BLOG – Door geopolitieke spanningen stellen we vraagtekens bij onze afhankelijkheid van Amerikaanse cloudproviders. Blijven die wel altijd beschikbaar? En kijkt de Amerikaanse overheid niet mee bij mijn data? Soevereiniteit wordt door deze risico’s belangrijker. Maar hoe realiseer je dat in een cloudomgeving?
Technologie komt al decennia in grote mate vanuit de VS. Zo ook veel clouddiensten: volgens Statista hebben AWS, Azure en Google Cloud samen twee derde van de markt in handen. Lange tijd was dat ook geen probleem. Ze hebben veel mogelijkheden, bieden handige tooling voor bijvoorbeeld development en worden als betrouwbaar gezien.
Maar de geopolitieke situatie is veranderd. De VS worden niet langer als stabiele partner gezien. Opeens is het reëler dat het land plots besluit dienstverlening aan Europa te blokkeren. Een risico dat je als bedrijf niet kunt negeren. Want wat betekent dat voor jouw cloud en alle diensten die je op basis daarvan aanbiedt? Staat het bedrijf dan stil? Die onvoorspelbaarheid brengt concrete bedreigingen met zich mee: financiële schade en reputatieschade.
De Cloud Act
Een tweede risico zit in de Cloud Act, een Amerikaanse wet die in 2018 werd aangenomen en bepaalt dat de Amerikaanse overheid inzicht moet kunnen krijgen in data die opgeslagen staan bij Amerikaanse partijen. Dat geldt ook voor data van Europese partijen die in een clouddienst van een Amerikaanse partij gehost worden, zelfs als die data in een datacenter in Europa staan. De regel is: zolang data bij een Amerikaanse partij staan, kan de Amerikaanse overheid daarbij, ongeacht waar ze fysiek gehost worden. Bovendien wordt hier verder niet naar buiten toe over gecommuniceerd.
Als organisatie weet je dus niet of de Amerikaanse inlichtingendiensten naar jouw data kijken of niet, en ook niet naar welke data ze dan kijken. Daarmee heb je maar beperkte controle over wie toegang heeft tot welke data.
Meer grip
Helemaal uit de Amerikaanse cloud vertrekken is voor veel organisaties geen optie. Wel zijn er mogelijkheden om weer meer grip te krijgen, bijvoorbeeld met een hybride cloud. In dat geval maak je gebruik van een publieke cloud, denk aan bekende namen zoals Microsoft, Google of AWS, in combinatie met een private cloud. Die private cloud is klantspecifiek ingericht en draait in een datacenter van de klant of on-premises. De twee clouds zijn onderling met elkaar verbonden..
Kijk daarnaast naar operationele weerbaarheid. Hoe staat het met uptime-garanties, disaster recovery en redundantie? Een betrouwbare partner moet aantoonbaar kunnen garanderen dat jouw diensten altijd beschikbaar blijven.
Tot slot: waak ervoor dat je niet in een publieke cloud lock-in belandt. Zo kun je kijken naar open standaarden en de garantie dat je jouw data altijd kunt exporteren en meenemen naar een andere partij. Die data-exit moet technisch én juridisch geborgd zijn, zodat je écht controle behoudt over je eigen informatie.
Redundantie
De hybride cloud maakt dat jouw belangrijke data en processen dicht bij huis staan en niet op de clouddienst van Amerikaanse partijen. Bovendien kun je belangrijke workloads hiermee redundant uitvoeren: ze staan zowel in publieke cloud als in het private deel.
Besluiten de VS dan om deze dienstverlening in Europa te blokkeren, dan blijven jouw bedrijfsprocessen gewoon doordraaien. Het bedrijf komt niet stil te staan, alle data zijn nog steeds bereikbaar en er ontstaat geen financiële schade. Zo krijg je weer controle over jouw data en processen.
Bo-Nathan London, enterprise architect hybrid cloud & security, Proximus NXT
“Helemaal uit de Amerikaanse cloud vertrekken is voor veel organisaties geen optie” is een onzin stelling.
Weer een spreekbuis van de cloud providers die hier subtiel zijn zegje doet om ons over te halen om vooral niet te vertrekken bij de Amerikaanse techgiganten.
Veel cloud providers verkopen generieke producten, zoals VPS servers, block storage en SQL databases. Daarnaast zijn er serverless programmatuur producten die vaak vendor lock-in mogelijk maken plus wat OS specifieke producten zoals Active Directory die goed met Windows samenwerken. Microsoft heeft ook nog SaaS producten zoals Office en Teams.
Niets van dit alles is uniek en alles kan (met enige moeite) verhuisd worden naar een soevereine leverancier. Maar inzetten op hybride cloud is een “loser strategy” want door maar half over te stappen ga je jezelf afvragen of je überhaupt wel wil verhuizen omdat je dan toch nog afhankelijk blijft van de techgigant. En dat is precies wat deze spreekbuis wil uitstralen.
Gewoon de stekker eruit trekken en overschakelen op iets anders, desnoods met mindere functionaliteit. Je kan niet 100% compatibiliteit eisen met Windows, Office, Teams en Outlook. Je zult gewoon moeten inschikken.
De onzin van de stelling wordt zoals Keuterboertje zelf al zegt gedicteerd door een vendor lock-in waardoor je functionaliteit verliest en je als organisatie een keus moet maken. Inzetten op de hybride cloud is hierdoor zeker geen “loser strategy” want deze tactiek biedt je de voordelen om te voldoen aan de veranderde wet- en regelgeving die door geopolitieke spanningen voor de snel stijgende compliance kosten zorgt.
Een data-exit moet namelijk niet alleen technisch en juridisch geborgd zijn maar moet ook een doel hebben want deze doelbinding is nog vaak een uitdaging als ik kijk naar de classificatie ervan. Het ‘jouw’ data is hierin een leuke als we kijken naar een eenvoudige opdeling naar het type data. Want dump van een database zorgt wel voor de export maar functioneel wil je een import. Meer dus een verplaatsing van de semantiek dan de data zullen we maar zeggen.
Jack en zijn doelbindingen gaan niet om de data maar de algoritmen die vaak intellectueel eigendom zijn van een provider. Het verschil tussen portabiliteit van de data of de besluitvorming gaat dus om meer dan servers knuffelen als ik kijk naar open algoritmen, escrow-constructies, transparantie en reproduceerbaarheid want andere uitkomsten door een andere leverancier is geen continuïteit in het proces maar een herdefinitie ervan.
Een andere cloud, een ander proces is ook een optie maar dat is een geheel andere verhuizing dan de lift & shift van de hybride cloud welke meer om de infrastructuurverplaatsing gaat. Controle over de kritieke data gaat meer om de governance wat bij een uitbesteding naar de cloud vaak om ‘laissez faire’ gaat als we kijken naar de compliance.
Zoals altijd zijn de analyses van ChatGPT heel zinnig:
https://chatgpt.com/share/69942ad9-a058-8006-ad56-ef0d0d247c1e