Soevereine cloud op niet-soevereine hardware: kan dat?

Europese initiatieven om onafhankelijker te worden van Amerikaanse en Chinese IT richten zich vooral op clouddiensten. Daarbij wordt voorbijgegaan aan de rol van uit de VS en China afkomstige hardware waarop clouddiensten draaien, ook in een Europese cloud. In hoeverre vormt deze hardwarelaag een bedreiging?

Thijs Doorenbosch is freelance journalist en tekstschrijver. Hij was meer dan dertig jaar vaste redacteur bij AG Connect (voorheen AutomatiseringGids) Meer van deze auteur

Vrouw met smartphone in de hand kijkt wantrouwend naar serverkast in een datacentrum — © Shutterstock

Deze interessante vraag komt aan de orde in een uitgebreide feature op The Register. In veel Intel- en AMD-processoren zit een management engine. Bij Intel is die bekend als ME/CSME en bij AMD als PSP. Die engines zijn actief in de laag van de firmware (Ring -3), met een eigen geheugen en netwerkvoorzieningen.

Daarmee draait deze management engine buiten het zicht van het besturingssysteem en de reguliere securitytools en logging. Dat betekent dat bijvoorbeeld firewalls en endpointbeveiliging de activiteiten op deze laag niet betrouwbaar kunnen detecteren of blokkeren. De management engine kan zelfs actief blijven in een energiebesparende stand, waardoor manipulatie van de firmware theoretisch kan leiden tot moeilijk waarneembare activiteiten. Deze risico’s van de management engine van computerchips zijn ook van toepassing voor de Baseboard Management Controller (BMC) in servers.

Ook hardware valt onder Amerikaanse jurisdictie

Zowel in de toeleveringsketen van servers als bij het onderhoud ervan zijn er daarom genoeg mogelijkheden om te knoeien met deze laag. In Europa wordt veel gediscussieerd over het risico dat de Amerikaanse overheid onder de Cloud Act de Amerikaanse dienstverleners kan dwingen mee te werken aan geheime bevelen en zwijgplicht. Sinds 2024 is er ook de Reforming Intelligence and Securing America Act, die ook leveranciers van hardware en andere infrastructuur kan verplichten om mee te werken aan acties.

Er is op korte termijn geen eenvoudige uitweg voor dit dilemma, schetst The Register. De huidige Europese wetgeving gaat vooral over juridische en operationele controle, maar niet over immuniteit op de hardwarelaag. Zelfs als een cloudoperator perfect gecertificeerd is volgens de Europese standaarden, blijft er een rest-risico dat organisaties niet volledig kunnen beheersen vanwege de afhankelijkheid van componenten en firmware. Dit is een dilemma waarvoor Europese beleidsmakers een oplossing moeten vinden. Tot die tijd kunnen organisaties hun leveranciers in elk geval vragen hoe zij management engines in hun risicoanalyse hebben meegenomen.