Meer onafhankelijk met multi-cloudstrategie
De tweede Kamer wil een debat over de uitbesteding van ICT aan Amerikaanse techbedrijven. Dit wordt volgens Enterprise Architect Vincent Hoek een duur en volstrekt zinloos debat zonder enige kennis van zaken. Een multi-cloudstrategie lijkt een goed alternatief voor outsourcing naar één externe partij, maar verhoogt de complexiteit wel flink.
Bij een multi-cloudstrategie maak je gebruik van meerdere clouddiensten van verschillende aanbieders om zo flexibiliteit, veerkracht en optimale prestaties te waarborgen en niet ‘alle eieren in één mandje te doen’. Klinkt goed op papier. Het vermijdt een vendor lock-in en je kunt hiermee de sterke punten van verschillende cloud providers benutten. Echter, niets is moeilijk voor degenen die het niet zelf hoeven te doen.
Complexiteit
De operationalisering is lastig. Zo vereist het beheren van meerdere cloud omgevingen gespecialiseerde vaardigheden en kennis van de verschillende platforms, wat leidt tot complexiteitsproblemen en verhoogde operationele belasting. Elke cloud provider heeft zo zijn eigen tools, interfaces en best practices. Het coördineren van deze diverse omgevingen vereist aanzienlijke inspanningen op het gebied van beheer en onderhoud, hetgeen de efficiëntie juist kan verminderen en de kans op menselijke fouten nog verder kan verhogen.
Ook het waarborgen van consistente beveiligingsmaatregelen en naleving van regelgeving over meerdere cloudomgevingen kan ingewikkeld zijn. Nog los van het feit dat verschillende cloud providers ook verschillende beveiligingsstandaarden en compliance-vereisten kennen. Dit maakt het moeilijk om een uniforme beveiligingsstrategie te handhaven.
Kostenbeheersing
Het integreren en migreren van data tussen verschillende cloudomgevingen is technisch uitdagend en kan aanzienlijk veel tijd en middelen kosten. Dataoverdracht tussen cloudplatforms wordt bemoeilijkt door verschillen in dataformaten, opslagmethoden en netwerkarchitecturen, wat kan leiden tot vertragingen, hogere kosten en mogelijk zelfs dataverlies. Probeer dan je kosten maar eens te beheersen. Ook moet rekening gehouden worden met verschillen in prijsmodellen. Bovendien kunnen onverwachte kosten opduiken voor dataoverdracht, opslag en andere services, want niet lekker bekt in de contractonderhandelingen.
Verschillen tussen leveranciers
Buiten het serieus overwegen van Confidential Cloud en (Virtual) Sovereign Cloud concepten, zou in de discussie ook aandacht moeten zijn voor de verschillen tussen de diverse (ook Nederlandse) leveranciers (en a.u.b. geen (semi)Chinese leveranciers).
Het noemen van een ‘merk’ doet de verfijning van de leveranciers overigens tekort. Er bestaan allerlei (zeer) gespecialiseerde cloudomgevingen die zowel vertrouwelijkheid als soevereiniteit bieden. AWS, Google Cloud en Microsoft Azure hebben elk zo hun eigen benaderingen voor confidential computing en sovereign cloud omgevingen ontwikkeld om tegemoet te komen aan deze behoeften.
Confidential computing
Confidential computing verwijst naar technologieën die ervoor zorgen dat data tijdens verwerking beveiligd blijft door gebruik te maken van hardwaregebaseerde vertrouwelijke uitvoeringsomgevingen (Trusted Execution Environments, TEE’s).
Amazon organiseert dit met AWS Nitro Enclaves die gebruikmaken van de AWS Nitro System-technologie om geïsoleerde compute-omgevingen te creëren binnen AWS EC2-instances. Nitro Enclaves bieden sterke isolatie voor gevoelige data en toepassingen zonder netwerktoegang, schijftoegang of externe toegangsmogelijkheden. Ideaal voor gevoelige data-analyse, machine learning met vertrouwelijke data en beveiligde verwerking van financiële transacties.
Google pakt dat anders aan. Zij leveren Google Cloud Confidential Computing, waarbij zij gebruik maken van AMD Secure Encrypted Virtualization (SEV) technologie om vertrouwelijke VM’s (virtual machines) te creëren. Overigens, als iemand daar VMWare voor gebruikt (bijna de gehele overheid), dan hoef je ook niet blij te zijn, want dat is inmiddels van Broadcom dus Chinees. Als we het daar eens over hadden! Bij Google worden de data automatisch versleuteld in het geheugen met sleutels die alleen toegankelijk zijn voor de CPU, waardoor gegevensbescherming wordt geboden zonder prestatieverlies. Geschikt voor beveiligde data-analyse, privacygevoelige applicaties en bescherming van intellectuele eigendommen.
Beiden vallen wat mij betreft in het niet bij Microsoft Azure Confidential Computing. Azure biedt verschillende opties, waaronder Intel SGX (Software Guard Extensions) en AMD SEV-SNP (Secure Encrypted Virtualization – Secure Nested Paging). Zij bieden hardwaregebaseerde isolatie van data en code, waardoor gegevens veilig zijn tijdens verwerking. Toepasselijk voor beveiligde multi-party computing, vertrouwelijke data-analyse en bescherming van gevoelige bedrijfsinformatie en… het kan nog veiliger.
Sovereign cloud omgevingen
Sovereign cloud omgevingen zijn ontworpen om te voldoen aan specifieke nationale (dus ook Nederlandse) regelgeving en soevereiniteitsvereisten met betrekking tot dataopslag en -beheer.
Bij Amazon kom je dan op de AWS GovCloud (US) en de AWS Outposts. De AWS GovCloud (US) is specifiek ontworpen voor overheidsinstanties en gereguleerde industrieën in de VS. Biedt compliance met verschillende Amerikaanse regelgeving zoals ITAR, FedRAMP, en CJIS. De AWS Outpost zijn een hybride cloudoplossing die AWS-infrastructuur, -services en -tools naar on-premises datacenters brengt, waardoor data lokaal kan worden opgeslagen en verwerkt in overeenstemming met nationale (dus ook Nederlandse) regelgeving.
Ook Google levert een Cloud Sovereign Solutions met Google Cloud Assured Workloads: een dienst die helpt bij het voldoen aan compliance-vereisten door het aanbieden van beheerde, beveiligde cloudomgevingen die voldoen aan specifieke nationale regelgeving zoals CJIS en FedRAMP met regio-specifieke oplossingen en samenwerkingen met lokale partners om te voldoen aan nationale (dus ook Nederlandse) soevereiniteitsvereisten.
Ook die twee kunnen wat mij betreft niet op tegen Microsoft Azure Sovereign Cloud: een cloudomgeving specifiek ontworpen voor Amerikaanse overheidsinstanties en gereguleerde industrieën, met compliance voor regelgeving zoals FedRAMP, DoD, en ITAR, die zelfs omarmd wordt door onze strenge oosterburen. Azure Deutschland is een cloudservice die samen met T-Systems wordt beheerd en voldoet aan Duitse en Europese regelgeving voor data-soevereiniteit. Azure Stack levert daarbij een hybride cloudoplossing die Azure-services naar on-premises (dus ook Nederlandse) datacenters brengt, waardoor data lokaal kan worden beheerd en opgeslagen in overeenstemming met nationale (dus ook Nederlandse) regelgeving.
Maar stel nu dat je een aantal elementen hiervan zou vervangen, bijvoorbeeld dit Kubernetes deel, wat ook al meedraait in Common Ground. Draai dat desnoods op een 100 procent Nederlands datacentrum. Problem solved zou ik zeggen. Maar dan nog moet je als overheid eigenlijk een Data Governance Plan moeten hebben. De inhuurder is en blijft verantwoordelijk voor zijn data en voor zijn datavoortbrengingsketen. Niet de leverancier.