Microsoft Cloud for Sovereignty lijkt wassen neus

Microsoft Cloud for Sovereignty lijkt wassen neus

Microsoft heeft Cloud for Sovereignty algemeen beschikbaar gesteld. De nieuwe dienst moet overheden in staat stellen om hun data in de cloud veilig te stellen. Toch kan Microsoft-personeel bij de data in specifieke scenario’s. Mede daardoor lijkt de authenticiteit van deze ‘soevereine cloud’ niet meer dan een wassen neus.

Voortaan ondersteunen alle 60+ Azure-regio’s Cloud for Sovereignty. Microsoft legt de nadruk op het nut dat de nieuwe dienst voor overheden zal hebben. Deze partijen hebben namelijk met een “complex en gelaagd” landschap aan regelgeving te maken. De tegenhanger vanuit AWS is European Sovereign Cloud, dat met slechts 32 regio’s een veel minder breed inzetbaar aanbod heeft.

Onder de klanten van het eerste uur is er ook Nederlandse vertegenwoordiging te vinden. NCSC-NL en de gemeente Amsterdam zijn al begonnen met het migreren van hun data naar de sovereign cloud van Microsoft.

De interesse vanuit overheden en streng gereguleerde sectoren laat zich eenvoudig verklaren. Men mag eindelijk profiteren van de voordelen van de public cloud zonder de controle over de eigen data te verliezen. Althans, dat is de belofte. Microsoft strooit met policies die gevoelige gegevens geheel volgens (inter)nationale regelgeving helpt beschermen, waaronder een nieuwe Sovereignty Policy Baseline. De Nederlandse Baseline informatiebeveiliging overheid (BIO) wordt ook expliciet genoemd. Het wekt verder de suggestie dat alles op alles wordt gezet om een veilige privé-omgeving in de Azure-cloud te creëren.

CEO van e-mailbeveiliger Zivver Rick Goud vertelde ons al dat de BIO “laaghangend fruit” is als het om dataprivacy gaat. Er ontbreekt volgens hem echter een praktische toepassing van hoe dataprivacy gegarandeerd kan worden. Meer regelgeving zal nodig zijn om daadwerkelijk rigide regelgeving te creëren. De belofte van Microsoft wekt op dat front dus weinig vertrouwen. Ook elders is er reden tot zorg.

Amerikaans gezag over de data valt niet weg te moffelen

Microsoft draait de Cloud for Sovereignty-dienst zelf, maar zou volgens Atea-CEO Steinar Sonsteby een “technisch mechanisme om de data op slot te zetten”. Niemand buiten de klant zou er daadwerkelijk bij kunnen. The Register stipte al in de preview-fase van het nieuwe cloud-aanbod aan dat er veel op dergelijke toezeggingen af te dingen valt. Om dat concreet te maken, hebben we wat extra uitleg nodig.

Die uitleg vonden we onlangs bij Guy Bartram, Director of Product Marketing, en Martin Hosken, Chief Technologist, Cloud, beiden werkzaam bij VMware. Dat bedrijf (inmiddels in handen van Broadcom) houdt er naar eigen zeggen een zeer nauwe definitie van datasoevereiniteit op na. Zo was Bartram niet te spreken over de verwatering van de ‘sovereign’-terminologie die met name Microsoft en AWS teweeg hebben gebracht. “Het probleem is dat iedereen op de terminologie van sovereign cloud is gesprongen, terwijl er geen echte definitie is. Nu hebben we verwarring in de markt: hyperscalers beweren dat ze sovereign-diensten hebben, hun partners ook en cloudleveranciers claimen hetzelfde.”

Lees verder: VMware vertelt de concurrentie wat een echte sovereign cloud is

Het probleem voor partijen als Microsoft en AWS is namelijk van een fundamentele aard. De Amerikaanse CLOUD Act verplicht hen als entiteiten uit de VS om data te delen als dat voor de nationale veiligheid nodig geacht wordt. Ondanks alle beloftes dat data-in-use versleuteld wordt en er policies beschikbaar zijn om aan alle compliance-eisen te voldoen, ontkomt Microsoft dus niet aan dit probleem. Met andere woorden: noem het wat je wil, maar een clouddienst van een Amerikaanse partij kan nooit in Europa echt soevereiniteit beloven. Wellicht dat het alsnog de gevoelige data op een beperkte wijze met de public cloud kan laten communiceren. Dat werpt alleen juist weer oude blokkades op die het nieuwe Cloud for Sovereignty dient te voorkomen. Zo deed het in Frankrijk gebaseerde Atos concretere toezeggingen over wie controle over de data had toen het Atos OneCloud Sovereign Shield in 2021 lanceerde. Dat neemt nog altijd niet weg dat gevoelige data in potentie onder Microsofts bewind valt.

Transparency logs

Opvallend bij de Microsoft-aankondiging van Cloud for Sovereignty is de passage over Transparency logs. Hierin kunnen klanten van het sovereign-pakket inzien wanneer een Microsoft-engineer toegang heeft gekregen tot de eigen omgeving. Een veel voorkomende beweegreden hiervoor zou een reactie op een support-ticket zijn, waarbij een medewerker nu eenmaal persoonlijk een kijkje zal moeten nemen. Echter staat er nergens expliciet dat dit de enige legitimering hoeft te zijn om bij de data van de klant te komen, of dat de Transparency logs altijd moeten melden dat de resources zijn aangesproken. Het gaat namelijk enkel om “in aanmerking komende klanten”, dat wat beweegruimte geeft. Wat als een klant onderzocht wordt door de Amerikaanse autoriteiten? Kiest Microsoft er dan voor om deze klant voortaan niet meer in aanmerking te laten komen voor de Transparency log-feature? Het listige aan deze kwestie is dat het allemaal nog niet aan een juridische vuurproef onderworpen is. Vooralsnog blijft de twijfel over de soevereiniteit van data overeind.

We zijn geen juristen, en Bartram van VMware ook niet. Toch suggereerde hij een vuistregel om alvast Microsofts nieuwe aanbod alvast onderuit te schoppen. “Hoe meer je richting public cloud beweegt, hoe minder soeverein het is.” Uiteindelijk is Cloud for Sovereignty simpelweg een Azure-product, verspreid over dezelfde regio’s als de conventionele public cloud.