8min Security

AWS heeft het nooit over sovereign cloud, maar levert het wel

Insight: Privacy, Governance en Compliance

AWS heeft het nooit over sovereign cloud, maar levert het wel

Amazon CSO Stephen Schmidt: “Sovereign cloud is vooral een marketingterm.”

AWS zag de trend richting soevereine clouds vanzelfsprekend ook aankomen. Het biedt naar eigen zeggen dan ook alle ruimte om datasoevereiniteit te garanderen. AWS gaat alleen niet mee in de naamgeving en de hype eromheen, aldus de Chief Security Officer van heel Amazon (inclusief AWS dus) in gesprek met ons tijdens AWS re:Inforce.

TIP: Als je wilt weten welke securityaankondigingen AWS deed tijdens re:Inforce, dan kun je die overzichtelijk in dit artikel vinden.

De laatste tijd is er behoorlijk veel te doen rondom het concept van sovereign cloud (regions). Recent was er nog een grote aankondiging van Oracle op dit punt, maar ook Microsoft en Google zijn druk in de weer met het opzetten van dit soort cloudomgevingen. Deze soevereine cloudomgevingen zijn gericht op het kunnen garanderen van data residency binnen een specifieke regio. In ons geval is dat de EU, waar de GDPR/AVG sinds 2018 van kracht is.

Het idee achter de ontwikkeling van soevereine clouds of cloudregio’s is dat data die binnen Europa moet blijven, daar ook gegarandeerd blijft. Het is een reactie op de ontwikkelingen rondom onder andere de CLOUD Act in de VS. Deze stelt dat ook in het buitenland opgeslagen data binnen omgevingen van Amerikaanse bedrijven in principe opvraagbaar en toegankelijk is voor de overheid daar.

Public cloud niet altijd een optie

Bovenstaande is voor organisaties binnen de EU die veel met gevoelige of persoonlijke data omgaan een belangrijke reden om op zijn minst voorzichtig te zijn met de public cloud. De grote aanbieders zijn immers allemaal Amerikaanse, met uitzondering van Alibaba, dat Chinees is. Die laatste partij brengt uiteraard weer allerlei andere bezwaren met zich mee, waar we hier verder niet op in zullen gaan.

Hoe het ook zij, voor een bepaalde groep organisaties, bijvoorbeeld in de publieke sector en de gezondheidszorg, is het belangrijk dat het 100 procent garantie heeft dat niemand van buiten Nederland/de EU toegang kan krijgen of eisen tot hun data. Tegelijkertijd kunnen ook dit soort organisaties profiteren van een gedistribueerde infrastructuur. Dat wil zeggen, ze kunnen voordeel halen uit het afschalen van de traditionele on-premises infrastructuur en de overstap naar een modernere omgeving.

Sterker nog, om bij de tijd te blijven, zullen ze deze overstap wellicht wel moeten maken, in ieder geval gedeeltelijk. Of het nu gaat om prestaties, beschikbaarheid, schaalbaarheid, beschikbaarheid van allerlei nuttige diensten en features, overzichtelijkheid van kosten en wellicht ook op termijn significant lagere kosten, er zijn voor die organisaties redenen genoeg om kritisch te kijken naar wat er on-premises staat en wat er richting de cloud kan. Dit is in principe de ontwikkeling richting hybride en multi-cloud. Hierbij combineer je private clouds (oftewel eigen datacenters) met public clouds.

Soevereine cloud maakt het wel een optie

Bepalen wat er wel en wat er niet richting de public cloud kan, doen alle organisaties op hun eigen manier. Voor de een zal latency een belangrijke rol spelen om een specifieke database on-premises te houden. Voor een ander zal compliance met geldende wet- en regelgeving een reden zijn. Voor weer een andere kan het er simpelweg mee te maken hebben dat de private cloud hardware nog niet is afgeschreven en er dus nog even gewacht moet worden. Zo zijn er legio overwegingen te bedenken in een dergelijk traject.

Het idee van de soevereine cloud speelt specifiek in op organisaties die niet naar de cloud mogen of kunnen vanwege vraagstukken rondom data residency. Oftewel, organisaties die strenge richtlijnen en eisen hebben met betrekking tot waar data staat en wie erbij kan. Dat soort organisaties moet nu verstoken blijven van de meerwaarde die de public cloud ontegenzeggelijk kan bieden. Binnen een soevereine cloud kunnen de grote aanbieders alle diensten, functies en producten aanbieden, maar dan binnen de kaders van de EU. Op deze manier kunnen in principe zelfs de sectoren met zeer strenge wetgeving gebruik gaan maken van de public cloud.

Meerdere benaderingen voor soevereine clouds

Zoals hierboven al aangegeven, zijn meerdere public cloud aanbieders druk in de weer met sovereign clouds. Het is interessant om te zien dat er meerdere manieren zijn om soevereine clouds aan te kunnen bieden. Microsoft en Google lijken het vooral te zoeken in de samenwerking met lokale, Europese partijen. Het gaat dan om samenwerkingsverbanden met bestaande partijen in specifieke landen. In Frankrijk hebben Orange en Capgemini samen de cloudaanbieder Bleu opgericht bijvoorbeeld. Dit is in principe een Azure-cloud, maar dan niet in eigendom van Microsoft. Google Cloud doet iets soortgelijks met T-Systems in Duitsland.

Oracle heeft besloten dat het liever alles zelf in de hand houdt en biedt zijn Sovereign Cloud Regions zelf aan. Deze zijn naar eigen zeggen op logisch en fysiek vlak volledig gescheiden van de bestaande regio’s. Ze worden ook uitsluitend bediend en onderhouden door ingezetenen van de EU.

TIP: We hebben recent een aflevering van onze wekelijkse podcastserie Techzine Talks opgenomen over de soevereine cloud. Deze kun je hieronder beluisteren, of op een van de bekende platformen.

Hoe zit het met de soevereine cloud van AWS?

Op het eerste gezicht lijkt AWS zich niet zo enorm druk te maken over de trend rondom soevereine clouds. Dat wil zeggen, als je ‘aws sovereign cloud’ invoert in Google krijg je niet bijster veel relevante zoekresultaten. Een van de weinige concrete koppelingen tussen AWS en sovereine clouds is de aankondiging en inmiddels beschikbaarheid van Monaco Cloud, een op AWS gebaseerde public cloud voor en door Monegasken. We hebben AWS er verder zelf ook niet over gehoord de laatste tijd, ook niet tijdens re:Inforce.

Betekent het ogenschijnlijke gebrek aan focus op soevereine clouds dat AWS dit geen relevante ontwikkeling vindt? Die vraag stellen we aan Stephen Schmidt, de Chief Security Officer van heel Amazon (inclusief AWS) en hiervoor de CISO van AWS. We spraken hem tijdens AWS re:Inforce, het event van AWS specifiek gericht op security.

Schmidt begint zijn antwoord door te stellen dat hij de term sovereign cloud vooral ziet als een modeverschijnsel: “Sovereign cloud is vooral een marketingterm.” Om vervolgens met een wedervraag te komen: “Waarom denk je dat wij al heel vroeg een datacenter hebben geopend in Dublin?” Dit datacenter bestaat al sinds 2007, oftewel een jaar nadat Amazon S3 en EC2 beschikbaar kwamen. Hiermee impliceert Schmidt dat de wet- en regelgeving van Europa toen al een rol speelden in de strategie van AWS. “We zagen de veranderingen [op het gebied van dataprivacy, red.] toen al aankomen”, geeft hij aan. Dat men dat bij AWS niet met de term soevereine cloud aanduidt, doet daar verder niets aan af.

“We hebben het anders opgelost”

Schmidt geeft overigens ook wel aan dat AWS het soevereiniteitsvraagstuk anders oplost dan de andere partijen. “Wij hebben de mogelijkheid om harde scheidingen te maken in de architectuur ingebouwd”, stelt hij. Hij verwijst hierbij specifiek naar de Nitro hypervisor die AWS gebruikt in de cloudomgeving. Die is zo ontwikkeld dat geen enkele medewerker van AWS daarbij kan van buitenaf. Dus ook al zou de Amerikaanse overheid data opeisen, dan kan AWS daar simpelweg niet bij. “Wij kunnen zaken radicaal van elkaar scheiden”, vat Schmidt het samen.

Op zich is het wat ons betreft niet vreemd dat een partij zoals AWS het anders oplost dan andere spelers. Het is eigenlijk ook een fundamenteel ander soort organisatie. Waar AWS het van IaaS en PaaS moet hebben, hebben partijen zoals Google, Microsoft en ook Oracle daarnaast ook nog een significant SaaS-portfolio draaien in hun cloudomgevingen. Een SaaS-applicatie is een stuk lastiger dicht te timmeren op de manier waarop AWS dat met hun IaaS-omgeving doet, schatten we in. Toch is dat heel erg belangrijk, omdat SaaS voor die andere partijen een belangrijke ingang is bij klanten. Vandaar ook dat die partijen al langere tijd bezig zijn om die platformen ook GDPR-compliant te ontsluiten. We hebben het voor dit artikel niet helemaal uitgezocht, maar van Google en Oracle weten we dat men rondom het SaaS-aanbod het nodige heeft ontwikkeld en gedaan om respectievelijk Workspace en de Fusion Cloud Apps GDPR-compliant aan te kunnen bieden.

Daarnaast werkt ook AWS samen met partners als het gaat om data residency. Ook al is het dan technisch niet eens mogelijk om bij klantdata te komen, vanuit de GDPR is er soms ook meer nodig om garanties te kunnen bieden rondom dataprivacy. Vandaar dat AWS een samenwerking heeft met T-Systems die Data Protection as a Managed Service heet. Deze dienst bestaat uit vier onderdelen.

  • T-Systems zorgt ervoor dat klanten de juiste tools inzetten om de juiste van encryptie te kunnen bewerkstelligen. Dit is onder andere afhankelijk van zaken zoals dataclassificatie per klant.
  • T-Systems zorgt ervoor dat de data van klanten en de toegang tot die data volledig bepaald kan worden door de klanten.
  • Support is gebaseerd in de European Economic Area. Dit is de EU plus IJsland, Noorwegen en Liechtenstein. Hiermee komt er als het goed is nooit iemand bij de data die geen ingezetene is van dit gebied.
  • Een landing zone die wordt opgezet en beheerd door T-Systems volgens de AWS Security best practices.

Al met al is het duidelijk dat AWS weliswaar niet op de marketingtrein is gesprongen rondom de sovereign cloud zoals andere partijen dit wel hebben gedaan, maar dat dit niet betekent dat ze dit niet kunnen bieden. Sterker nog, als we Schmidt moeten geloven is dit al vanaf 2007 onderdeel geweest van de visie bij AWS. Samen met partners kan ook AWS dus een public cloud aanbieden die ook geschikt is voor organisaties die zich aan strenge wet- en regelgeving moeten houden.