Zorgvuldigheid wordt steeds belangrijker naarmate de strijd om Cloud-soevereiniteit heviger wordt

Door Guy Bartram – Director Product Marketing bij VMware

Ten eerste heeft AWS een openbare belofte gedaan, namelijk de: ‘AWS Digital Sovereignty Pledge’. Deze bestaat uit een toezegging om ‘de meest geavanceerde set aan soevereiniteitscontroles en -functies die beschikbaar zijn in de Cloud’ te bieden. Na de samenwerking van Google met T-Systems en het ‘Delos’-aanbod van Microsoft, SAP en Arvato, volgt nu AWS. Deze initiatieven versterken het groeiende potentieel van soevereine Cloud-services in een wereld die steeds meer wordt gedomineerd door vragen over Cloud-keuze en -controle en complexe nalevingsvereisten.

Dus, wat betekent een belofte? Het woordenboek definieert een belofte als een ‘plechtige toezegging’ - wat redelijkerwijs de vraag zou oproepen: is dit niet een erkenning dat er tegenwoordig weinig soevereiniteit is in het aanbod? Waarom zou het anders een belofte zijn? Een belofte is toekomstgericht, iets dat nog niet is uitgevoerd of geleverd. Zou een dergelijke aankondiging ook niet idealiter moeten worden ondersteund met een stappenplan? Waar is de garantie dat zaken in deze toezegging worden nagekomen? In plaats daarvan vermeldt AWS wat de belofte in het algemeen inhoudt: controle over de locatie van uw gegevens, verifieerbare controle over gegevenstoegang, de mogelijkheid om alles overal te versleutelen en de veerkracht van hun Cloud. De belofte klinkt uitstekend, maar voldoet het aan de standaarden van de meeste vereisten voor gegevenssoevereiniteit wereldwijd? Het lijkt echter dat niets de kritieke zorgen wegneemt rond gebruik op grote schaal, jurisdictiecontrole, wettelijke rechten om toegang te krijgen tot de gegevens en het voldoen aan soevereine gegevensvereisten die bescherming vereisen van de Amerikaanse CLOUD-act of sectie 702 van de U.S. Foreign Intelligence Surveillance Act.

Ten tweede heeft Microsoft problemen in Duitsland omdat Office 365 naar verluid niet voldoet aan de AVG. De AVG is nu meer dan 4 jaar oud en de meeste bedrijven hebben zich hier in alle haast bij aangesloten om niet gestraft te worden door de EU. Nu de Duitse federale en nationale gegevensbeschermingsautoriteiten (DSK) hun bezorgdheid hebben geuit over de verenigbaarheid van Office 365 met gegevensbeschermingswetten in Duitsland en de EU, vraag je je af hoe andere bedrijven mogelijk ook tekortschieten in hun verplichtingen om de gegevens van EU-klanten te beschermen. Daarnaast, hoeveel andere wettelijke vereisten (zoals vereisten voor gegevenssoevereiniteit) waaraan wereldwijde openbare Cloud-providers denken te voldoen, kunnen door de regelgevers worden onderzocht? Dit nieuws stemt natuurlijk tot nadenken. Microsoft heeft ontkend dat dit juist is en heeft een verklaring uitgegeven waarin om meer opheldering wordt gevraagd met betrekking tot de mening die DSK heeft. IT-managers zouden dit nieuws daarom moeten beschouwen als een opmerkelijke casestudy om de beslissingen over hun Cloud-keuze te voeden, aangezien de wettelijke vereisten met betrekking tot datasoevereiniteit veel complexer zijn om aan te voldoen dan AVG.

Al deze problemen brengen Amerikaanse en wereldwijde hyperscalers in een precaire positie bij het exploiteren van een soevereine Cloud (of een andere gereguleerde Cloud-oplossing) in jurisdicties zoals de EU, waar ze zich moeten houden aan de AVG van de EU en de Amerikaanse wetgeving. Het plaatst de EU daarnaast ook in een precaire positie, aangezien 72% van de Europese Cloud-marktuitgaven in het tweede kwartaal van 2022 was afgestemd op AWS, Microsoft en Google. De EU wil een eerlijke markt en een beschermde Europese Cloud zonder de Cloud-functionaliteit in gevaar te brengen. Echter, door voortdurende investeringen van rond de $ 4 miljard in Amerikaanse hyperscale organisaties zal geen enkel Europees Cloud-bedrijf deze markt ooit serieus kunnen uitdagen. De EU heeft dus zeker een dilemma: aan de ene kant zou het afdwingen van soevereiniteit betekenen dat er geen gebruik kan worden gemaakt van buitenlandse Clouds, wat de EU-Cloud-markt ernstig zou schaden. En aan de andere kant, hoe is er voldoende wetgeving te maken om een niveau van soevereiniteit te behouden dat buitenlandse providers met een zekere mate van externe jurisdictiecontrole niet uitsluit? Het lijkt erop dat er in de nabije toekomst geen antwoord zal komen op dit dilemma. De meest voorzichtige benadering van naleving lijkt een nationale, speciaal gebouwde soevereine Cloud te zijn, waarbij externe Clouds worden gebruikt wanneer uw gegevensclassificatie voldoet aan de behoeften van niet-gereguleerde of niet-soevereine omgevingen: Cloud Smart!

Europese Cloud-providers zijn over het algemeen meer gespecialiseerd in hun diensten en bieden bijna allemaal beheerde services, iets wat niet direct wordt gevonden in het aanbod van grote Amerikaanse hyperscalers. Ik geloof dat dit een goede zaak is. VMware heeft consequent verklaard dat de toekomst van een goed uitgevoerde Cloud Smart IT-strategie Multi Cloud en Hybrid Cloud is en dat Cloud Smart zijn betekent dat we hyperscale-aanbiedingen niet kunnen negeren. We hebben ze nodig, vooral omdat er significante innovaties en marktleidende schaalbaarheid in deze Clouds zit. Dit is waarom de strategie van VMware uniek is: VMware moedigt Multi Cloud aan en helpt organisaties een Cloud-strategie te handhaven die lock-in vermijdt en kwaliteit en veiligheid handhaaft terwijl de prestaties worden bewaakt. Het VMware Sovereign Cloud-initiatief biedt nationale en lokale partners van Cloud-providers de mogelijkheid om speciaal gebouwde soevereine Clouds te bouwen, inclusief Clouds die voldoen aan lokale specifieke vereisten op gebieden zoals datasoevereiniteit, inclusief data-residentie en jurisdictiecontrole, datatoegang en -integriteit, databeveiliging en compliance, gegevensonafhankelijkheid en -mobiliteit, en gegevensinnovatie en -analyse.

Het algemene misverstand bij het overwegen om een wereldwijde hyperscaler te gebruiken voor workloads die datasoevereiniteit vereisen, is dat er compliance is omdat portfolio, data en applicaties beperkt zijn tot alleen dat wat in een regio kan worden uitgevoerd. Dit maakt het nog steeds niet soeverein - het is gewoon een farce. Voor alle duidelijkheid: fysieke locatie (of data-residentie), hoewel noodzakelijk voor datasoevereiniteit, vormt niet volledige datasoevereiniteit voor bijna, zo niet alle datasoevereiniteitsvereisten over de hele wereld. Vereisten voor gegevenssoevereiniteit zijn uniek voor elk rechtsgebied, maar hebben allemaal meer behoeften dan alleen dataresidentie. Ze vereisen bijvoorbeeld allemaal ook jurisdictiecontrole, waarvan niet kan worden aangenomen dat deze wordt vervuld met een dataresidente Cloud, met name voor Amerikaanse of wereldwijde Cloud-providers die onderworpen zijn aan de CLOUD Act en de FISA-uitspraak. Het is daarom essentieel om te erkennen dat soevereine Cloud-providers van VMware onafhankelijke externe partners over de hele wereld zijn die ook uitgebreide portfolio's van Cloud-mogelijkheden beheren. Gebaseerd op VMware-oplossingen en ecosysteemleveranciers, met tools en concurrentievoordeel (onder het huidige regelgevingsklimaat) om het hoogste niveau van compliancecomfort te kunnen bieden met vereisten voor gegevenssoevereiniteit en/of andere regelgeving zoals de AVG.

Dus, wat is hier het antwoord? Het standpunt van VMware is niet veranderd: het gebruik van ‘vertrouwde’ hyperscale Clouds duidt op een niveau van vertrouwen waarbij data die in een hyperscale Cloud wordt geplaatst, niet topgeheim is, moet kunnen worden beschermd (met bijvoorbeeld behulp van codering of bring your own key) en publiek moet zijn. Met andere woorden: alleen data met een laag risico mogen in een hyperscale Cloud worden geplaatst. Over de hele wereld moeten klanten niet langer wachten op een magische one-size-fits-all-oplossing. Overweeg in plaats daarvan een strategie die gebruikmaakt van het beste van alle Multi Cloud-oplossingen en die Cloud-keuzes maakt op basis van gegevensclassificatie, gegevensbewerkingen en risico’s.

Zoals het diagram laat zien, is er een verhoogd risico verbonden aan niet-soevereine Cloud-oplossingen, aangezien jurisdictiecontrole teniet wordt gedaan in een vertrouwde of hyperscale Public Cloud. De hoeveelheid gegevens die van toepassing zijn op niet-soevereine diensten die in overweging moeten worden genomen, kan lager zijn als u een grondige gegevensclassificatie hebt uitgevoerd. Vergeet niet dat een soevereine Cloud-provider services levert die geschikt zijn voor uw branche, of het nu gaat om de overheid, de publieke sector, de financiële sector of vele andere branches en daarnaast beheerde services levert om u te helpen bij uw strategie voor Cloud-adoptie. Sommige ontwikkelen ook oplossingen voor veilige gegevensuitwisseling om geld te verdienen met uw gegevens, een cruciaal onderdeel in de groeiende gegevensmarkt. Bovendien zijn VMware Sovereign Cloud Providers wellicht het meest geschikt om u te ondersteunen bij het beheer van lokaal op maat gemaakte privacy, classificaties en risicoanalyse, zodat wordt voldaan aan de strengste normen. Aangezien gegevens betrekking hebben op persoonlijke en niet-persoonlijke gegevens (denk aan industriële en IoT), zal een classificatieoefening u helpen uw risico's te begrijpen en hoe u deze kunt beschermen in overeenstemming met de wettelijke vereisten en toekomstige bedreigingen van nieuwe normen voor gegevensclassificatie die eraan komen.

Naarmate datamarkten evolueren en data-uitwisseling voor de toeleveringsketen en het genereren van inkomsten een cruciaal onderdeel wordt van hoe we zakendoen, is het van essentieel belang dat de juiste strategie op dag 0 wordt bepaald en dat de beperkingen van een Cloud-keuze de principes van soevereiniteit niet in gevaar brengen. Zorg er daarnaast voor dat de Cloud-provider die u selecteert over de juiste technologische mogelijkheden, beveiligingsinfrastructuur en gegevensbeheerprocessen beschikt om uw gegevens te beschermen, voldoet aan nalevingsnormen en een veilig platform voor uw bedrijf biedt.