto: SECUDOS GmbH) www.secudos.de
Appliances mit eigens konstruierter Hardware haben sicher ihre Vorteile. Trotzdem gibt es gute Gründe, auf einheitliche Standard-Hardware zu setzen, etwa dann, wenn eine Firma einen Rahmenvertrag mit einem Hardware Hersteller mit schnellem vor-Ort Service vereinbaren konnte (SLA). In solchen Fällen können sog. „Software Appliances“ zum Einsatz kommen.
Hier bleibt es allerdings in der Verantwortung des Anwenders die Hardware richtig zu konfigurieren. Dabei kann man natürlich mehr Fehler machen, als bei einer Hardware-Appliance. Für eine performante Firewall etwa genügt es nicht, eine entsprechende Anzahl von physikalischen Netzwerkports vorzusehen (Einschübe), vielmehr muss auch sichergestellt werden, dass nicht alle Ports hardwaremäßig auf demselben internen BUS landen, denn das würde den maximalen Firewalldurchsatz negativ beeinflussen. Natürlich können auch bei der Wahl des Arbeitsspeichers und des Prozessors beliebige Fehler gemacht werden, die dann ein schlechtes Performance-Ergebnis verursachen.
Bei einer Software Appliance wird die eigentliche Applikations Software kombiniert mit einem passenden Betriebssystem ausgeliefert. Das Betriebssystem ist so optimiert, dass es mit Standard Hardware (meistens Server Hardware) zusammen arbeitet. Das Problem liegt hier ofmals in der schwammigen Definition von "Industriestandard", muss doch das Betriebssystem für eine breite Palette an Hardware alle passenden und aktuellen Treiber mitbringen. Nicht selten kommt es daher zu Inkompatibilitäten, deren Auswirkungen sich manchmal erst im praktischen Betrieb zeigen. Reine Software Appliances haben wohl wegen der Handling-Probleme nur eine begrenzte Verbreitung gefunden.
Die immer besser werdenden Möglichkeiten von Virtualisierungstechnologien sind auch am Appliance-Gedanken nicht spurlos vorbeigegangen. So wird heute durchaus auch Firewall-Software für virtuelle Maschinen (Hosts) mit VMware, KVM oder HyperV angeboten. Gesprochen wird dann von "Virtuellen Appliances". Virtuelle Appliances sind die konsequente Weiterentwicklung von Software Appliances.
Der Anwender muss allerdings sowohl die Hardware fachgerecht konfigurieren als auch den Hypervisior richtig einstellen. Für eine performante Firewall etwa genügt es nicht, eine entsprechende Anzahl von physikalischen oder auch virtuellen Netzwerkports zuzuweisen, vielmehr muss auch sichergestellt werden, dass nicht alle Ports auf demselben internen BUS landen, um das gewünschte Ergebnis zu erzielen. Natürlich können auch bei der Zuordnung von Arbeitsspeicher und Prozessorressourcen Fehler gemacht werden, die dann eine schlechte Performance zur Folge haben. Derartige Fehler sind bei einer Hardware Appliance fast unmöglich, hier kann man allenfalls ein nicht genügend performantes Gerät wählen bzw. betreiben.
Die Hersteller von "Virtuellen Appliances" versuchen es dem Anwender möglichst leicht zu machen. Die selbstinstallierende Software wird als sog. Image zur Verfügung gestellt, als Download oder auf CD. Dazu gehört natürlich eine Dokumentation über die benötigten Ressourcen auf dem Host, also etwa wie viel RAM für die Virtuelle Appliance reserviert werden sollte. Da die Hardware größtenteils von der Virtualisierungssoftware gemanaged wird, muss sich der Anwender zu Treiberproblemen eher weniger Sorgen machen. Die Hersteller von Virtualisierungssoftware sind bemüht, aktuelle Hardware zu unterstützen während das eigentliche Betriebssystem davon entlastet wird. Hält der Anwender die Hardware Vorgaben des Herstellers des Hypervisors ein, hat er kaum Kompatibilitätsprobleme zu befürchten. Trotz allem ist die Zahl der möglichen Fehlerquellen natürlich größer als bei einer Hardware Appliance.
(Bild: Qiata Pte Ltd)
"Cloud Computing" ist in aller Munde. Trotz "Snowden Enthüllungen" und Mahnungen von Datenschützern setzt sich der Cloud-Trend offenbar durch. Gefahr droht nicht nur von den Geheimdiensten, sondern auch von gezielter Industriespionage und von Datenkraken, die mehr wissen wollen, als sie sollten. Die Verlockung der Verfügbarkeit von Daten – immer und überall – scheint größer, als die Angst vor den Risiken.
Cloud Appliances verbinden den Wunsch der ständigen Verfügbarkeit mit der notwendigen Sicherheit. Privatsphäre und Vertraulichkeit bleiben dabei vollständig erhalten. Geheimdienste und Industriespione bleiben, dem technischen Stand entsprechend, außen vor.
Während die bekannten Cloud Storage Provider schon in ihren Nutzungsbedingungen Vertraulichkeit und Privatsphäre oftmals nur unzureichend gewährleisten und weitere Änderungen der Nutzungsbedingungen nicht ausgeschlossen werden können, benötigt der Betreiber einer Cloud Appliance lediglich einen Provider Vertrag über Hosting Dienstleistungen. Zugriffsmöglichkeiten auf die Anwenderdaten und Backdoors sollte es dann nicht geben. Eine Cloud Appliance unterscheidet sich nämlich technisch strategisch völlig von den Ansätzen der großen Cloud Dienste. Während die Cloud Storage Provider eine gemeinsame Datenbank und ein Betriebssystem für viele Nutzer betreiben, verfügt eine Cloud Appliance jeweils über eine eigene Datenbank und auch ein eigenes Betriebssystem. Bei einem Fehler können bei Cloud Storage Providern viele Nutzer betroffen sein, bei einer Cloud Appliance allenfalls einzelne Firmen oder Organisationen. Es wird kein zentraler Zugang für "alle" betrieben, sondern jede Firma hat ihre eigene (Sub-) Domain bzw. IP Nummer.
Die Nutzerdaten müssen verschlüsselt in der Cloud Appliance abgelegt werden. Hierzu können z.B. sog. Crypto Container genutzt werden. Jede Firma hat dann ihren eigenen Crypto Container (AES mit 512 Bit Schlüssel). Der Provider hat somit nicht die Möglichkeit, Dateien einzusehen und kann dazu auch nicht gezwungen werden. Jeder einzelne Nutzer wiederum hat seinen eigenen persönlichen Bereich innerhalb eines Crypto Containers. Selbst die anderen Mitarbeiter derselben Firma haben hier keinerlei Zugriff.
Der Übertragungsweg im Internet sollte natürlich auch immer verschlüsselt sein, z.B. durch TLS/SSL Verschlüsselung. Zwar hat es in der Vergangenheit erfolgreiche Angriffe auf TLS/SSL durch Backdoors gegeben, nach dem heutigen Stand kann aber wieder von der nötigen Sicherheit ausgegangen werden. Eine Entschlüsselung von TLS/SSL in der Breite wird selbst die Möglichkeiten der NSA übersteigen.
Weitere Sicherheitsmaßnahmen wie etwa eine "Brute Force Prevention" oder gar eine integrierte Firewall sollten vorgesehen werden, damit die Cloud Appliance möglichst unabhängig von den Sicherheitsvorkehrungen des hostenden Providers sicher ihren Dienst tun kann. Bei Einsatz der oben beschriebenen Crypto Container sind alle Daten selbst bei ausgebauter Festplatte vor dem Zugriff Unbefugter geschützt.
Ein Beispiel für eine Cloud Appliance ist die sichere Cloud Lösung ECAS.