News

Von Max Wellenhofer, ursprünglich publiziert bei Cyberlink AG

In Compliance-sensitiven Branchen sind die Systemlandschaften oft hochkomplex und in der Schweiz erwarten wir von ICT-Integratoren nicht nur die Erfüllung formeller Regulatorien, sondern deren konsequente Umsetzung. Um den Anforderungen in Branchen wie dem Finanzsektor, dem Gesundheitswesen und der Versicherungsbranche gerecht zu werden, holen sich viele Unternehmen internationales Beratungs-Know-How ins Haus. Häufig kommen so grosse ausländische Hyperscaler ins Spiel, deren Lösungen auf dem Papier überzeugen, aber deren Datenverarbeitung oft an Standorten ausserhalb der Schweiz erfolgt.

cloudscale.ch und Cyberlink bieten eine Schweizer Alternative. Mit der SCION Cloud haben sie gemeinsam eine Lösung entwickelt, die alle Daten und Workloads vollständig in der Schweiz hält und dabei höchsten Sicherheits- und Compliance-Ansprüchen gerecht wird. Die Architektur ist speziell für die Anforderungen von Finanzdienstleistern, Gesundheitsanbietern und Versicherungen konzipiert und wird ausschliesslich von Schweizer Infrastruktur gestützt.

Mit der SCION Cloud können Entwickler und DevOps-Teams ihre Workloads in der Schweiz betreiben, ohne Abstriche bei der Technologie oder Bedenken bezüglich des Datentransports. Die Regulatorien hierzulande existieren aus gutem Grund – mit der SCION Cloud können Unternehmen diese effizient und zuverlässig erfüllen.

Zwei Schweizer Pioniere nehmen die Herausforderung an

Die cloudscale.ch AG (cloudscale.ch) ist eine Infrastructure-as-a-Service-Anbieterin mit starkem Fokus auf Open-Source-Technologien und einer Self-Service-Plattform, die es Kunden unter Anderem ermöglicht, Data-Center-Services via API zu konfigurieren. Die Nähe zur DevOps- und Cloud-Native-Community ist dabei kein Zufall. Viele Mitarbeitende von cloudscale.ch waren früher selbst Konsumenten solcher Services. "Wir orientieren uns stark am Nutzer, anstatt einfach Produkte zu entwickeln, die wir selbst für gut halten", betont Manuel Schweizer, CEO. Ursprünglich aus der Netzwerktechnik kommend, beschäftigte er sich schon früh in seiner Karriere intensiv mit Netzwerken und deren Optimierung. Als Vorstandsmitglied beim Swiss Internet Exchange (SwissIX) sammelte er wertvolle Erfahrungen in der Schweizer Vernetzungsszene. cloudscale.ch hat sich von Anfang an auf die Bedürfnisse von Kunden mit hohen Anforderungen an Verfügbarkeit und Informationssicherheit fokussiert. Dabei setzt das Unternehmen konsequent auf Open-Source-Technologien.

Cyberlink AG (cyberlink.ch), seit fast drei Jahrzehnten innovativer Service Provider im Schweizer ICT-Markt, hat sich als führender Anbieter von Connectivity- und Cloud-Diensten etabliert. Unter der Leitung von Thomas Knüsel, CEO, der seit 2012 Teil des Unternehmens ist, hat Cyberlink seinen Fokus auf Geschäftskunden und hochsichere Netzwerklösungen verstärkt. Besonders durch die Implementierung von SCION konnte Cyberlink ihre Rolle als Vorreiterin für sichere Netzwerke weiter festigen. "Wir sind als Pionier im Bereich Internet entstanden und haben uns auf Infrastruktur-Dienstleistungen im Bereich Cloud und Connectivity spezialisiert. Unser Ziel ist es, als Managed Service Provider einen Mehrwert zu bieten, indem wir uns kontinuierlich um die Infrastruktur kümmern, damit sich unsere Kunden auf ihr Kerngeschäft fokussieren können", so Knüsel. "Zudem haben wir immer daran geglaubt, dass Synergien sehr relevant sind, und so sind wir über SCION auf cloudscale.ch aufmerksam geworden. Manuel und unser Lead Engineer im Connectivity-Bereich, Matthias Schwarzenbach, haben gemeinsam eine Lösung entwickelt, die SCION in eine moderne Cloud-Umgebung integriert. Wir waren von Anfang an von den Möglichkeiten von SCION überzeugt. Es bietet genau die Sicherheitsmerkmale, die viele unserer Kunden benötigen, und durch unsere Partnerschaft mit cloudscale.ch können wir diese Technologie auch in der Cloud anbieten."

Beide Unternehmen teilen den Anspruch, stets am Puls der Zeit zu bleiben und innovative Technologien einzusetzen, die es Schweizer Unternehmen ermöglicht, den steigenden Anforderungen an Schutz und Compliance gerecht zu werden. Die Entdeckung von SCION als nächste Generation des Internets war der gemeinsame Nenner, der diese Partnerschaft ins Rollen brachte.

Die Entdeckung von SCION: Technische Neugier und die SIX

SCION (Scalability, Control, and Isolation On Next-Generation Networks) stellt eine fundamentale Weiterentwicklung bestehender Netzwerktechnologien dar. Ursprünglich an der ETH Zürich entwickelt, bietet SCION wesentliche Vorteile gegenüber herkömmlichen Netzwerkarchitekturen: SCION ist eine revolutionäre Internet-Architektur, die Pfadkontrolle, erhöhten Schutz und verbesserte Verfügbarkeit bietet.

Unter dem Dach der SCION Association wird die neue Internet-Architektur als offener Standard weiter konzipiert und vorangetrieben. Eingesetzt in der Praxis wird insbesondere die Software-Implementierung der Anapaya Systems AG – ebenfalls ein innovatives Schweizer KMU.

Für Schweizer war es zunächst persönliche Neugier: "Was macht das Ding jetzt eigentlich? Wer braucht das? Als Techniker wollte ich zunächst selbst Berührungspunkte mit der Technologie haben." Der entscheidende Impuls kam, als Fritz Steinmann von der SIX die Ablösung des alten Finance IPNet durch ein SCION-basiertes Netz ankündigte. "Für uns war das eine grosse Chance, da die Zielgruppe für diese Technologie sehr gut zu der Zielgruppe von cloudscale.ch passt", erläutert Schweizer. Mit bestehender ISO-Zertifizierung und ISAE-Reports hatte man die ersten Schritte auf dem Weg in die Finanz- und Gesundheitsbranche bereits getan. Schweizer: "Ich sah das Potenzial, SCION in unsere Cloud zu integrieren und damit einen echten Mehrwert für unsere Kunden zu schaffen."

Für Unternehmen, die hohe Anforderungen an Sicherheit und Compliance haben, ist SCION mit seinen Vorteilen ein absoluter Gamechanger.

Technische Herausforderungen und die Partnerschaft mit Cyberlink

Die Implementierung von SCION in eine Cloud-Umgebung war keine triviale Aufgabe. "Mir wurde schnell klar, dass wir das alleine nicht stemmen können", gesteht Schweizer. Zudem hatten Kunden oft Standorte bei verschiedenen Anbietern, was eine einheitliche Lösung erforderte.

"Gemeinsam mit Matthias, dem Network Engineering Lead bei Cyberlink, konnten wir über sechs Monate hinweg alles engineeren und durchtesten", berichtet Schweizer begeistert.

Die Technische Umsetzung im Detail

Manuel Schweizer beschreibt die Herausforderung bei der Integration von SCION in die cloudscale.ch-Plattform klar und pragmatisch: "Wir wollten nicht für jeden einzelnen Kunden individuelle Hardware verbauen müssen, geschweige denn Hardware auf Vorrat halten, die möglicherweise nie eingesetzt wird." Dies bedeutete, dass anstelle von dedizierter Hardware eine effiziente und skalierbare virtuelle Lösung geschaffen werden musste. In regulatorisch sensiblen Bereichen, wie dem Secure Swiss Finance Network (SSFN), war die Erfüllung der Anforderung an Provider-Redundanz eine der grössten Herausforderungen. "Es wäre nicht damit getan, einfach zwei ISPs an einen redundanten SCION-Core-Cluster anzuschliessen", so Schweizer. Um zur Teilnahme an SIC/euroSIC zugelassen zu werden, bedarf es Edge-Providerredundanz. In einer physischen Welt wäre das mit separaten Anschlüssen an zwei verschiedene ISPs umgesetzt worden. In einer virtuellen Welt wird diese Redundanz aber auf der letzten Meile vom jeweiligen Cloud-Provider des Vertrauens zur Verfügung gestellt. In unserem Fall garantieren Cyberlink und cloudscale.ch gemeinsam die georedundante Anbindung jeder virtuellen Edge an die beiden SCION-Cores. Da diese wiederum an verschiedene ISPs angeschlossen sind, ist das gesamte Setup hochverfügbar und erfüllt so die Anforderung an die Provider-Redundanz auch auf virtueller Ebene. Diese Verbindung bleibt vollständig innerhalb der cloudscale.ch-Infrastruktur, bevor der Traffic den Core verlässt. "Mit dieser klaren Kommunikation und Präferenz sind wir dann zur SIX und haben gepitcht", erklärt Schweizer.

Die Diskussionen mit der SIX und letztendlich auch mit der Schweizerischen Nationalbank (SNB) führten zu einem entscheidenden Punkt: Die SNB, als Aufsicht über den Finanzsektor, hatte das letzte Wort zur endgültigen Architektur. Das Team erkannte schnell, dass eine Core-Cluster-Redundanz allein nicht ausreichend war. "Wir schaffen Provider-Redundanz ab Core", beschreibt Schweizer. Die beiden SCION-Cores sind auf verschiedene Rechenzentren verteilt und über unterschiedliche Upstream-Anbindungen sowie über den SwissIX Internet Exchange mit anderen SCION-Teilnehmern verbunden. Diese Architektur entspricht dem Best-Practice-Setup, das die Anforderungen der SNB erfüllt und höchste Compliance-Standards gewährleistet.

Matthias Schwarzenbach war begeistert von der Zusammenarbeit mit Manuel Schweizer: "Es gab keine Berührungsängste. Manuel und ich haben tagelang zusammen im Sitzungszimmer gesessen, Ideen ausgetauscht und Lösungen entwickelt. Es war diese kreative, fast familiäre Atmosphäre, die uns immer weiter angetrieben hat." Thomas Knüsel erinnert sich ebenfalls: "Die beiden haben sich gegenseitig mit Ideen geradezu überboten und so kam die Lösung auf ein Niveau, das weder von Manuel noch von Matthias alleine hätte erreicht werden können."

Heute ist cloudscale.ch in der Lage, beliebige Isolation Domains (ISDs) wie das SSFN oder das SSHN (Secure Swiss Health Network) mit seiner Cloud zu verbinden. Neue SCION-Edges können in weniger als 24 Stunden – und bald schon in unter 2 Stunden – provisioniert werden. Eine virtuelle Maschine mit dem Anapaya-Image wird gestartet und mit zwei separaten VLANs an die SCION-Cores angebunden. Zusätzliche Glasfaser-Verbindungen oder Layer-2-Services sind nicht erforderlich. Die Lösung ist vollständig Multitenant-fähig und so nah an einer Cloud-native-Lösung, wie es derzeit technisch möglich ist.

Im Rahmen der Konzeption mit SIX und SNB kam die Frage auf, ob die beiden Cores im Cluster-Verbund betrieben werden sollten. "Die Vorteile waren klar", so Schweizer. Im Cluster-Verbund teilen sich die beiden Cores die Pfadinformationen. Diese Verbindung untereinander erhöht die Redundanz und gewährleistet, dass Wartungsarbeiten ohne Verbindungsunterbrüche der Edge durchgeführt werden können. Diese Lösung wurde schlussendlich genehmigt und hat sich bereits jetzt in der Praxis bewährt.

Schweizer resümiert: "Wir haben es geschafft, die SNB von unserer Lösung zu überzeugen. Die SCION Cloud von cloudscale.ch und Cyberlink erfüllt die höchsten Compliance-Anforderungen und bietet eine vollständig konforme und hochperformante Cloud-Infrastruktur."

Vorteile für Entwickler und DevOps Engineers

Für die technische Community bietet die SCION Cloud klare Vorteile: Engineers können die beliebten Features von cloudscale.ch nutzen, gleichzeitig haben sie alle Vorteile von SCION und müssen sich nicht um die Netzwerkanbindung kümmern.

• Pfadkontrolle und Traffic Engineering: Entwickler können den Datenpfad durch das Netzwerk explizit kontrollieren, was neue Möglichkeiten für Optimierungen und Sicherheitsstrategien eröffnet.
• Integration mit DevOps-Tools: Die SCION Cloud ist vollständig API-gesteuert und lässt sich nahtlos in Tools wie Terraform oder Ansible integrieren.
• Sicherheit und Compliance: Höchste Sicherheitsstandards werden erfüllt, was insbesondere für Anwendungen in regulierten Branchen entscheidend ist.

Ein konkretes Beispiel ist die Integration von Kubernetes-Clustern in eine SCION-umspannte Umgebung. "Aus meiner Sicht können wir unseren Kunden die aktuell technisch beste Lösung auf dem Markt anbieten.", ist Schweizer überzeugt.

Kompatibel mit jeder Isolation Domain

Die SCION Cloud ist bereits jetzt mit jeder ISD kompatibel, nativ Multitenant-fähig, flexibel skalierbar und kann bedarfsgerecht angebunden werden. Die elegante Kombination mit den Connectivity-Services von Cyberlink ermöglicht es Nutzern, physisch wie virtuell auf Applikationen, die bei cloudscale.ch betrieben werden, via der passenden ISD zuzugreifen.

Finanzsektor: Secure Swiss Finance Network (SSFN)

Seit der Ankündigung, das Finance IPNet per September 2024 durch ein SCION-basiertes Netz abzulösen, war klar, wohin die Entwicklung im Finanzsektor gehen würde. In diesem jungen, aber aktuell etabliertesten Markt, zeichnet sich die SCION Cloud nicht zuletzt durch das Approval durch die SNB aus. Banken und Finanzdienstleister müssen sicherstellen, dass ihre Netzwerke höchste Standards erfüllen und gleichzeitig flexibel genug bleiben, um neuen Anforderungen gerecht zu werden. Die SCION Cloud bietet eine umfassende Lösung: Sie erlaubt die Kontrolle über den Datenpfad und ermöglicht es Nutzern, eine Any-to-Any-Architektur zu nutzen. Das bedeutet, dass sie nicht länger auf Punkt-zu-Punkt-Verbindungen wie MPLS angewiesen sind. Mit SCION können Finanzdienstleister Verbindungen aufbauen, die nicht nur sicher, sondern auch flexibel sind – sie können entscheiden, mit welchen Partnern sie sich verbinden und welche Pfade sie für die Datenübertragung nutzen möchten. Sobald die neue Technologie nicht nur dazu genutzt wird, alte Systeme zu ersetzen, sondern um Legacy-Meshes zu optimieren und überflüssige Leased Lines konsequent abzubauen, birgt diese Flexibilität ein enormes Potenzial zur Kostenersparnis und vereinfacht die Verwaltung der Netzwerkinfrastruktur erheblich. Besonders für FinTechs und Banken, die auf Cloud-Dienste zugreifen oder ihre eigenen Anwendungen in die Cloud bringen möchten, ist die SCION Cloud die optimale Wahl.

Gesundheitswesen: Secure Swiss Health Network (SSHN)

Speziell im Gesundheitswesen sehen Cyberlink und cloudscale.ch ebenfalls grosses Potenzial: Anbieter von Krankenkassensoftware und andere Akteure im Gesundheitssektor könnten in das SSHN integriert werden, um den gesamten Infrastruktur-Stack zu schützen. Die SCION Cloud ermöglicht es, Gesundheitsanwendungen sicher, vollständig konform und skalierbar zu hosten. Die so geschützte und zuverlässige Vernetzung von Arztpraxen, Apotheken und Spitälern steht dabei im Vordergrund. Ein zentrales Problem für das Secure Swiss Health Network (SSHN) war allerdings der Zugang der Nutzer zur SCION Cloud. Wie bringt man Gesundheitsdienstleister in einer nützlichen Frist auf dieses Netzwerk? Wie stattet man alle Praxen und Kliniken in der Schweiz mit der erforderlichen Hardware aus, die eine Anbindung an das SSHN ermöglicht? Als Kombination aus dem Besten, was cloudscale.ch und Cyberlink zu bieten haben, eröffnet die SCION Cloud hier zwei Optionen: Für grössere Einrichtungen wie Spitäler kommt die Managed SCION Edge von Cyberlink zum Einsatz, die lokal installiert wird und höchste Sicherheitsstandards gewährleistet. Für kleinere Praxen, die möglicherweise nicht die gleiche Infrastruktur benötigen, gibt es eine alternative Lösung mit dem "Anapaya Gate". Dieses Gate ermöglicht den Einstieg in die SCION-Welt über bestehende Heimnetzwerke. Während es ein niedrigeres Sicherheitsniveau bietet, bleibt es eine praktikable Option für weniger kritische Anwendungen. Dieses umfassende Connectivity-Portfolio bietet allen Teilnehmern des Ökosystems geschützten Zugang zu sensiblen Daten und einer Vielzahl an Applikationen im Gesundheitswesen.

Weitere Compliance-sensitive Branchen und ihre ISDs

Weitere Branchen werden mit dedizierten ISDs folgen. Und auch für die strengen regulatorischen Anforderungen dieser GRC-sensitiven Branchen, wie dem Energie- oder Paymentsektor sowie weiterer kritischer Bereiche, ist die SCION Cloud mit ihrer akkreditierten und konformen IT-Infrastruktur bereit. Die SCION Cloud stellt sicher, dass Compliance-Anforderungen zuverlässig erfüllt werden und bietet gleichzeitig die Skalierbarkeit, die Unternehmen benötigen, um am Markt zu wachsen.

SCION ist das Internet der Zukunft

Cyberlink und cloudscale.ch haben eine klare Vision: "SCION ist das Internet der Zukunft. Mit cloudscale.ch als Top-Schweizer Cloud-Provider und Cyberlink mit 30 Jahren Erfahrung in der Schweizer Connectivity haben wir die besten Voraussetzungen, um diese Zukunft mitzugestalten." Dieses Gespann konnte mit einer neuen Technologie vor einem der härtesten Auditoren der Schweiz bestehen und das termingerecht. Ohne den richtigen Partner wäre das niemals möglich gewesen. Eine Partnerschaft zweier Schweizer Top Anbieter, auf die man sich auch in anspruchsvollsten Krisen zu 100% verlassen kann.