Veel grote cloudspelers spreken de laatste jaren over de soevereine cloud. Microsoft, AWS en Oracle zijn er voorbeelden van. Ze beloven data van bedrijven en overheden afgeschermd te houden van derden, zonder de inperkingen van een on-prem infrastructuur. Volgens VMware kunnen de hyperscalers hun beloftes op dit gebied niet waar maken, leerden we tijdens VMware Explore.
Bedrijven maken maar wat graag gebruik van de cloud. De voordelen zijn inmiddels bij een groot publiek bekend. In tegenstelling tot een on-premise infrastructuur biedt het schaalbaarheid, snelle deployment en geen onderhoudskosten. Om de cloud optimaal te benutten, is de inzet van bedrijfsdata van toenemend belang. Wie bijvoorbeeld de vruchten wil plukken van generatieve AI, kan dat het snelste doen met eigen data en externe clouddiensten.
De waarde van deze data is niet te onderschatten, meent Guy Bartram, Director of Product Marketing bij VMware. Iedereen moet zich realiseren dat data “effectief een nieuwe economie” vormt, stelt hij. Hij vergelijkt het met de opkomst van steenkool in de negentiende eeuw. Zo’n waardevolle grondstof geef je niet zomaar weg. Het moge duidelijk zijn: data is de moeite waard om goed te beschermen. Dit weten regelgevers ook, waardoor er voor allerlei sectoren een pittige uitdaging te wachten staat. Bartram haalt de GDPR aan, maar ook DORA (Digital Operations Resilience Act), een EU-wet die financiële instituten dwingt om zich steviger te beschermen tegen cyberdreigingen. Daarnaast wil niemand met waardevolle data dat een ander erbij kan. Hoe kunnen cloudleveranciers daarvoor zorgen?
Wat is echt sovereign?
Het afgelopen jaar hebben meerdere partijen beloofd dat ze een soevereine cloud kunnen leveren. Microsoft, Google, AWS en Oracle hebben allemaal clouddiensten die data residency binnen de eigen regio garanderen. Voor ons betekent dat binnen de Europese Unie en volgens EU-wetgeving. CSO van Amazon Stephen Schmidt vertelde ons vorig jaar dat de sovereign cloud slechts een marketingterm is die in de mode is geraakt.
Lees verder: AWS heeft het nooit over sovereign cloud, maar levert het wel
Aanvankelijk lijkt Bartram die mening te delen. “Het probleem is dat iedereen op de terminologie van sovereign cloud is gesprongen, terwijl er geen echte definitie is. Nu hebben we verwarring in de markt: hyperscalers beweren dat ze sovereign-diensten hebben, hun partners ook en cloudleveranciers claimen hetzelfde.” Tijd voor wat orde in de chaos. In praktische zin is er een spectrum van soevereiniteit, stelt Bartram, met de air-gapped geïsoleerde omgevingen van militaire instanties enerzijds en anderzijds public clouds waarop data met eigen keys kan worden versleuteld. “Hoe meer je richting public cloud beweegt, hoe minder soeverein het is.” Hij benadrukt dat het gaat om wie jurisdictie heeft over waar je je cloud draait.
En daar zit het probleem, meent Bartram. Volgens hem zorgen de aankondigingen van AWS en co ervoor dat de term ‘sovereign’ verwatert. De BSI, de Duitse instantie voor IT-security, heeft zijn steun uitgesproken voor de onlangs onthulde European Sovereign Cloud van AWS. Dit tot ergernis van Frankrijk, dat schittert in afwezigheid bij de aankondiging van die nieuwe cloud-oplossing. Een Frans politicus sprak kort erna zijn zorgen uit over de positie van Berlijn. Naar eigen zeggen verraste het Duitse besluit Bartram ook. AWS stelt dat alleen medewerkers binnen de EU de “controle over de operaties en ondersteuning” van AWS European Sovereign Cloud hebben. Dit om ervoor te zorgen dat de Amerikaanse overheid geen kijkje mag nemen in de data van Europese bedrijven. Dat acht Bartram klaarblijkelijk niet als een geloofwaardige belofte. AWS is en blijft een Amerikaanse entiteit die volgens hem onderhevig blijft aan de wensen van de inlichtingendiensten in Washington. Die autoriteiten mogen dankzij de Amerikaanse CLOUD Act alle data opvragen die beheerd worden door bedrijven uit de VS.
Dat Duitsland een eigen pad bewandelt, wekte dus verbazing. Als Europa niet gezamenlijk een sterke mate van soevereiniteit ondersteunt, ziet Bartram dat als een gemiste kans. “We staan op de vooravond van een nieuwe game changer met AI en machine learning,” constateert hij. Er is volgens hem nu een kans om een AI-gerichte infrastructuur op soevereine basis te construeren. En de tijd dringt. “AI zal zich niet op een lineaire manier ontwikkelen.” Hij denkt dat applicaties over tien jaar allemaal AI-applicaties zullen zijn.
Welke rol speelt VMware hierin?
“VMware heeft een heel restrictieve aanpak voor wat wij als sovereign zien,” stelt Martin Hosken, Chief Technologist, Cloud. “Het is niet alleen belangrijk waar de data leeft, maar ook wie toegang heeft.” Kortom, ook hij beweert dat AWS de beloftes van databescherming niet waar kan maken. “Dat is niet hun schuld, ze hebben dat niet in de hand,” concludeert Hosken. Sommige maatregelen van AWS met de European Sovereign Cloud zouden voldoende zijn voor “sommige regeringen”, meent hij, maar zouden het probleem niet oplossen. “Microsoft heeft hetzelfde probleem.”
Lees ook: Microsoft introduceert ‘sovereign’ cloud voor Europese overheden
Er is in ieder geval een juridisch grijs gebied aanwezig volgens Hosken: hij vertelt dat Google met sommige VMware-partners samenwerkt die datacentra binnen de EU beheren. Er is nog niet bewezen dat Amerika die data niet alsnog kan opeisen. “Voor VMware is regelgevende controle een absolute benodigdheid voor soevereiniteit.”
Wat VMware hierin kan betekenen, brengt Hosken als volgt: “De vrijheid en flexibiliteit die VMware aan partners en klanten geeft, is uniek. We hebben meer dan 10.000 datacentra wereldwijd met partners op locatie.” Hij vergelijkt dit met AWS, dat 32 regio’s kent. “Met dat aantal regio’s kunnen ze bij lange na niet een regio aanbieden in elk land. Ze hebben niet de diversiteit aan partners die VMware kan aanbieden.”
Net als Bartram richt Hosken zich op de toekomst. De ontwikkeling van de sovereign cloud zal de hyperscalers binnen tien jaar raken, vermoedt hij. Gezien de continue veranderingen in regelgeving, ziet hij VMware als een aantrekkelijke optie die gebruikers in staat stelt om altijd te voldoen aan compliance-eisen. Elders stipt het bedrijf aan hoe eenvoudig men het maakt om legacy-workloads vanuit on-prem te verplaatsen en om gebruik te maken van allerlei cloud-native workloads.
Hoe het (volgens VMware) wél moet: Monaco Cloud
Van Bartram en Hosken hebben we dus begrepen wat een sovereign cloud volgens VMware is. Ook is men helder over het voordeel van VMware: brede beschikbaarheid, flexibiliteit en een veelvoud aan partners. Daarnaast is men niet te spreken over de geloofwaardigheid van de AWS-belofte omtrent soevereiniteit. Hoe ziet een goed voorbeeld hiervan er dan wel uit?
Tip: Oracle gaat EU Sovereign Cloud lanceren, dat data binnen Europa houdt
Vorige maand bracht VMware het nieuws dat het vorstendom Monaco een VMware Sovereign Cloud had opgezet. Concreet wordt het beheerd door Monaco Cloud, dat voor het merendeel in handen is van de Monegaskische overheid. Het is een VMware-partner en was eveneens op de showvloer aanwezig om uitleg te geven over de voordelen van een sovereign cloud. Dankzij garanties dat de data veilig is en buiten het bereik van externe autoriteiten blijft, maakt de overheid dankbaar gebruik van de digitale infrastructuur. Het kan zelf de regels schrijven zonder inmenging van buitenaf. Alle publieke diensten moeten op den duur volgens het zogeheten “Extended Monaco”-programma digitaal beschikbaar zijn. Opvallend is dat er binnenkort wel een back-up van overheidsdata en -diensten in Luxemburg geplaatst wordt, maar deze valt onder het bewind van de “digitale ambassade” van Monaco.
Kortom, Monaco heeft een digitale autonomie opgebouwd waar anderen jaloers van zullen worden. Echter kent de staat slechts 40.000 inwoners en bevindt het zich buiten de Europese Unie. Elders is het dus lastiger om op nationale schaal een vergelijkbaar succesverhaal te bouwen. Wellicht is het daarom zo dat Duitsland genoegen neemt met een volgens VMware ‘verwaterde’ sovereign cloud van AWS, omdat het alternatief zonder de hyperscalers te lastig te realiseren is. De tijd zal leren welke kant de regelgeving binnen Nederland, de EU en daarbuiten op gaat. Hoe dan ook denkt VMware te weten hoe het wél moet.
We bespraken in 2022 wat de ‘soevereine cloud’ inhoudt en waarom het nodig is:
15 uur geleden
Expert bijdrage
