20 april 2023

Kunt u het risico lopen om cloudsoevereiniteit te negeren?

Doordat organisaties steeds vaker multicloudstrategieën toepassen, moet er meer aandacht zijn voor security, met name wat betreft gevoelige gegevens, gegevensclassificatie, privacy en soevereine clouds. Soevereine clouds worden meestal via een externe soevereine cloudprovider aangeboden en beheerd. Ze worden vaak gebruikt voor gevoelige gegevens en applicaties. Gevoelige gegevens kunnen meer omvatten dan u wellicht in eerste instantie denkt en ze kunnen variëren afhankelijk van de context en sector waarop een organisatie zich richt. In de gezondheidszorg zijn medische dossiers bijvoorbeeld gevoelige gegevens, terwijl het in de financiële sector kan gaan om financiële gegevens en kredietscores en bij de overheid bijvoorbeeld om geheime informatie met betrekking tot de nationale veiligheid.

Kunt u het risico lopen om cloudsoevereiniteit te negeren? image

In mijn optiek zouden meer organisaties open moeten staan voor het gebruik van soevereine clouds. Er zijn verschillende aanleidingen waarom dat nu nog niet het geval is:

  1. Bewustwording – er is behoefte aan meer bewustwording of begrip van het concept van soevereine cloud en de voordelen ervan.
  2. Vergelijkingen – er heerst bezorgdheid over de beschikbaarheid, prestaties en kosten van soevereine cloudoplossingen in vergelijking met public cloud ‘hyperscale’ opties.
  3. Juridische barrières en belemmeringen op het gebied van regelgeving – datasoevereiniteit en compliance-eisen kunnen ertoe leiden dat bedrijven soevereine clouds niet adopteren.
  4. Status quo – Men blijft blijven bij de cloud providers waar men al bekend mee is en waarin reeds flink geïnvesteerd is, in plaats van nieuwe opties te onderzoeken.

Verschillende risico’s van public clouds

Soevereine clouds vermijden en public clouds gebruiken kan echter verschillende risico’s met zich meebrengen voor de security en privacy van een bedrijf. Ten eerste zijn public clouds meestal eigendom van en worden ze beheerd door derden, die wellicht andere beveiligingscontroles en -protocollen hanteren dan u zelf doet. Dit betekent dat uw gegevens kwetsbaar kunnen zijn voor ongeautoriseerde toegang, diefstal of misbruik door hackers, insiders of andere kwaadwillenden. President Biden wees hier recent op, namelijk dat er regelgeving moet komen voor de security practices in de public cloud, die nu een aanzienlijk risico vormt voor gevoelige gegevens.

Public clouds zijn ook vaak gebaseerd op gedeelde infrastructuur; de gegevens en resources van meerdere bedrijven worden opgeslagen en verwerkt op dezelfde servers en netwerken. Dit vergroot het risico op datalekken of zogenaamde kruisbesmetting, waarbij gevoelige gegevens per ongeluk of opzettelijk kunnen worden ingezien of blootgesteld aan andere gebruikers op hetzelfde platform. Gedeelde platformen hebben een functionele prijs, met name op het gebied van beveiliging en prestaties. Afhankelijk van de onderliggende hypervisor die gebruikt wordt in de public cloud, kan er sprake zijn van resource contention en verminderde prestaties. Public clouds beperken vaak de compute-, netwerk- en opslag-resources die klanten kunnen gebruiken om dit te omzeilen, wat resulteert in hoge kosten ten opzichte van de resource prestaties en veel klanten die workloads uit hun cloud halen. Recente voorbeelden zijn basecamp en 37Signals.

Daarnaast worden public clouds onderworpen aan wet- en regelgeving die mogelijk niet overeenkomt met de security- en compliance-behoeften van een bedrijf. Public cloud providers kunnen bijvoorbeeld onderworpen zijn aan buitenlandse wetten zoals de Amerikaanse Cloud Act of overheidstoezicht zoals FISA, waardoor de vertrouwelijkheid en integriteit van de geheime gegevens in het gedrang kunnen komen. In Europa zorgt de Amerikaanse Cloud Act voor bezorgdheid over de privacy en gegevensbescherming van Europese burgers, omdat deze er mogelijk voor zorgt dat Amerikaanse autoriteiten toegang krijgen tot hun persoonsgegevens zonder voldoende waarborgen of toezicht. Kortom, het is in strijd met de Algemene Verordening Gegevensbescherming (AVG) van de EU, die vereist dat bedrijven uitdrukkelijke toestemming van personen krijgen om hun persoonsgegevens te verwerken en dat ze ervoor zorgen dat er adequate gegevensbescherming is. Data is er in vele vormen, van metadata tot telemetriedata, van boekhoudkundige data tot support data. U moet dus met veel zaken rekening houden.

Exposure is al vaak voorbijgekomen in het nieuws. Een goed voorbeeld is de Data Protection Impact Assessment (DPIA) van 2022 van het Nederlandse ministerie, waarin staat: “hoog risico in verband met onversleutelde streaming en opgeslagen speciale categorieën gegevens” en: “Er is een hoog gegevensbeschermingsrisico door de mogelijke toegang van Amerikaanse rechtshandhavingsinstanties en geheime diensten tot zeer gevoelige en bijzondere categorieën persoonsgegevens. Dit risico is er, ook al worden de Teams, OneDrive en SharePoint Content Data al uitsluitend in de EU verwerkt en opgeslagen, omdat toegang tot deze gegevens kan worden bevolen via Amerikaanse wetgeving zoals de Cloud Act.”

Bedrijven moeten controle hebben over het beheer en de zichtbaarheid van hun gegevens wanneer ze worden opgeslagen en verwerkt in de omgeving van een derde partij. Public cloud moet meer standaardisatie in public (multi)cloud hebben om ervoor te zorgen dat bedrijven beveiligingsbeleid en -procedures kunnen controleren, monitoren en handhaven. Public clouds zijn sterk gedistribueerd en complex, waardoor het haast onmogelijk is om een compleet overzicht te krijgen. Dit wordt verergerd door een model van gedeelde verantwoordelijkheid voor beveiliging, waarbij klanten verantwoordelijk zijn voor het gebruik van public cloud features om hun eigen gegevens te beveiligen. Public clouds zijn erg goed in snel schalen, waardoor het een uitdaging kan zijn om beveiligingsbeleid over meerdere resources bij te houden.

Ten slotte hebben alle public clouds verschillende mogelijkheden en toolsets, wat zorgt voor uitdagingen met betrekking tot de beschikbare beveiligingsniveaus en met het handhaven van de beveiliging. Gegevens in een public cloud zetten kan dus aanzienlijke risico’s met zich meebrengen, en bedrijven moeten deze zorgvuldig evalueren en beperken voordat ze besluiten dergelijke diensten te gebruiken.

Is de soevereine cloud dan ideaal?

De bezorgdheid van organisaties over soevereine clouds gaat over beschikbaarheid, prestaties en kosten in vergelijking met de traditionele public cloud. Maar in hoeverre zijn deze zorgen terecht?

Ten eerste de beschikbaarheid. Soevereine cloudoplossingen kunnen een ander bereik en en een andere beschikbaarheid hebben dan het traditionele public cloudaanbod; bedrijven denken wellicht dat dit hen beperkt om geografisch verspreide workloads en gebruikers te ondersteunen. Soevereiniteit is geen wereldwijde aangelegenheid, maar een nationale of een gedeelde regio in bijvoorbeeld de EU. Soevereine cloudoplossingen zorgen voor een hoge beschikbaarheid binnen bepaalde landsgrenzen en datacenters binnen de soevereine regio; als u over grenzen heen gaat zijn er verschillende rechtsgebieden en wetten voor alle aspecten van data en cloud. Waarborgen dat gegevens en diensten beschikbaar zijn is essentieel voor bedrijfsactiviteiten die soevereine cloud providers beheren, zoals bedrijfsactiviteiten van nationaal belang.

Daarnaast is het belangrijk om te kijken naar prestaties. Soevereine cloudoplossingen hebben, net als alle cloudoplossingen, andere prestatie en schaalbaarheidsniveaus dan het public cloudaanbod. Bedrijven kunnen denken dat dit hen verhindert om grote volumes resource-intensieve workloads te verwerken. Soevereine clouds zijn ontworpen en gebouwd om te voldoen aan de behoeften van soevereine klanten; veel soevereine clouds werken op zeer hoge beschikbaarheidsniveaus, die de mogelijkheden van het public aanbod overtreffen. Bedrijfsactiviteiten van nationaal belang en specifieke verticals hebben unieke applicatievereisten.

Een ander aspect om over na te denken is de kosten. Soevereine cloudoplossingen kunnen duurder zijn dan het traditionele cloudaanbod vanwege de hogere operationele kosten, lagere schaalvoordelen en de noodzaak om gespecialiseerde infrastructuur en talent te behouden. Kosten zijn een essentiële cloudcomponent, en partners zoals de VMware Cloud Providers werken met een puur verbruiksmodel.

Soevereine clouds houden zich bezig met beveiliging en compliance; soevereine cloud partners investeren aanzienlijk in de verbeterde doorlichting van personeel, infrastructuur en systemen, afgestemd op de gegevensclassificatie en de bedrijfstak, die u niet zult vinden in public clouds.

Regionale cloud providers hebben niet de schaalvoordelen die public cloud providers hebben, maar wat betreft volume hebben veel soevereine cloud partners zeer grote cloud estates. OVH Cloud in Frankrijk bouwt bijvoorbeeld zijn eigen hardware en draait 100.000 workloads in zijn omgevingen.

Het laatste punt om in overweging te nemen is innovatie. Soevereine cloudoplossingen kunnen een ander niveau van innovatie en feature development hebben dan het traditionele cloudaanbod, waardoor ze minder in staat zijn om veranderende bedrijfsbehoeften en technologietrends bij te benen.

U kunt op twee manieren naar innovatie kijken: dat wat out of the box is (SaaS en PaaS) en dat wat gebouwd moet worden met behulp van nieuwe infrastructuur en diensten. Een out-of-the-box-oplossing, zoals een geïndustrialiseerde cloud-oplossing, kan fijn zijn om snel van start te gaan. Toch is het mogelijk een aanzienlijke zorg voor compliance en beveiliging. Een oplossing op maat bouwen die aan uw behoeften voldoet, biedt de mogelijkheid om vanaf het begin af aan rekening te houden met compliance en beveiliging (wat een best practice zou moeten zijn). Nu compliance, regelgeving en governance van data privacy en geïndustrialiseerde data nog steeds in ontwikkeling zijn, is het beter om te innoveren en alle bedrijfsonderdelen erbij te betrekken om de juiste oplossing te bouwen.

Een soevereine cloud heeft een belangrijke plek binnen een multicloudstrategie. De vraag is, wilt u de risico’s aanvaarden die het vermijden ervan met zich meebrengt?

Door: Guy Bartram, sovereign cloud evangelist, VMware EMEA

Guy Batram is een van de sprekers op het VMware Soevereine Cloud event op 8 juni in Utrecht. Voor meer informatie en inschrijven kunt u contact opnemen met Daimy Govaerts via gdaimy@vmware.com.

Axians 12/11/2024 t/m 26/11/2024 BN+BW