Wenn der Prophet nicht zum Berg kommt, muss der Berg zum Propheten kommen. Das wusste der britische Intellektuelle Francis Bacon schon im frühen 17. Jahrhundert. Was er damals – im Jahr 1625 – noch nicht wissen konnte: Bei Datenbergen ist es genau umgekehrt. Denn im Zeitalter von IoT und IIoT (Internet of Things/Industrial IoT) verspricht man sich von allüberall implementierten Sensoren und Aktoren eine echtzeitnahe Datenanalyse und -prognose, um unterschiedlichste Abläufe und Prozesse optimieren zu können. Dafür wollen die digitalen Alpenlandschaften aber möglichst gleich vor Ort begutachtet und ausgewertet sein: Der Prophet muss also zum Datenberg kommen. Dies stellt das Datacenter-Management vor neue Herausforderungen – wie auch die IT-Security.
Noch vor ein paar Jahren griff man nach den Wolken, galt doch das Cloud Computing als die allein seligmachende IT-Architektur. Inzwischen aber findet man Sensoren in allem außer Tiernahrung (und bald sicher auch dort). Je nachdem, was man mit diesen Daten anfangen will, tritt deshalb das Edge Computing gleichberechtigt neben die Cloud: Manche Use Cases erfordern es schließlich, die Daten möglichst unverzüglich direkt dort auszuwerten, wo sie anfallen (am Netzwerkrand oder auf Neudeutsch: am Edge). Ziel ist es meistens, sie möglichst schnell in (Re-)Aktionen vor Ort umzumünzen.
Also Paradebeispiel für dieses Szenario, von IT-Ausrüsterseite geradezu gebetsmühlenartig wiederholt, muss in der Regel die vorausschauende Wartung (Predictive Maintenance) in der Industrie herhalten: Auswertungen von Sensordatentrends und/oder -abweichungen geben per lokaler Analyse präventiv Aufschluss, sobald eine Maschine eine Wartung benötigt.
Quer durch die Branchen gibt es aber noch unzählige weitere Einsatzbeispiele, bei denen Edge Computing von Vorteil ist: Im autonomen (oder semi-autonomen) Fahrzeug muss Rechenpower an Bord die Reaktion auf Hindernisse selbst errechnen, denn für den Umweg über die Cloud wäre schon aufgrund der Latenz keine Zeit. Oder Filialen einer Einzelhandelskette passen ihre Digital-Signage-Werbung dynamisch per Echtzeit-Analyse der aktuellen Besucherschaft im Ladenlokal an – ohne Umweg über die Unternehmenszentrale, um unnötigen Datenverkehr zu vermeiden.
Ein weiteres Beispiel wäre ein Explorationsteam, das irgendwo in der Pampa nach Öl- oder Gasvorkommen sucht (ja, das passiert nach wie vor, aller Warnungen vor der Klimaüberhitzung zum Trotz): Es wertet Mess-, Bild- und Videodaten im temporär errichteten Edge-Rechenzentrum aus, da man an den Rest der Welt nur schmalbandig per Funk angebunden ist.
Damit sind auch schon die Hauptgründe für den Boom des Edge Computings genannt: Erstens zielt es auf Einsatzfälle mit Anforderungen möglichst minimaler Latenz, zu finden vor allem in der Industrie und anderen sicherheitsrelevanten Bereichen („Sicherheit“ im Sinne von „Safety“, nicht von „IT-Security“). Zweitens kann es helfen, unnötige Kosten zu vermeiden. Drittens kann Bandbreitenmangel das Rechnen am Edge erzwingen. Als weitere Gründe können sich gesetzliche Regularien hinzugesellen, die beispielsweise aus Datenschutzgründen eine grenzüberschreitende Datenverarbeitung untersagen.
Location, Location, Location
Edge Computing erfordert zunächst einmal nur Rechenpower vor Ort. Diese könnte in Form einer Appliance oder gar als System on a Chip (SoC) gegeben sein. Oft genug aber reicht das nicht aus, dann sind Edge-Rechenzentren erforderlich.
Der Begriff „Edge-Rechenzentren“ ist dabei zunächst einmal ebenso vage wie einst der Begriff „Cloud“: Darunter fällt eine Fülle von RZ-Varianten und -Bauformen, vom „Micro-Datacenter“ (etwa einem staub- und erschütterungsresistent gekapselten Rack in der Fabrikhalle) über den Server-Raum eines Ladenlokals bis hin zum Rechenzentrum einer weit entfernten Konzernniederlassung, welches wiederum größer sein kann als das Haupt-RZ manch eines kleinen Mittelständlers. Gemeinsam ist den Edge-Rechenzentren dabei lediglich zweierlei: erstens die Lokation, also die Positionierung in unmittelbarer Nähe zur (Sensor- etc.) Datenquelle, zweitens die Funktion als Bindeglied zwischen der Datenquelle und einem größeren Unternehmens-RZ und/oder einer Cloud-Umgebung für die weitere Datenverarbeitung, die keine Echtzeitnähe erfordert (Aggregation, Trendanalyse, Archivierung etc.).
Alle anderen Aspekte von Edge-Rechenzentren sind hochgradig variabel. Dennoch unterscheidet sich das Edge-RZ in vielerlei Hinsicht vom klassischen Unternehmens-Datacenter: Dieses ist in aller Regel als Einrichtung für generische Rechenleistung konzipiert, wohingegen Edge-RZs oft auf einen ganz bestimmten Use Case ausgelegt sind (beispielsweise die lokale Erfassung und Auswertung von Verkehrsdaten im Rahmen eines Verkehrsleitsystems). Dem von langer Hand vorbereiteten Bau klassischer RZs steht beim Edge-RZ oft die Notwendigkeit gegenüber, die Rechenkapazitäten in bestehende Einrichtungen zu integrieren, etwa in die Funktürme von 5G-Mobilfunkbetreibern.
Dies hat einen Umstand zur Folge, der Edge-Rechenzentren für die Betreiber schnell zur Herausforderung machen kann: Während das herkömmliche Unternehmens-RZ durch einen umfangreichen Katalog streng reglementierter und standardisierter Maßnahmen vor Stromausfall, Überhitzung, Naturgewalten etc. geschützt ist, muss man am Edge oft mit Gegebenheiten arbeiten, die nun einmal da sind. Zum Beispiel ist ein autonomes Fahrzeug letztlich ein kleines Rechenzentrum auf Rädern – bei einem schweren Unfall kann damit ein ganzes Edge-RZ plötzlich als Elektroschrott enden.
DCIM 4.0
Dabei verarbeiten allerdings Edge-Rechenzentren häufig nicht minder unternehmens- oder zumindest geschäftsprozesskritische Daten als das Haupt-RZ. Dadurch ist schnell ersichtlich, dass das Management dieser Edge-RZs die eh schon beachtlichen Anforderungen an das Datacenter-Infrastructure-Management (DCIM) in noch weitere Höhen schraubt.
Gefordert ist sozusagen ein DCIM 4.0: Es gilt – wiederum stark abhängig vom Einsatzfall wie auch von der Größe der Edge-Umgebung – den Überblick über mitunter weit verstreute Edge-Infrastrukturen zu wahren – und dies nicht nur angesichts verschärfter Betriebsbedingungen, sondern oft auch ohne IT-Fachpersonal am Edge. Hier sind also DCIM-Lösungen gefragt, die in der Lage sind, die relevanten Betriebsparameter der Edge-Umgebungen an zentraler Stelle anschaulich zu bündeln, um dem IT-Team den Überblick und ein Rüstzeug für schnelle Handlungsfähigkeit zu geben.
Erschwerend kommt hinzu, dass Edge-Rechenzentren in vielen Fällen schwieriger vor Eindringlingen zu schützen sind als das klassiche RZ eines Unternehmens, Hosters oder Cloud-Providers – auf digitaler und vor allem auf physischer Ebene sind Schutz- und Abwehrmaßnahmen mitunter nur in begrenztem Umfang möglich. Ein Beispiel wäre ein „smartes“ Verkehrsleitsystem, dass sich auf verteilte Edge-Kapazitäten stützt, die teils nur in Gehäusen am Straßenrand untergebracht sind. Hier reicht das Spektrum der Risiken vom Verkehrsunfall über Vandalismus bis zum gezielten Hack einer ausländischen APT-Gruppe, die den Auftrag hat, kritische Infrastruktur zu kompromittieren.
Wie ernst die Gefahr solcher APTs ist, zeigte Ende 2020 der verheerende Angriff auf den US-amerikanischen Management-Softwareanbieter Solarwinds, von den US-Behörden Russland zugeschrieben: Die Angreifer infiltrierten den Update-Mechanismus von Solarwinds und gelangten über diesen Supply-Chain-Angriff in die Netzwerke des Security-Anbieters FireEye (die den Hack später bemerkten) sowie mehrerer US-Behörden. Dazu zählte eine Reihe von US-Ministerien (einschließlich des Ministeriums für Homeland Security), zudem die National Laboratories in Los Alamos und Sandia (wo Kernwaffen entwickelt wurden) oder auch das National Institute of Health (siehe dazu die Einschätzung von Bruce Schneier). Die Angreifer erlangten auf diesem Umweg laut Reuters auch Zugriff auf Quellcode von Microsoft.
All dies sind hochgradig abgesicherte IT-Umgebungen. Man kann sich also leicht ausmalen, wie schnell erheblicher Schaden entstehen kann, wenn kompetente Angreifer – sei es mit nationalstaatlichem oder kriminellem Hintergrund – die weit schwieriger zu schützenden Edge-Infrastrukturen ins Visier nehmen.
Bergwanderun mit Tücken
Unternehmen, Behörden und andere Organisationen erklimmen derzeit ihre stetig wachsenden Datenberge, um vom Gipfel einen Überblick über ihre Datenlage zu erhalten. Der Berg ruft, und alle müssen mit: Zu groß scheint der Druck durch die Konkurrenz, zu groß das Risiko, in der globalisierten Wirtschaft den Anschluss zu verlieren – da wirken die Risiken des Datenalpinismus vergleichsweise überschaubar.
Deutsche Unternehmen stehen im Ruf, vergleichsweise bedachtsam und vorsichtig voranzuschreiten. Und das ist gut so. Denn was als einfache Bergwanderung durch die schöne neue Welt überall erblühender Edge-Rechenzentren beginnt, kann sich schnell als Klettertour von gefährlich hohem Schwierigkeitsgrad erweisen. Um das zu erkennen, muss man wahrlich kein Prophet sein.
(Dieser Beitrag erschien erstmals in LANline 04/2021.)
Bild: (c) Wolfgang Traub
IT Info 2 Go 