Het gebruik van de public cloud vergt vertrouwen in de aanbieder ervan. Kritieke sectoren en overheidsinstellingen grijpen graag naar de veiligste optie: een sovereign cloud. Wat dit precies inhoudt, blijft een raadsel. Johan David Michels, een onderzoeker aan de Queen Mary University of London, wil dat die vaagheid verdwijnt.
Europese clouddiensten staan sterk in de schoenen als het om sovereign cloud-beloftes gaat. Zij beheren de servers op het eigen continent, hebben regelmatig geen enkel direct contact met de VS en versturen zelfs geen metadata voorbij de Europese grenzen. Ook AWS, Microsoft, Google en Oracle bieden elk een sovereign cloud-pakket. De precieze beloftes verschillen bij deze partijen, maar grosso modo draaien ze om controle over data residency en hoogwaardige encrypties. Als Amerikaanse bedrijven blijven ze onherroepelijk gebonden aan regelgeving uit de VS. Hierdoor moeten zij in theorie klantdata afstaan aan de Amerikaanse overheid als dit van ze gevraagd worden, of de klant nu van eigen bodem is of niet.
Van marketingterm naar solide fundament
In de praktijk is dit opvragen van data niet zomaar gehonoreerd, zo lijkt het. Immers zijn er constructies zoals Bring Your Own Key (BYOK) en contractuele stipulaties dat elke Amerikaanse eis tot dataverzameling wordt geweigerd of in de rechtbank weerstaan. Michels, die zijn Sovereign Cloud for Europe-onderzoek uitvoerde in opdracht van Broadcom, trekt deze constructie in twijfel. Zo mogen Amerikaanse techbedrijven helemaal niet aan hun Europese klanten vertellen of zij moesten meewerken met de inlichtingendiensten uit de VS. Daarnaast vertrekt er veelal metadata via de zeekabels in de Atlantische Oceaan naar Amerika.
Het probleem: dit wil nog niet zeggen dat de soevereine aard van deze clouddiensten echt onder druk staat. Er is namelijk helemaal geen precieze definitie. Michels oppert voor een Sovereign Cloud Code of Conduct, waarbinnen duidelijke juridische standaarden bepalen wat wel en wat niet als soeverein telt. De onderzoeker erkent dat dit een lastig proces behelst, maar de moeite waard zal zijn om een juridische basis voor een sovereign cloud te creëren.
Waarom nu?
Je kunt je afvragen wat precies het probleem is. Als je als organisatie ervan overtuigd bent dat je data veilig is in een sovereign cloud, moet het niet uitmaken wie die belofte maakt. Michels onderscheidt dan ook de betekenis van de term voor klanten, Europese beleidsmakers en cloudproviders. Voor de eerste groep draait soevereiniteit om controle over de eigen data, dat tevens toegangsbeheer, transparantie en een minder grote vendor lock-in omvat, aldus de onderzoeker. Beleidsmakers willen eigenlijk een ander probleem oplossen: de gigantische afhankelijkheid van Amerikaanse techbedrijven. Dit contrasteert wel met de wens vanuit klanten om de beste software te kiezen, of dat nu gemaakt is in de VS, Peru of Frankrijk. Voor cloudproviders biedt soevereiniteit simpelweg een mogelijkheid om zich van elkaar te differentiëren – wat met name voor Europese cloudspelers wenselijk is.
Maar biedt een nieuw raamwerk dan wel de oplossing? En is de grotere beweging richting méér soevereiniteit niet al positief, ervan uitgaande dat dit een trend voor op de lange termijn blijft? De geciteerde 260 miljard dollar aan voorspelde omzet uit sovereign clouds in 2027, vooral gevoed door Europa, laat al een vraag zien die blijkbaar geen extra regelgeving vereist ter geruststelling. Momenteel is er weliswaar sprake van juridisch drijfzand, maar de relevantie daarvan is er voor klanten alleen als die onzekerheid ooit tot een gedwongen (en prijzig) vertrek bij een hyperscaler leidt.
Een duidelijke keuze
Met de opkomst van AI bestaat er al wereldwijd kritiek op de restrictieve houding van de Europese Unie. De klachten komen van alle kanten. Amerikaanse bedrijven klagen dat ze hun diensten niet day-and-date kunnen uitrollen binnen Europa zonder allerlei aanpassingen om privacytechnisch sterk in de schoenen te staan (denk aan Meta AI en Google Gemini – voorheen Bard). Europese eindgebruikers en AI-bedrijven zijn ontevreden over die vertraagde toegang en moeten zelf aan allerlei compliance-eisen voldoen voordat ze hun eigen oplossing op de markt brengen. Dit alles om te garanderen dat AI op onze normen en waarden opereert. Het is vooralsnog onzeker of deze principiële houding Europa schaadt of het iets oplevert. Maar als er één ding wél duidelijk is, is het dat extra wetten tot extra weerstand zullen leiden vanuit de industrie.
Los van de duidelijkheid die door Michels wordt geopperd, moet er vooral een filosofie worden gekozen. Draait het beleid om het verschuiven van een spectrum, ofwel de beweging van onoverzichtelijk cloudgebruik naar controle en transparantie? Of is het belangrijker om een keiharde ‘nee’ te verkopen aan het delen van gevoelige Europese data? En is die ‘nee’ enkel vanuit kritieke sectoren en de overheid of willen we als Europeanen geleidelijk autonoom worden, met eigen clouddiensten?
Die vragen kunnen wij niet namens het gehele continent beantwoorden. Maar wat de enorme vraag naar soevereiniteit laat zien, is dat organisaties voorsorteren op de veiligste, doch werkbare optie. Momenteel rust dat op het vertrouwen in de beloftes van Amerikaanse hyperscalers. Het kan absoluut geen kwaad om eisen te stellen aan die beloftes.
Via-via
Voor wie zich afvroeg waarom Broadcom geïnteresseerd is in het antwoord: het eigen VMware heeft hier een vinger in de pap. Dit wordt het duidelijkst verwoord door Martin Hosken, Field CTO, Cloud Partners bij Broadcom. “De aanzet tot sovereign cloud biedt de perfecte storm voor Cloud Service Providers (CSP’s) in Europa om te gedijen.” Lees: CSP’s zoals VMware by Broadcom, die met de eigen sovereign cloud-diensten preciezere beloftes doen. Zo garanderen ze een gemakkelijke overstap naar een andere clouddienst, die in een mogelijke toekomst wel voor kritieke doeleinden wordt toegestaan binnen Europa.
Hosken vervolgt: “[CSP’s] moeten zichzelf positioneren als betrouwbare partners voor die organisaties die op hun weg naar de sovereign cloud zijn en hen helpen om de uitdagingen van deze overstap het hoofd te bieden. Dit houdt in dat ze worden geholpen bij het beoordelen en classificeren van hun gegevens op basis van gevoeligheid en compliancebehoeften, met name voor persoonlijke gegevens onder GDPR. CSP’s kunnen klanten ook helpen om door de complexe mix van clouddiensten te navigeren, één besturingsmodel mogelijk te maken en de interoperabiliteit tussen providers te maximaliseren om geïsoleerde workloads te voorkomen.”
Dit klinkt als de zinnigste aanpak voor kritieke sectoren, al hoeft dat niet per se via VMware by Broadcom natuurlijk. Het belang van dit voorbeeld is dat het een proactieve houding weergeeft vanuit eindgebruikers, waarin cloudproviders organisaties niet in een lock-in houden. Wie dit vergeet te doen, kan bij een minder fortuinlijke Sovereign Cloud Code of Conduct opeens in juridisch gevaar komen.
Lees ook: European Sovereign Cloud: hoe gaat AWS de strijd aan met de concurrentie?