IaaS
Kurz erklärt
Sie mieten sozusagen das Äquivalent eines unbebauten Grundstücks samt Fundamenten: virtuelle Maschinen, Speicherplatz und Netzwerk. Sie erhalten die Grundausstattung und verwalten alles, was Sie darauf aufbauen.
▶ Präzise Definition
Infrastructure as a Service im Sinne des NIST (SP 800-145). Der Anbieter stellt die virtualisierten Basisressourcen bereit: virtuelle Maschinen, Block- oder Objektspeicher, virtuelles Netzwerk, Firewall. Der Kunde behält die Kontrolle über alles andere: Betriebssystem, Middleware, Ausführungsumgebungen, Daten und Anwendungen. Beispiele: EC2 (AWS), Compute Engine (Google), vSphere und Cloud (VMware), Dedibox und Elements (Scaleway).
Unsere Analyse
IaaS ist die grundlegendste Ebene, auf der der Kunde den größten Kontrollspielraum hat. Sie wählen Ihr Betriebssystem, Ihre Versionen, Ihre Netzwerkkonfiguration und Ihre Verschlüsselungsmethode. Auf dem Papier ist dies die Ebene mit größtmöglicher Autonomie, da nichts, was auf der Maschine läuft, vom Dienstleister abhängt. Das entscheidende Wort ist „möglich“.
Möglich, weil die technische Kontrolle nichts an der rechtlichen Zugehörigkeit ändert. Unterliegt der Anbieter, der die Infrastruktur betreibt, einer ausländischen Gerichtsbarkeit, kann er gezwungen sein, den Zugang zu sperren oder Daten herauszugeben – unabhängig davon, wie gut das ist, was der Kunde darauf aufgebaut hat. Die Souveränität eines IaaS-Anbieters lässt sich nicht an der Serviceebene ablesen, sondern an dem Recht, dem der Betreiber unterliegt.
Daraus ergibt sich eine häufige Verwirrung in französischen Unternehmen: die Annahme, dass der Besitz eines eigenen Anwendungsstacks ausreicht, um souverän zu sein. Das reicht nicht aus. Wenn die Rechenprozesse auf einer IaaS-Plattform laufen, die dem CLOUD Act unterliegt, ändert der hauseigene Anwendungsstack nichts an dieser Gefährdung. Der Code gehört zwar Ihnen; der Zugriff hängt jedoch davon ab, wer die Maschine betreibt und welchem Recht diese unterliegt.