BLOG – Door geopolitieke spanningen stellen we vraagtekens bij onze afhankelijkheid van Amerikaanse cloudproviders. Blijven die wel altijd beschikbaar? En kijkt de Amerikaanse overheid niet mee bij mijn data? Soevereiniteit wordt door deze risico’s belangrijker. Maar hoe realiseer je dat in een cloudomgeving?
Technologie komt al decennia in grote mate vanuit de VS. Zo ook veel clouddiensten: volgens Statista hebben AWS, Azure en Google Cloud samen twee derde van de markt in handen. Lange tijd was dat ook geen probleem. Ze hebben veel mogelijkheden, bieden handige tooling voor bijvoorbeeld development en worden als betrouwbaar gezien.
Maar de geopolitieke situatie is veranderd. De VS worden niet langer als stabiele partner gezien. Opeens is het reëler dat het land plots besluit dienstverlening aan Europa te blokkeren. Een risico dat je als bedrijf niet kunt negeren. Want wat betekent dat voor jouw cloud en alle diensten die je op basis daarvan aanbiedt? Staat het bedrijf dan stil? Die onvoorspelbaarheid brengt concrete bedreigingen met zich mee: financiële schade en reputatieschade.
De Cloud Act
Een tweede risico zit in de Cloud Act, een Amerikaanse wet die in 2018 werd aangenomen en bepaalt dat de Amerikaanse overheid inzicht moet kunnen krijgen in data die opgeslagen staan bij Amerikaanse partijen. Dat geldt ook voor data van Europese partijen die in een clouddienst van een Amerikaanse partij gehost worden, zelfs als die data in een datacenter in Europa staan. De regel is: zolang data bij een Amerikaanse partij staan, kan de Amerikaanse overheid daarbij, ongeacht waar ze fysiek gehost worden. Bovendien wordt hier verder niet naar buiten toe over gecommuniceerd.
Als organisatie weet je dus niet of de Amerikaanse inlichtingendiensten naar jouw data kijken of niet, en ook niet naar welke data ze dan kijken. Daarmee heb je maar beperkte controle over wie toegang heeft tot welke data.
Meer grip
Helemaal uit de Amerikaanse cloud vertrekken is voor veel organisaties geen optie. Wel zijn er mogelijkheden om weer meer grip te krijgen, bijvoorbeeld met een hybride cloud. In dat geval maak je gebruik van een publieke cloud, denk aan bekende namen zoals Microsoft, Google of AWS, in combinatie met een private cloud. Die private cloud is klantspecifiek ingericht en draait in een datacenter van de klant of on-premises. De twee clouds zijn onderling met elkaar verbonden..
Kijk daarnaast naar operationele weerbaarheid. Hoe staat het met uptime-garanties, disaster recovery en redundantie? Een betrouwbare partner moet aantoonbaar kunnen garanderen dat jouw diensten altijd beschikbaar blijven.
Tot slot: waak ervoor dat je niet in een publieke cloud lock-in belandt. Zo kun je kijken naar open standaarden en de garantie dat je jouw data altijd kunt exporteren en meenemen naar een andere partij. Die data-exit moet technisch én juridisch geborgd zijn, zodat je écht controle behoudt over je eigen informatie.
Redundantie
De hybride cloud maakt dat jouw belangrijke data en processen dicht bij huis staan en niet op de clouddienst van Amerikaanse partijen. Bovendien kun je belangrijke workloads hiermee redundant uitvoeren: ze staan zowel in publieke cloud als in het private deel.
Besluiten de VS dan om deze dienstverlening in Europa te blokkeren, dan blijven jouw bedrijfsprocessen gewoon doordraaien. Het bedrijf komt niet stil te staan, alle data zijn nog steeds bereikbaar en er ontstaat geen financiële schade. Zo krijg je weer controle over jouw data en processen.
Bo-Nathan London, enterprise architect hybrid cloud & security, Proximus NXT
