Vandaag kondigt AWS aan dat de AWS European Sovereign Cloud algemeen beschikbaar is. Dat niet alleen. Om nog maar eens te benadrukken dat het menens is, kondigt het ook meteen drie Local Zones aan verspreid over Europa. Gezamenlijk moet dit nieuwe aanbod Europese organisaties in staat stellen om volledige controle over eigen data te hebben.

De AWS European Sovereign Cloud is een nieuw type cloudregio. De regio die vandaag algemeen beschikbaar is, komt niet in de plaats van bestaande regio’s van AWS in Europa, biedt wel alle functionaliteit die ook in bestaande regio’s beschikbaar is, maar staat volledig los van die ‘normale’ regio’s. AWS heeft de European Sovereign Cloud-regio gevestigd in Berlijn/Potsdam.

AWS European Sovereign Cloud is een Europese organisatie

De European Sovereign Cloud is onderdeel van een compleet nieuw Duits moederbedrijf. Het is dus geen rechtstreekse dochter van het Amerikaanse moederbedrijf. Het moederbedrijf heeft bij oprichting ook meteen enkele dochters. Eentje richt zich op de infrastructuur, eentje die zich bezighoudt met het beheren van certificaten en eentje die opereert als werkgever van al het Europese personeel voor de AWS European Sovereign Cloud.

Je kunt het zien als een onafhankelijk opererend bedrijf dat de inkoop doet bij AWS. Dat impliceert dat het ook een eigen financieel beleid en financiële huishouding heeft. Met andere woorden, de omzet die het genereert blijft bij dit moederbedrijf en stroomt niet naar het hoofdkantoor in de VS, ook al zal het uiteindelijk wel in de kwartaal- en jaarcijfers van Amazon.com belanden. Amazon is en blijft immers de uiteindelijke eigenaar van AWS European Sovereign Cloud GmbH.

Fysieke, technische en logische scheiding

De European Sovereign Cloud staat dus qua bedrijfsstructuur compleet los van de gewone cloudregio’s. Zaken zoals IAM en DNS zijn voorbeelden van diensten die AWS speciaal voor de nieuwe soevereine cloud opnieuw heeft ontwikkeld en ingericht. Het krijgt daarnaast een eigen Europees SOC. Ook de facturatie wordt regionaal afgehandeld en klanten moeten een separaat account aanmaken voor de European Sovereign Cloud. Dit moeten ze ook doen als ze al een AWS-account hebben voor gebruik van clouddiensten uit standaard regio’s.

Technisch is de AWS European Sovereign Cloud volgens AWS ook volledig zelfstandig. Dat geldt bijvoorbeeld voor de netwerkverbindingen die door de European Sovereign Cloud gebruikt worden. Die zijn afkomstig van Europese aanbieders. Alles draait dus regionaal en wordt regionaal afgehandeld, is de belofte. Verder belooft AWS dat het min of meer onmogelijk is om de dienstverlening stop te zetten. Het geeft specifieke medewerkers van de AWS European Sovereign Cloud (die sowieso allemaal ingezetenen zijn van de EU) toegang tot de broncode die nodig is om de diensten ervan in de lucht te houden.

Meer fundamenteel speelt ook het Nitro System een belangrijke rol. Hier zijn alle cloudregio’s van AWS op gebouwd. Deze basis alleen zorgt er al voor dat niemand, ook AWS-medewerkers niet, bij data van klanten kan komen als klanten daar geen toestemming voor geven. Daarnaast hebben klanten de keuze om zelf de decryptiekeys in beheer te hebben. Data voorzien van encryptie is hiermee sowieso nutteloos, ook al zou iemand erbij kunnen.

Nieuwe Local Zones

Om aan te geven dat het menens is, kondigt AWS vandaag niet alleen de algemene beschikbaarheid aan van de nieuwe soevereine cloudregio. Het kondigt ook meteen aan dat er ook nog Local Zones bij gaan komen. België, Nederland en Portugal zullen worden voorzien van deze nieuwe soevereine Local Zones. Wanneer dat precies is, weten we op dit moment nog niet. Naast deze nieuwe Local Zones die onderdeel zijn van de AWS European Sovereign Cloud kunnen klanten die nog striktere eisen hebben ook nog gaan voor AWS Dedicated Local Zones, de nieuwe AWS AI Factories of AWS Outposts.

Is het soeverein genoeg?

De grote vraag die bij veel mensen ongetwijfeld zal spelen, is of al het bovenstaande soeverein genoeg is. Uiteindelijk is AWS en ook de AWS European Sovereign Cloud onderdeel van het Amerikaanse Amazon. Dat bedrijf heeft dus uiteindelijk ook te luisteren naar wat de Amerikaanse overheid verwacht, verlangt en eist.

Met name de CLOUD Act doet stof opwaaien in dit opzicht. Daarmee kan de overheid in de VS vragen aan Amazon om data van klanten aan te leveren, ongeacht waar die data staat. Let wel, dit betekent niet dat het zomaar continu allerlei data op kan vragen. Het is een wet die geldt voor vrij specifieke gebruiksdoelen, onder andere voor de strijd tegen terrorisme. De Amerikaanse overheid moet dit soort verzoeken ook volgens een normaal proces indienen. Het is dus niet zo, althans als iedereen volgens de regels handelt, dat het laconiek om kan springen met de wet.

Europese bedrijven maken zich wat ons betreft echter wel degelijk terecht zorgen om de juridische spagaat waar bedrijven zoals Amazon zich in kunnen vinden. Aan de ene kant is er GDPR/AVG in Europa, aan de andere kant de CLOUD Act in de VS. Dat kan best eens frictie opleveren, ook al geeft AWS zelf aan dat het sinds het de statistiek bijhoudt (zo’n vijf jaar geleden is het ermee begonnen) geen enkele keer klantinformatie heeft overgedragen. Het stelt verder ook dat het sowieso alleen kan voldoen aan aanvragen als het technisch mogelijk is om bij die data te kunnen. En dat is door de Nitro-basis van de AWS-cloud sowieso niet het geval, stelt het bedrijf.

We zijn vandaag bij de lancering van de AWS European Sovereign Cloud in Berlijn om nog wat meer inzichten te krijgen in (onder andere ) bovenstaande vragen en claims. Wordt dus binnenkort zeker vervolgd.