Soevereine cloud biedt het beste van twee werelden

Ondanks het feit dat leveranciers veel hebben gedaan om security en databescherming te verbeteren, blijft waakzaamheid geboden. Je dient als cloudafnemer bewust te zijn van de risico’s en security te blijven monitoren, vertelt Steven Maas, Sales Director Encryptie bij Thales.

De staatssecretaris weet dat voor veel individuen en organisaties de cloud een vertrouwd verschijnsel is. Thuis zetten we al vele jaren onze vakantiefoto's in de cloud en op kantoor zijn talloze applicaties stapsgewijs naar de cloud gemigreerd. De overheid weet ook wel dat er veel voordelen te behalen zijn om met of in de cloud te werken. De cloud biedt in de woorden van Van Huffelen een aantrekkelijk perspectief voor de ontwikkeling naar een meer innovatieve, transparante, flexibele en efficiënte digitale overheid. Dat geldt ook de relatief lage instapkosten en het betalen naar gebruik, wat de financiering van public cloud diensten transparant maakt. Transparantie en lage kosten, dat zijn termen die beleidsmakers graag terugzien in hun plannen. Security-eisen beperken en verhinderden echter het gebruik van public cloud diensten tenzij men gebruik maakt van bepaalde technologieën die je deze security garantie wel kunnen bieden.

Ommekeer in het beleid
Hoewel het gebruik van public clouddiensten zoals die van Google, Microsoft of Amazon aan een aantal strike voorwaarden gebonden blijft, kunnen we wel spreken van een ommekeer in het beleid. Data Privacy Impact Assessments in het recente verleden bij een aantal van deze public cloud providers brachten een flink aantal tekortkomingen aan het licht als het gaat om dataprotectie. In het voorjaar van 2021 kwam er dan ook nog geen groen licht mede omdat er niet kon worden voldaan aan de AVG. Sinds die tijd is er hard gewerkt aan het verbeteren van security en privacy. Leveranciers hebben grote bedragen geïnvesteerd en veel expertise ingezet bij het beveiligen van hun diensten, zo constateert de bewindsvrouw. Het oordeel is nu dan ook dat publieke clouddiensten door overheidsinstellingen afgenomen kunnen worden, mits zij voldoen aan een reeks voorwaarden.

Zo zijn overheidsinstellingen verplicht vooraf een risicoanalyse te maken om veiligheidsrisico’s te minimaliseren. De CIO van het Rijk buigt zich nog samen met zijn collega's van de departementen over de richtlijnen voor deze risicoafweging. Het gebruik van commerciële clouddiensten is niet toegestaan voor het opslaan of verwerken van staatsgeheime informatie en er mogen geen diensten worden afgenomen van leveranciers uit landen met een actief cyberprogramma dat gericht is tegen Nederlandse belangen. Het ministerie van Defensie valt tevens buiten de boot. Het is de bedoeling dat alle opslag en verwerking van persoonsgegevens plaatsvindt op een verantwoorde manier, die aansluit bij geldende privacy-eisen.

Zekerheid en security
Het besluit om public clouddiensten open te stellen voor overheidsorganisaties is goed nieuws. Het verruimt de mogelijkheden voor instellingen om hun dienstverlening te verbeteren en efficiënter te werken. Zij kunnen zo beter profiteren van de digitale transformatie en kunnen hun IT-omgeving moderniseren. Dat maakt hen tevens een aantrekkelijkere werkgever. Desalniettemin moet je niet uit het oog verliezen dat er een mate van afhankelijkheid ten opzichte van de bekende hyperscalers blijft bestaan. Waar je naartoe wil, is een cloudomgeving die de zekerheid en security biedt van een private cloud gecombineerd met de flexibiliteit, schaalbaarheid en innovatiekracht van de public cloud. Een stukje private cloud in een public cloud setting, dat idealiter niet beheerd wordt door de public cloud provider maar door een gecertificeerde third party. Zie dit als een lokale service provider die:

• Ervoor zorgt dat je als bedrijf of instelling voldoet aan de voorwaarden die de CIO van het Rijk nu aan het opstellen is en die vanuit de EU worden opgelegd. Denk in dit opzicht aan de NIS 2 richtlijn.
• Je niet afhankelijk maakt van één public cloud provider.
• Garant staat voor continuïteit.
• Waarborgt dat data en applicaties niet toegankelijk zijn voor cloudproviders uit de VS (Schrems II) of voor statelijke actoren.

Soevereine cloud
Dit specifieke ‘stukje’ cloud noemen we de soevereine cloud, om aan te geven dat de volledige controle en zeggenschap ligt bij de afnemende partij. Mits de nodige technische maatregelen worden genomen. De soevereine cloud wordt gemanaged en beheerd dor de lokale service provider en niet meer door hyperscaler uit de VS. Deze trusted third party waarmee wordt samengewerkt zorgt er bijvoorbeeld voor dat data en workloads in de juiste geografie worden opgeslagen en verwerkt. Daarnaast wordt de soevereine cloudoplossing gecompleteerd door extern beheer van encryptiesleutels, zodat klanten toegang tot data optimaal kunnen beveiligen. Door het versleutelen van het netwerkverkeer en de data in de cloud en in datacenters kan niemand de data lezen. Ook de lokale cloudproviders niet.

De kansen van de cloud
De soevereine cloud biedt alles wat bedrijven en overheidsinstellingen zoeken in hun cloudomgeving. Profiteren van alle voordelen van de cloud zonder dat zij zich zorgen hoeven te maken over security en datasoevereiniteit. Je ziet wereldwijd initiatieven ontstaan waarbij public cloud providers samenwerken met lokale service providers. De manier waarop Thales in Frankrijk samenwerkt met een public cloudserviceprovider via een nieuwe dochteronderneming is een blauwdruk voor de plannen van de cybersecurityspecialist, bijvoorbeeld voor Nederland.

Deze aanpak maakt het voor overheidsinstellingen, waarvoor de weg naar de public cloud nu open ligt, een stuk makkelijker om de kansen van de cloud volledig te benutten. Het voldoen aan alle eisen en de technologische inrichting; het is gewoon complex. Tegelijkertijd voldoen zij aan de - terecht - strenge security- en privacy-eisen die door het Rijk worden opgelegd.

Meer weten?
https://cpl.thalesgroup.com/nl of neem contact op met Steven Maas, steven.maas@thalesgroup.com