Lizenzmanagement wird endgültig zur Querschnittsfunktion
Compliance in virtuellen Infrastrukturen
Wien/Zürich (ptp009/24.04.2014/10:00) Heute ist es keine allzu große Herausforderung mehr, Anwendern die von ihnen benötigte Software virtuell bereit zu stellen. Deshalb gehen viele Unternehmen, die die Betriebs- und Verwaltungskosten ihrer IT optimieren möchten dazu über, Anwendungen oder ganze Desktops zu virtualisieren. Aber welche Auswirkungen hat dieser Ansatz auf die Lizenzierung der eingesetzten Software und wie kann die IT die Kontrolle über die Compliance behalten?
Die Virtualisierung von Arbeitsplätzen hat ein signifikantes Momentum in Unternehmen erreicht. Virtualisierungs-Technologien sind inzwischen ausgereift und unterstützen nahezu jede Art von Endgerät. Die korrekte Lizenzierung der virtualisierten Software, ist allerdings nach wie vor eine große Herausforderung, die bei der Umsetzung eines Virtualisierungs-Projekts nicht außer Acht gelassen werden darf. Wie groß die Komplexität der Lizenzierungsfrage ist, hängt davon ab, welche Technologien zum Einsatz kommen und welche Regeln die Hersteller der jeweils bereitgestellten Software definiert haben. Fundiertes Know-how, funktionierende Prozesse und leistungsfähige Werkzeuge sind unerlässlich, um den rechtlichen Anforderungen der Hersteller gerecht zu werden.
Viele Softwarehersteller zögern noch immer, ihre Lizenzmetriken auf Benutzer anstatt auf Hardware auszurichten. Windows und die meisten Anwendungen von Microsoft werden beispielsweise weiterhin nach physischen Geräten lizenziert und damit die Charakteristik einer auf Benutzer ausgerichteten Virtualisierung ignoriert. Da die standortunabhängige Nutzung einer Anwendung auf mehreren Geräten aber ein wesentlicher Vorteil einer Arbeitsplatz-Virtualisierung ist, liegt es auf der Hand, dass die Lizenzierungsfrage hier zum Spielverderber werden kann.
Gartner Empfehlungen zu Virtualisierung und Compliance
Bereits im Jahr 2011 hat Stewart Buchanan von Gartner Research eine Forschungsarbeit über die Virtualisierung von Arbeitsplätzen aus lizenzrechtlicher Perspektive durchgeführt und kommt darin zu interessanten Schlüsselerkenntnissen (Contain Virtualization Licensing Costs With Software Asset Management Best Practices (G00211964), May 5, 2011):
- Kundenerwartungen reichen von "weniger Lizenzkosten" bis "mehr Lizenzkosten".
- Ohne ein strammes Lizenzmanagement besteht für Kunden die Gefahr hoher Nachzahlungen bei Lizenzaudits der Hersteller.
- Lösungsansätze, den Lizenzbedarf allein über die Inventarisierung der Software zu ermitteln, werden fehlschlagen.
- Die virtuelle Bereitstellung von Software wird Lizenzkosten und Risiken in den meisten Fällen ansteigen lassen.
Daraus leiten sich laut Gartner Research folgende Empfehlungen ab:
- Hersteller, Lieferanten oder Systemintegratoren sollten in die Verantwortung genommen werden, korrekte Lizenzbedingungen für genau definierte Konfigurationen festzulegen.
- Es muss sichergestellt sein, dass der verantwortliche Lizenzmanager in alle Maßnahmen zur Einführung von Virtualisierungs-Technologien sowie bei nachgelagerten Änderungen der Konfiguration eingebunden ist.
- Es empfehlen sich regelmäßige Validierungskontrollen, um zu gewährleisten, dass die genehmigten Konfigurationen beibehalten werden.
- Die Compliance sollte über den gesamten Software-Lebenszyklus hinweg dokumentiert werden.
Um diesen Empfehlungen Folge leisten zu können, sollte das Lizenzmanagement nach Best Practices prozessorientiert ausgerichtet und mit entsprechenden Befugnissen ausgestattet sein sowie nachhaltig betrieben werden.
Vielfältige Szenarien mit vielfältigen Konsequenzen
Die Virtualisierung von Anwendungen und Arbeitsplätzen gibt es in verschiedenen Ausprägungen und abhängig davon ergeben sich unterschiedliche Lizenzierungsfragen. Folgende Hauptszenarien einer Virtualisierung können, wie von Michael Silver, Research Director von Gartner beim Microsoft Virtualization Customer Roundtable (http://www.microsoft.com/windows/enterprise/solutions/virtualization/dvroundtable2011.aspx) vorgestellt, unterschieden werden:
- Remote Desktop: Windows Desktop mit Server-Betriebssystem über Fernzugriff (Terminal Server)
- Lokale Virtuelle Maschine: Verschiedene Betriebssysteme, die in virtuellen Maschinen auf derselben Client-Hardware betrieben werden (z.B. Citrix XenClient oder VMware Horizon View).
- Virtuelle Anwendung: Anwendungen, die - isoliert vom Betriebssystem - auf einem Server oder dem Client ausgeführt werden (z.B. Citrix XenApp, Microsoft Remote App, Microsoft App-V, VMware ThinApp).
- Hosted Virtual Desktop: Windows Desktop mit Client-Betriebssystem über Fernzugriff (Virtual Desktop Infrastructure; VDI).
Neben diesen Szenarien gibt es weitere Virtualisierungsansätze, beispielsweise Microsoft Enterprise Desktop Virtualisierung (MED-V) oder Microsoft Windows Thin PC (WinTPC).
All diese Technologien können genutzt werden, um Softwareanwendungen virtualisiert bereit zu stellen. Allerdings sind ihre Auswirkungen auf die Lizenzierung mitunter sehr unterschiedlich. Denn weil es keinen Standard gibt, hat jeder Hersteller die Freiheit, eigene Regeln und Bedingungen zu definieren und zwischen Technologien zu unterscheiden.
Dies hat zur Folge, dass sich Voraussetzungen und Machbarkeit einer Virtualisierungs-Lösung nicht aus rein technischer Perspektive validieren lassen. Vielmehr ist für jeden relevanten Softwarehersteller zu klären, welche lizenzrechtlichen Auswirkungen das vom Unternehmen präferierte Szenario hat; ein erheblicher Aufwand, wenn man berücksichtigt, dass ein normaler Computerarbeitsplatz bis zu 30 verschiedene Anwendungen oder mehr aufweist.
Lizenzierung der Virtualisierungs-Technologie
Zunächst einmal muss die Technologie selbst richtig lizenziert werden. Während Microsoft Remote Desktop Services und Hyper-V mit Windows Server, MED-V mit Microsoft Desktop Optimization Pack (MDOP) und WinTPC mit Windows Software Assurance bündelt, bieten andere Hersteller (z.B. Citrix und VMware) besondere Produktlizenzen an. Dabei ist zu beachten, dass Sie unter Umständen verschiedene Lizenzen für eine Implementierung benötigen, beispielsweise für die zentrale Lizenzierungstechnologie selbst, sowie zuzüglich Lizenzen für den Zugriff nutzender Anwender oder Geräte.
Im Einzelfall kann es technisch sinnvoll sein, verschiedene Virtualisierungs-Methoden zu kombinieren. So ist es durchaus denkbar, einen Hypervisor von VMware zu verwenden, um virtuelle Maschinen von VMware zu betreiben und diese den Anwendern über Citrix XenDesktop zur Verfügung zu stellen.
Lizenzierung eines Server-Betriebssystems
Ein Server-Betriebssystem kann als Träger der Virtualisierungstechnologie eine Rolle spielen, wobei es entweder unmittelbar selbst dem Endnutzer zur Verfügung steht (z.B. Remote Desktop Service) oder lediglich virtuelle Maschinen hostet, auf die zugegriffen wird. Letzteres ist genauer zu betrachten, weil es in einer lizenzrechtlichen Beurteilung einen Unterschied macht, ob das Betriebssystem ausschließlich Virtualisierungsdienste bereitstellt oder ob weitere Anwendungen das System benutzen. Als "weitere Anwendung" gilt beispielsweise jede andere Software, die dort gestartet wird - auch wenn es sich lediglich um einen Virenscanner handelt.
Bei der Bereitstellung von Remote Desktop Diensten (Terminal Server), über die Benutzer Anwendungen per Fernzugriff nutzen, erweitert sich die Lizenzpflicht auch auf die sogenannten "Client Access Licenses" (CAL), welche je zugreifendem Gerät oder Benutzer anfallen.
Lizenzierung eines virtuellen Client-Betriebssystems
Im Mittelpunkt aller Diskussionen über die korrekte Lizenzierung virtueller Arbeitsplätze liegt das Client-Betriebssystem Microsoft Windows. Das ist kein Wunder, erklärt doch Microsoft in zahlreichen Dokumenten (beispielsweise: "Licensing Windows for Virtual Desktops") wie die lizenzrechtliche Gestaltung in solchen Fällen aussieht und erzeugt damit eine Komplexität, wie man sie bislang nur von Serversoftware im Rechenzentrum kannte. Die darin liegende Komplexität erschließt sich alleine aus den Fragen, die man sich dabei stellen muss:
- Welcher Datenträger wird verwendet, um das virtualisierte Betriebssystem aufzusetzen?
- Auf welchem Host wird die virtuelle Maschine betrieben?
- Wird die virtuelle Maschine vorübergehend auf anderen Hosts ausgeführt?
- Wann wurde die virtuelle Maschine dauerhaft auf einen anderen Host verlagert?
- Werden auf dem gleichen Host andere virtualisierte Client Betriebssysteme ausgeführt?
- Ist ein zugreifendes Gerät das primäre Arbeitsgerät eines Benutzers oder nicht?
- Wem gehört das zugreifende Gerät rein rechtlich - der Organisation oder dem Benutzer?
- Erfolgt der Zugriff von innerhalb des lokalen Netzwerks oder von außerhalb?
- Erfolgt der Zugriff sporadisch oder regelmäßig?
- Nutzen mehrere Personen ein virtualisiertes Client Betriebssystem gemeinschaftlich?
- Nutzt ein Benutzer immer denselben virtuellen Desktop, oder nutzt er verschiedene?
- Auf wie viele virtuelle Client Desktops greift ein Benutzer "gleichzeitig" zu?
- Welche technische Prozessorplattform hat das zugreifende Gerät (ARM/Intel/AMD)?
- Welches Betriebssystem wird auf dem zugreifenden Gerät genau ausgeführt?
- Wie ist das lokale Betriebssystem des zugreifenden Geräts lizenziert?
Microsoft legt ausdrücklich fest, dass die Visualisierung der Benutzeroberfläche eines Client-Betriebssystems auf einem anderen, über ein Netzwerk zugreifendes Gerät, mit einer gewöhnlichen Windows-Lizenz nicht erlaubt ist. Dies gilt auch dann, wenn das entsprechende zugreifende Gerät bereits mit einer gültigen Windowslizenz für die lokale Kopie ausgestattet ist.
Stattdessen sieht Microsoft vor, dass der Zugriff auf einen virtuellen Client-Desktop über eine sogenannte "Virtual Desktop Access" (VDA) Lizenz zu berechtigen ist. Dieses Recht ist jedoch auch in der von Microsoft angebotenen Software Assurance (SA; Softwarewartung) enthalten. Sollte sich das zugreifende Gerät jedoch im persönlichen Eigentum des Mitarbeiters befinden und der Zugriff innerhalb des lokalen Netzwerks erfolgen, muss dieser ausnahmsweise über eine "Companion Device Subscription License" (CDL/CSL) lizenziert werden.
Es ist offensichtlich, dass die Lizenzierung von virtuellen Desktops mit Client-Betriebssystem eine weitaus höhere Komplexität hat, als bei gerätelokalen Windowsinstanzen oder klassischen Terminal Service Szenarien. Nun sind sogar der Nutzungsort und die Eigentümerschaft des Geräts von Bedeutung. Deshalb ist nicht nur eine umfassende Ermittlung der tatsächlichen Konfiguration und der faktischen Nutzung virtueller Desktops erforderlich, sondern auch eine Berücksichtigung von Implikationen für ein IT Asset Management, das unter Umständen relevante Geräte umfasst, die zwar Eigentum der Mitarbeiter sind, aber beruflich genutzt werden.
Lizenzierung von virtualisierten Anwendungen
Softwareanwendungen, die entweder über einen virtuellen Desktop bereitgestellt oder auf andere Weise "virtuell" zugänglich gemacht werden, unterliegen grundsätzlich denselben Lizenzbedingungen wie die konventionelle, lokale Bereitstellung auf physischen Geräten. Als Grundregel bei der Ermittlung des Lizenzbedarfs kann davon ausgegangen werden, dass in vielen Fällen "pro Installation/Gerät" oder "pro Benutzer" abgerechnet wird. Da die Hersteller Virtualisierungsszenarien zumeist sehr verschieden beurteilen und regeln, gibt es allerdings keine allgemeingültige Sicht darauf. Während Microsoft auf die Metrik aus den Produktnutzungsrechten pocht, gewährt Adobe bei virtualisierten Anwendungen eine "pro Benutzer" Metrik, die in der Regel um einiges einfacher gehandhabt werden kann.
Die Beibehaltung der "Gerätemetrik" kann bei virtualisierten Anwendungen eine gewisse "Lizenzfalle" darstellen. Keine Frage, dass hier nicht die physischen Hosts, sondern die zugreifenden Geräte gemeint sind. Diese Systematik legt den Paradigmenkonflikt offen, der zwischen benutzerspezifischer Bereitstellung virtueller Anwendungen (Zugriffsrechte werden primär über Benutzerkonten gesteuert) und der althergebrachten Lizenzierung nach Geräten entsteht.
Durch die Gewährung von Zugriffsrechten für ein Benutzerkonto wird letztlich nicht automatisch valide definiert, wie viele Lizenzen erforderlich sind. Die Berechtigung einer definierten Anzahl von Benutzern lässt in diesem Fall kaum Rückschlüsse zu, wie viele Lizenzen tatsächlich benötigt werden. Nutzen beispielsweise 10 berechtigte Anwender eine virtualisierte Anwendung mit jeweils drei Endgeräten werden insgesamt 30 Lizenzen fällig! Folglich kommt man nicht darum herum, die tatsächliche Nutzung unter Berücksichtigung der Geräteidentität zu messen und valide auszuwerten.
Letztlich, und nicht nur weil der eine oder andere Softwarehersteller es vielleicht sogar verbietet, seine Software überhaupt zu virtualisieren, empfiehlt es sich von vorne herein, die Lizenzbedingungen mit jedem einzelnen relevanten Hersteller verbindlich abzuklären.
Implikation für das moderne Lizenzmanagement
Lizenzmanagement setzt in jedem Fall valide Prozesse in allen relevanten Bereichen des Softwarelebenszyklus voraus, wenn man Risiken und Kosten damit erfolgreich adressieren möchte. Sobald Arbeitsplätze von Anwendern ganz oder teilweise virtualisiert werden, kommt diesem Grundsatz noch größere Bedeutung zu. Dies ist dem Umstand geschuldet, dass die Hersteller zum Teil sehr komplizierte Lizenzbedingungen geschaffen haben, die es bereits im Rahmen der Softwareverteilung, des Configuration Managements sowie des Change Managements zu beachten gilt.
Darüber hinaus benötigen Sie für ein wirkungsvolles Lizenzmanagement auch ein geeignetes Werkzeug, das in der Lage ist, diese Komplexitäten abzubilden und dabei immer größtmögliche Transparenz und Nachvollziehbarkeit sicherstellt. Nur dann können sich Unternehmen sicher sein, dass sie auch hinsichtlich der virtuellen Infrastrukturen korrekt lizensiert sind. Unabhängig davon versetzen derartige Lösungen Lizenzverwalter außerdem in die Lage, bei Nachkäufen, Vertragsabschlüssen sowie Audits besser zu argumentieren und beispielsweise sogar die Lizenzkosten reduzieren zu können.
Bestens aufgestellt sind an dieser Stelle vor allem Lösungen, die das Management von Lizenzen als Teil eines ganzheitlichen Managements moderner Arbeitsumgebungen betrachten. Das Spektrum reicht inzwischen nahtlos vom klassischen Computer über das mobile Gerät bis hin zu virtualisierter Softwarebereitstellung. Gerade letzteres, aber auch generell, erfordert erfolgreiches Lizenzmanagement daher eine prozessual vernetzte IT, die ohne Medienbrüche alle relevanten Schritte abbilden, steuern, auswerten und valide nachvollziehen kann. Anders formuliert: Lizenzmanagement ist kein eigener Prozess, sondern eine Querschnittsfunktion, die in vielen IT Prozessen erfüllt werden muss.
Über den Autor: Torsten Boch ist Senior Product Manager bei Matrix42
(Ende)Aussender: | ProComm |
Ansprechpartner: | Gabriela Mair |
Tel.: | +436769083571 |
E-Mail: | g.mair@procomm.biz |
Website: | www.matrix42.com |