Souveränität bei GAIA-X auch durch Open Source Software

Eines der Hauptziele bei GAIA-X ist eine Wiederherstellung der Daten-Souveränität in Europa bei der Nutzung von Cloudtechnologie. US-Hyperscaler unterliegen zum Beispiel dem US-Cloud Act, mit dem US-Behörden die Herausgabe von Daten erzwingen können, die in Rechenzentren in Europa gespeichert sind. Dies widerspricht dem europäischen Recht sowie der DSGVO. Anfang 2019 dachte man noch daran, einen europäischen Hyperscaler zu bauen, aber man entschloss sich schließlich, mit Standards Lösungen zu schaffen, die europäischen Anwendern mehr Souveränität bieten. Um hier mehr EU-Recht in Europa durchzusetzen, werden bei GAIA-X Zertifikate verlangt werden, die belegen, dass man bei personenbezogenen Daten die DSGVO anwendet und nicht den US-Cloud Act auf europäischem Boden in der Wolke.

Souveränität hat aber weitere Aspekte. Bei der Corona-Warn-App z.B. ist der Code, den Telekom und SAP für die Bundesregierung entwickelt haben, als Open Source frei zugänglich und jeder hat theoretisch die Möglichkeit, nachzuvollziehen, was mit seinen intimen Daten passiert (infiziert oder nicht). Allerdings braucht es für iOS von Apple und für Android von Google zusätzliche Software, um die Warn-App laufen zu lassen. Diese aber ist nicht Open Source und somit nicht frei zugänglich, sondern proprietär und geheim. Da kann man nur hoffen, dass die beiden Unternehmen die Daten nicht wegen des Cloud Acts an US-Behörden weiterleiten. Souverän entscheiden kann es der Smartphone-Benutzer nämlich derzeit nicht.

Was bedeutet das für Cloud-Anwender? Mit GAIA-X wird man in 2021 entscheiden können, ob der auszuwählende Cloud Service Provider europäischen Datenschutz einhält oder nicht. Bei den Anwendungen, die man in der Cloud laufen lassen möchte, ist das momentan oft nicht der Fall, aber es geht ein Trend dahin, dass Softwarehersteller ihre Geschäftsmodelle umstellen von Lizenz-Erlösen auf Service-Erlöse, wobei dann die Software als Open Source angeboten wird. Dem widmet sich auch die Open Software Business Alliance https://osb-alliance.de/ .

Doch was ist mit der Software zwischen den eigentlichen Anwendungen und dem Angebot der Cloud Service Provider? Als Standard gilt heute ein Kubernetes Ökosystem, das Container orchestriert, das den Entwicklungsprozess eigener Software mit CI/CD-Methoden (Entwicklung, Test, Betrieb) unterstützt, das spezielle CPUs und Storage unterstützt und weitere Software für das Cloud Management, das Monitoring und andere Funktionalitäten bereithält, wie es die folgende Abbildung zeigt:

pic1Auch hier wird immer mehr Open Source Software verwendet. Ein Beispiel ist VanillaStack (https://vanillastack.io/) der Cloudical. Dieser stellt alle Software, die man für einen vollständigen Cloud-Stack braucht, bereit, um eigene Anwendungen in einer Cloud (Public, Private oder auch on Premise) laufen zu lassen. Die Software ist ein Bündel von reiner Open Source Software, die kostenlos heruntergeladen werden kann. Mit dem Installer kann sie schnell und einfach installiert und konfiguriert werden. Die folgende Abbildung zeigt, welche Module alles enthalten sind. Oft sind für eine Funktion mehrere Alternativen vorhanden. Zum Beispiel für Container kann man zwischen Docker, CRI-O oder ISTIO wählen.

pic2Die folgende Abbildung zeigt, wie man eine Entwicklungs- und Ablaufplattform für das weltbekannte Problem „hello, world“ bauen kann. Ansible oder Jenkins wird für den Bau der CI/CD-Pipeline eingesetzt. Das Binary wird in mehrere identische Docker-Container gebracht, die durch Kubernetes orchestriert werden. Mit einem Loadbalancer kann dann die Arbeit auf die verschiedenen Container verteilt werden. Daten der Anwendung werden z.B. mit Rook persistent gemacht, da in Containern nichts gespeichert wird, wenn sie wieder abgeschaltet werden. ManageIQ kann zum Managen eingesetzt werden und beispielsweise EFK zum monitoren verwendet werden. Alle Komponenten in den roten Rahmen sind als Open Source Software frei verfügbar und in VanillaStack enthalten. Der Anwender kann souverän wählen und den Source Code selber prüfen.

pic3

Was hat das nun mit GAIA-X zu tun? GAIA-X wird helfen, einen Cloud Service Provider auszusuchen, der den Nutzern digitale Souveränität nach europäischem Rechtsrahmen garantiert. Auch hier kann man dann VanillaStack installieren, auch in hybriden sowie Multi-Cloud-Umgebungen. Darauf laufen dann die eigenen Anwendungen. Entweder proprietäre Software oder Open Source.

Während VanillaStack heute schon in 2020 vorhanden ist und man mit der Evaluation sofort evaluieren kann, wird GAIA-X 2021 noch weitere Vorteile bringen. Für das Identitätsmanagement wird IDS https://www.internationaldataspaces.org/ entwickelt, mit dessen Connectoren man Identität prüfen und Zugriffsrechte steuern kann. Für das Datenmanagement, sei es für Open Data oder beschränkte Daten, wird es zusätzliche Lösungen geben. Für Multi-Cloud-Umgebungen (z.B. für IoT-Daten bei dem einem Service Provider, ein ERP bei einem zweiten und Auswertungen mit AI/ML bei einem dritten) wird es gesicherte Kommunikation zwischen den Providern in GAIA-X geben.

Insgesamt lässt sic sagen, dass mit GAIA-X eine Bewegung in Gang gesetzt wurde zu mehr Souveränität, mit der man einen für sich passenden Cloud Service Provider auswählen kann, in dem man dann seine eigene Cloud Architektur implementieren kann. Mit Open Source Software wird die Souveränität noch weiter gestärkt, wie sich am Beispiel von VanillaStack zeigen lässt. Hoffnung schafft, dass immer mehr Unternehmen aber auch europäische Staaten sich an GAIA-X beteiligen.

Dieser Beitrag wurde unter Cloud, Open Data, Open Source abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.