Cisco is niet van plan om zelf een soevereine cloud te bouwen. Niet omdat het niet wil, maar omdat het dat alleen simpelweg niet kan. En Amerikaanse bedrijven die het tegendeel beweren, houden er een eigen definitie van soeverein op na.
Europese data onder Europese controle: datasoevereiniteit staat overal hoog op de agenda. De EU wil niet dat gevoelige gegevens van burgers of bedrijven zomaar in handen van buitenlandse mogendheden vallen. Ook landen en bedrijven zelf zien er wel heil in om hun gegevens binnen bepaalde geografische grenzen te houden. Vanuit die wens is het concept van de soevereine cloud geboren.
’s Werelds grootste IT- en cloudspelers bieden in de praktijk de infrastructuur en de oplossingen waarop het gros van de Europese data woont. Het zou logisch zijn moesten zij een soevereine cloud opzetten. Maar dat kan niet.
Nope
Dat vertelt Gordon Thompson, VP Specialist Sales bij Cisco EMEA op de Cisco Live-conferentie in Amsterdam. “Wij willen niet beloven wat we niet kunnen waarmaken”, zegt Thompson. Er zijn verschillende niveaus van datasoevereiniteit, maar een echte soevereine cloud kunnen we niet aanbieden.”
Geen enkel Amerikaans bedrijf kan dat volgens Thompson. Logisch: een soevereine cloud impliceert dat data in geen geval onderhevig is van buitenlandse bemoeienis. Dat kan een bedrijf met hoofdkwartier in de VS nooit garanderen. “We zijn onderhevig aan de Patriot Act”, verduidelijkt hij. “Als de Amerikaanse overheid dat vraagt, moeten we toegang geven tot data op onze systemen.” Dat geldt dus ook wanneer die data geografisch afgeschermd staan in de EU.
Geen leugens
Liegen Microsoft en VMware dan wanneer ze soevereine clouds aanbieden? Niet echt: de Amerikaanse ondernemingen gaan die infrastructuur immers niet zelf aanbieden. Thompson: “Echte soevereiniteit kan alleen als je samenwerkt met een lokale partij. Die moet eigenaar zijn van een soeverein datacenter en het ook beheren.” Een Belgisch bedrijf is niet onderhevig aan de Patriot Act. Wanneer een organisatie uit de VS zijn diensten in beheer geeft van zo’n partner, en zich verder niet moeit met de infrastructuur, dan staan lokale gegevens wel veilig.
lees ook
Microsoft lanceert soevereine clouddienst in samenwerking met Proximus
Dat zien we in de praktijk ook gebeuren. VMware gaf bijvoorbeeld al aan dat het tal van lokale partners nodig heeft om Tanzu en Aria in een soevereine cloud te stoppen. Microsoft lanceerde vorig jaar Cloud for Sovereignty, maar deed dat ook niet zelf. In ons land werkt Microsoft samen met Proximus. Belgische data op Belgische infrastructuur, daar is de Patriot Act niet tegen opgewassen.
Data residency
Dat betekent niet dat Amerikaanse infrastructuur- en cloudspecialisten niets kunnen betekenen op het vlak van datasoevereiniteit. Hyperscalers en partijen als Cisco kunnen wel wat garanties bieden, bijvoorbeeld door strikte controlemechanismen te bieden en zich in overeenstemming te brengen met normen zoals ISO 27001.
Datalokalisering kan ook al een stukje helpen. Thompson: “Cloudproviders kunnen data in een bepaalde regio houden en daar wel garanties rond bieden.” In zo’n geval vloeien data niet naar de VS, waar de NSA ze haast per definitie besnuffeld. “Zoiets is echter data-lokalisatie”, vindt Thompson, “En dat is niet hetzelfde als data-soevereiniteit.”
Data residency heet dat dan in het Engels. Ietwat ironisch zien we op de beursvloer van Cisco Live een standje waarin Cisco zelf datasoevereiniteit aanbiedt, maar in realiteit vooral focust op data residency. De soevereiniteit is wel aanwezig op de stand, maar spitst zich specifiek toe op clouddiensten in de VS zelf. Er zijn wel andere manieren om heel veilige clouddiensten aan te bieden binnen een Europese context, horen we op de stand, en Thompson bevestigt.
Alternatieven
“Een cloudaanbod op maat van geclassificeerde data kan ook”, vult hij aan. “In dat geval gaat het er vooral over dat enkel personeel moet de juiste beveiligingskwalificaties toegang heeft tot data.” Tot slot kan een Amerikaans bedrijf ook zogenaamde air-gapped-systemen bouwen. Dat zijn on-premises systemen die zijn afgesloten van het bredere internet. Ze worden lokaal beheerd maar onderhouden door een partner. Die partij heeft zelf niet zomaar toegang tot de data. “Met Cisco bieden we dat wel aan”, aldus Thompson.
Data-soevereiniteit neemt dus vele vormen aan, maar een echte soevereine cloud in de pure definitie van het woord, kan niet gebouwd worden door een Amerikaans bedrijf. De vraag is maar hoe erg dat is. Voor de meeste organisaties volstaat data residency. Het spook van de FBI die gewapend met de Patriot Act achter data aangaat, hoeven kmo’s en enterprises doorgaans niet van wakker te liggen.
Goed voor EU-bedrijven
Thompson en Cisco willen echter terecht transparant in zijn, zodat meteen ook duidelijk is wat ze wel kunnen aanbieden. Daar voegen we nog aan toe dat de focus op de VS ligt omdat Cisco in San Jose in Californië gevestigd is, maar het soevereiniteitsprobleem is niet exclusief voor de VS. Een Chinese partij loopt minstens tegen dezelfde beperkingen aan.
Die realiteit maakt datasoevereiniteit binnen de EU ook economisch interessant. Groote gevestigde multinationals worden immers verplicht om met lokale partners samen te werken, zodat die kunnen groeien. Dat komt bovendien niet omdat de EU zich (openlijk) protectionistisch opstelt. Het probleem voor Amerikaanse bedrijven is geen verbod vanuit Europa om een soevereine cloud te bouwen, maar een onoverwinnelijke horde in de vorm van de Patriot Act in de VS.