Digitale soevereiniteit in de praktijk: zo kies je strategisch voor Europese cloudproviders

Gezien de onrust op het wereldtoneel, is het van belang om kritisch te kijken naar de afhankelijkheid van Amerikaanse bedrijven. Het is mogelijk dat in de VS wordt besloten dat Europese landen, waaronder Nederland of specifieke organisaties geen diensten van Amerikaanse bedrijven mogen afnemen. Dit hebben we afgelopen jaren al in de praktijk zien gebeuren. Denk aan de Amsterdam Trade Bank, waarbij de curatoren tijdens de afhandeling van het faillissement geen toegang kregen tot data die de bank bij Microsoft had opgeslagen. Of de hoofdaanklager van het Internationaal Strafhof, welke toegang tot zijn e-mail werd ontzegd vanuit Amerika na sancties.

Het gaat nu om publiekelijk prominente organisaties. De risico’s voor het Nederlandse bedrijfsleven zijn niet zo groot als bij hen, maar dat neemt niet weg dat het verstandig is kritisch te kijken naar de eigen digitale omgeving en te evalueren wat de behoeften en eisen aan de cloudinfrastructuur zijn. Er zijn Europese alternatieven beschikbaar, die snel groeien en ontwikkelen.

De General Data Protection Regulation (GDPR, ook wel bekend als de AVG) is een Europese wet die bescherming van persoonsgegevens regelt. Eén van de eisen die deze wet stelt aan data van Europese bedrijven, is dat persoonsgegevens niet buiten de EU mogen worden opgeslagen. Microsoft biedt hier oplossingen voor: Er staan veertien Azure-datacenters in Europa. Bij het inrichten van Azure kan, bij het overgrote deel van de diensten, aangegeven worden waar de dienst moet draaien. Bij het aanmaken van een database kan bijvoorbeeld aangegeven worden dat deze in West-Europa moet staan. Hierbij geeft Microsoft de garantie  dat de data uit deze database binnen die regio blijft.

In 2018 is in de Verenigde Staten de CLOUD Act aangenomen Deze wetgeving stelt dat als de Amerikaanse overheid hierom vraagt, Amerikaanse bedrijven data van hun klanten moet aanleveren bij de overheid. Ook als deze data niet binnen de VS staat opgeslagen. Dit staat in potentieel conflict met GDPR-compliance, aangezien dergelijke data-overdrachten mogelijk niet voldoen aan de GDPR-vereisten voor internationalegegevensoverdracht. Er zijn dus risico’s aan het onderbrengen van Europese persoonsgegevens bij Amerikaanse partijen. Ook binnen Europa.

Binnen Europa is lange tijd relatief weinig actie geweest bij de ontwikkeling van clouddiensten, zoals Amazon, Google en Microsoft ze aanbieden. Bedrijven als TransIP boden servers (Infrastructure-as-a-Service) aan, maar het gemak en de integratiemogelijkheden die de grote drie aanbieden (Platform-as-a-Service), bleef uit.

Afgelopen jaren hebben partijen als Stack, Scaleway, NextCloud en OVHCloud hard gewerkt om een vergelijkbare vorm van dienstverlening aan te kunnen bieden. Neem bijvoorbeeld Scaleway. Zij bieden naast het standaard IaaS-aanbod inmiddels ook PaaS opslag, AI, netwerkoplossingen, dataopslag, beheer van gevoelige informatie (secret management) en webhosting aan. Deze verschillende modules zijn met elkaar te integreren door middel van een toegangscontrolesysteem dat enigszins lijkt op de Microsoft Entra ID. Ook zijn deze services, net als de diensten van Microsoft, uit te rollen met Infrastructure-as-Code, waarbij een engineer de mogelijkheid heeft de cloudomgeving uit te schrijven in code. Met deze dienstverlening lijken de mogelijkheden van Scaleway al behoorlijk op die van Microsoft. Je data blijft gegarandeerd in Europa, zonder risico op deling met de VS of verlies van toegang.

Deze leveranciers zullen, hoe meer partijen gebruik van hun diensten, meer kapitaal beschikbaar krijgen om hun diensten nog verder te verbeteren. Zo is de kans groot dat zij op termijn diensten van vergelijkbaar niveau als de grote Amerikaanse partijen kunnen leveren. 

Je kunt je cloudogeving zo inrichten dat je die in zijn geheel kunt verplaatsen naar een andere provider. Hierbij is een combinatie Infrastructure-as-Code en het gebruik van containers cruciaal. De Platform-as-a-Service diensten die cloudproviders aanbieden zijn altijd specifiek voor de leverancier, en niet zomaar één op één over te zetten. Neem als voorbeeld bestandsopslag: Microsoft biedt Azure Storage, AWS biedt S3. Beide hebben hun eigen SDK’s en API’s. Overstappen van de een naar de ander vergt ook aanpassingen in de code van de implementerende applicaties, naast structurele aanpassingen in de infrastructuur. Door gebruik te maken van Kubernetes en opensource container-ready oplossingen kan het gehele Kubernetes-cluster waarin de applicaties draaien snel van de ene naar de andere cloud toe worden gezet, met beperkte functionele wijzigingen in de infrastructuur en de applicaties. In de praktijk zullen altijd kleine wijzigingen moeten worden gedaan voor eventuele cloudspecifieke toepassingen, maar door de juiste inspanning tijdens de ontwerpfase van de omgeving kan de impact hiervan al geminimaliseerd worden.

Microsoft begrijpt dat Europa zich zorgen maakt over deze kwesties. Hierom hebben zij ook een set toezeggingen uitgesproken. Zij bieden drie modellen aan: Sovereign Public, Sovereign Private en National Partner Clouds. Sovereign Public is feitelijk Azure zoals we dit kennen en geldt voor alle bestaande Azure-infrastructuur in Europa. Er zijn een aantal extra maatregelen voor deze oplossingen getroffen. Zo worden Amerikaanse verzoeken naar Europese data nu beoordeeld en gelogd door een team Europese werknemers. Deze verzoeken kunnen door de data-eigenaar worden ingezien. Ook zijn er meer opties voor (eigen) versleuteling van data beschikbaar gemaakt. Verder zegt Microsoft toe dat als de Amerikaanse overheid ze dwingt de toegang van Europa te ontzeggen, dit op alle mogelijke manieren zal aanvechten.

Sovereign Private Cloud betreft een complexere inrichting, waarbij lokale versies van Azure en Microsoft 365 gedraaid kunnen worden. Deze hoeven enkel periodiek te synchroniseren met Microsoft en zijn verder volledig onder eigen beheer. De beschikbare diensten in dit model zijn wel (veel) beperkter dan in de Azure cloud.

De National Partner Cloud-oplossingen zijn samenwerkingen met (tot nu toe) Duitse en Franse bedrijven. Samen bieden zij volledige Azure-omgevingen aan, volledig onder verantwoordelijkheid van Europese bedrijven en gericht op overheden. Zo is er geen risico in de vorm van de CLOUD Act, maar wel het dienstenniveau van Azure.

Er gebeurt een hoop in de wereld. De afhankelijkheid van de Verenigde Staten is een belangrijk aandachtspunt van de huidige tijd. Maar er is niet direct reden tot paniek. Microsoft ziet de risico’s en doet er zo veel als kan aan om ervoor te zorgen dat deze geminimaliseerd worden. Het is echter wel belangrijk om voor jezelf de risico’s, behoeften en eisen regelmatig te evalueren. Heb je gevoelige data in handen? Wil je geen risico’s lopen qua beschikbaarheid en toegang? Dan is overstappen naar of oriënteren op Europese alternatieven verstandig. De beperktere volwassenheid van de producten vereisen echter wel meer onderhoudswerk. Bij een cloudagnostische aanpak is ook meer onderhoud vereist. Je kunt er ook voor kiezen om een failover-systeem onder te brengen bij een Europese provider. Migratie naar Europese alternatieven hoeft niet lastig te zijn. Garansys helpt door een analyse van de huidige systemen te maken, te evalueren hoe een migratie naar een Europese provider ingericht kan worden. En we voeren deze ook voor je uit.

Wil je meer weten over digitale soevereiniteit? Download dan ons whitepaper met de laatste weetjes, tips & tricks.