Ab einer gewissen Herstellergröße gehören Audits offensichtlich einfach dazu. VMware, Marktführer für Virtualisierungstechnologien und mittlerweile in den Top 5 der größten Softwarehersteller der Welt, forciert nun auch lizenzrechtliche Überprüfungen – insbesondere für Software im Rechenzentrum.
Für Administratoren zählt es inzwischen zum Standard, IT-Ressourcen mit VMware-Lösungen zu virtualisieren und über VMware vCenter Server zu verwalten. Das Anwendungsgebiet zeichnet sich mehrheitlich durch übersichtliche Lizenzmetriken aus: Ein gesteckter Prozessor beispielsweise erfordert eine CPU-Lizenz. Für diverse Management-Produkte sind alternativ sogenannte Entitlements (Berechtigungen) notwendig, die sich auf Basis von 25 virtuellen Maschinen (VM) bewegen. Solange Lizenzen frei sind, funktioniert die Anmeldung unkompliziert über die Verwaltungskonsole im VMware vCenter.
Anwender kaufen demnach eigentlich nicht zu wenige oder zu viele VMware-Lizenzen. Die Fallstricke für viele juristisch eigenständige Unternehmen oder Niederlassungen stecken in der EULA (End User License Agreement). Die Vereinbarung macht unter anderem Vorgaben zu Geoprofiling, Lizenzquellen, Hosting, einheitlichen Support-Leveln und sogenannte Legal Entity Restrictions, die für Anwender insbesondere dann kompliziert werden, wenn sie mehrere Rechenzentren betreiben und Services für Kunden anbieten. Wie sich diese Stolperfallen Schritt für Schritt meistern lassen, wird im Folgenden geschildert.
Die fünf Fallstricke der VMware-Lizenzierung im Detail
VMware sagt strikt, dass eine Lizenz lediglich in dem Land eingesetzt werden kann, in dem ein Kunde sie gekauft hat. Globale Einsatzrechte, wie bei anderen Herstellern gebräuchlich, bestehen standardmäßig seit November 2008 nicht mehr. Die Ausnahmen von der Länderregel stellen die Länder des Europäischen Wirtschaftsraumes und den Karibischen Inseln dar, die jeweils eine Lizenzregion bilden. Ein Sonderfall ist damit die Schweiz, die nicht zur EU gehört. Sonderabsprachen sind möglich – über ein Enterprise License Agreement (ELA). In diesem Kaufprogramm können Unternehmen mit dem Hersteller und spezialisierte Dienstleister wie Comparex bestimmte Zusatzoptionen wie eben globale Deployment-Rechte verankern.
Zudem erfolgt der Lizenzeinkauf meist über akkreditierte VMware-Partner (Channel-Lizenzen) oder OEM-Lizenzen (etwa über HP oder Dell-Partner). Da die Lizenzen aus verschiedenen Vertriebskanälen stammen, betreiben viele Unternehmen eine gemischte VMware-Umgebung. Faktisch sind die Entitlements für Lizenzen aus beiden Bezugsquellen identisch, allerdings unterscheiden sich die Support-Wege signifikant. Der regelkonforme Einsatz setzt eine Dokumentationspflicht für den Einkauf voraus, die Expertise im Software Asset Management (SAM) verlangt, um die Lizenzquellen und so den zweiten Fallstrick aufzudröseln.
Die EULA enthält unter bestimmten Umständen auch Hinweise zu der Nutzung von Mietlizenzprogrammen, die bei VMware unter vCAN laufen. Gefahr lauert, wenn Kunden für sogenannte Third Parties, also etwa für Mutter- und Tochtergesellschaften, Niederlassungen oder andere Beteiligungsverhältnisse, Services auf Basis von VMware erbringen.
Stellt eine Firma VMware-Services für Anwendergruppen, also nachgeordnete Unternehmen/Legal Entities bereit, darf sie die Lizenzen kaufen, solange sie zu 50 oder mehr Prozent an diesen nachgeordneten Firmen/Einrichtungen beteiligt ist. Unter 50 Prozent Beteiligung muss der Kunde zwingend vCAN nutzen, ebenso wie reguläre Hoster, die in einer sogenannten Shared Environment Dienste für ihre Endkunden anbieten. Das ist dann der Fall, wenn auf einem ESX Host Workloads mehrerer Endkunden laufen oder laufen können. Für diese Service-Bereitstellung mietet die Firma als Hoster die VMware-Lizenzen über den Dienstleister, reportet monatlich und rechnet über Pay-per-use ab.
Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.
Neben dem Hosting baut sich bei der Legal Entity Restriction noch auf einer anderen Ebene ein Hindernis auf: Administratoren, die auf mehrere Legal Entities zugreifen, könnten unter Umständen einen Compliance-Verstoß begehen. Solange die “untergeordnete” Anwendergruppe nur auf eine bestimmte Applikation zugreift, ist alles in Ordnung. Sobald sie jedoch Zugriff auf den Virtualisierungslayer hat und über die Verwaltungskonsole virtuelle Maschinen anlegt oder neustartet, benutzt sie einen Root-Zugang. Dazu benötigt diese Anwendergruppe selbst CPU-Lizenzen. Sie muss diese nicht einsetzen, aber vorhalten.
Bei einem VMware-Audit stehen schnell heterogene Support-Umgebungen, der fünfte Fallstrick, im Fokus. Support ist standardmäßig in zwei Ausprägungsstufen erhältlich – als Basic und Production. VMware besteht darauf, dass ein Anwender für bestimmte Serverklassen oder für bestimmte Umgebungen denselben Supportlevel einsetzt (SNS-Consistence-Coverage-Policy).
VMWare-Lizenzprogramme passgenau auswählen
Wer nicht über einen dieser fünf Fallstricke stolpern will, sollte sich einen spezialisierten SAM-Partner ins Haus holen. Am Anfang macht dieser ein Baseline-Reporting, wofür Softwareinventarisierungstools Informationen sammeln. Danach klären die SAM-Experten, was ein Anwender an Lizenzen wo gekauft hat und nun nutzt. In der dritten Stufe strukturieren die Experten die Umgebung oder die Prozesse so um, dass Länderlizenzen korrekt eingesetzt werden.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Doch schon der nächste virtuelle Workload oder die Migration dessen kann die SAM-Momentaufnahme beeinflussen. Spezialisten leisten deshalb nur ganze Arbeit, wenn sie Anwenderfirmen kontinuierlich begleiten – und beraten.
Die Auswahl des richtigen VM-Ware-Lizenzprogrammes kann helfen, Compliance-Risiken zu mindern. Dafür muss der Compliance-Partner jedoch wissen, was die Kunden schon haben und was sie in nächster Zukunft planen. Dabei gilt: In den Standard-Lizenzprogrammen wie VMware Volume Purchase Programm (VPP) bestehen kaum Möglichkeiten, die EULA “aufzuweichen”. Man kann jedoch mit einem einheitlichen “Switch” zu VMware-Partner Channel-Lizenzen, einheitlichen Auslaufdaten, Produkt- und Support-Konsolidierung, Prüfung der verfügbaren VPP-Programme und einer Compliance-sicheren Zuordnung der Lizenzen schon einen gewissen Grad an Ordnung schaffen – nebenbei steigt bei treuer Nutzung von VPP auch das Rabatt-Level für den Bezug von VMware-Lizenzen.
Mehr Freiheiten bietet die Nutzung des Enterprise License Agreements von VMware. Dies eignet sich vor allem für größere und internationale Kunden sowie dann, wenn in den nächsten Jahren umfangreiche VMware-basierte Projekte geplant sind. Die Vorteile liegen auf der Hand: Höhere Rabatte für Neulizenzen, die dazugehörige Neuwartung sowie Einsparungen bei der Wartungsverlängerung der bisher gekauften VMware Lizenzen.
Auch Zusatzvereinbarungen wie globale Einsatzrechte können hier festgehalten werden. Mit dem Token-Modell – Guthaben für den flexiblen Kauf von Neulizenzen in einem definierten Zeitraum – bietet VMware ebenfalls ein flexibles Lizenz-Deployment-Modell. Neben dem zentralen Lizenzmanagement ergeben sich weitere Vorteile, wie das Sichern von Nachkaufkonditionen, die über den Standard-Lizenzprogrammen liegen sollten.
Herausfordernde Lizenzierungstrends
VMware-Lizenzprüfungen werden sich auch auf die Cloud und den End-User-Computing-Bereich ausdehnen. Die Schwierigkeiten bestehen darin, dass Workloads sich innerhalb von Rechenzentren, aber auch darüber hinaus innerhalb technischer Grenzen verschieben lassen. Am Montag seine Exchange-VM aus dem eigenen Rechenzentrum in Richtung Microsoft Azure verschieben, am Dienstag zurückholen und am Mittwoch aus Kostengründen zu AWS schieben, dabei einheitlich über die VMware-Management-Tools überwachen – dies ist sicherlich eine Herausforderung in Sachen VMware-Compliance.
Denkt man nun zusätzlich über die Compliance einer Oracle-Datenbank und des zugehörigen Windows-Server-Betriebssystems nach, dann potenzieren sich die Herausforderungen schnell. Dieses Szenario kann schnell Realität werden – und macht vieles unübersichtlich.
Schon heute agieren Anwenderunternehmen nur dann “compliant”, wenn sie auf ein ständiges SAM-Consulting zurückgreifen. Ein Dienstleister muss die Top-10-Hersteller lizenztechnisch abdecken. Dieses Anforderungsprofil ist Pflicht, weil sich viele Unternehmen mit Cloud, Virtualisierung und Management von hybriden Umgebungen beschäftigen. Dabei spielt Investitionssicherheit eine wichtige Rolle. Eine Anwenderfirma will zu Recht nicht zu viel Geld bezahlen, um compliant zu handeln. Anderseits gilt es für sie, genügend Flexibilität zu behalten, um ihre Lizenzen im Unternehmensverbund oder darüber hinaus zu verteilen.
Weiterführende Informationen: Veranstaltungsreihe LICEN§A 2017 – Vorträge und Workshops zu Lizenzmodellen, Lizenzierungsaspekte und Compliance-Fallstricken: