Bij GAIA-X, het project waarbij een EU data-infrastructuur wordt opgezet, staat datasoevereiniteit voorop, waarom dat zo belangrijk is legt Piet Honkoop, CTO van EGP Dutch Service Cloud Solutions uit. De rode draad door zijn betoog is dat datasoevereiniteit onlosmakelijk verbonden is met andere, reeds bestaande, uitgangspunten die bepalend moeten zijn voor het kiezen van de juiste cloud.
Drie opties voor data en applicaties
Data en applicaties zullen zich in principe op nog maar drie locaties bevinden. Het kan zijn on-premise ofwel op klantlocatie. In dat geval heeft de eigenaar de volledige controle en de verantwoordelijkheid. De tweede optie is een private cloud, waarbij die controle ook nog steeds bestaat en de verantwoordelijkheid gedeeld wordt. Publieke cloud, de derde optie, staat volop in de belangstelling door de mogelijkheden en prijsstelling, maar controle over de data en applicaties bij de hyperscalers heeft men niet meer.
Controle
Dat laatste is nog te weinig bekend bij gebruikers van clouddiensten, maar ook partijen die clouddiensten ontwikkelen. Men gaat er voor het gemak van uit dat een aangemaakte VM bij een hyperscaler na gebruik wordt verwijderd en dat zo ook alle data blijvend is verwijderd. Bij het verplaatsen van data van de ene naar de andere VM is het idee ook dat de verlaten VM leeg is. Slechts weinigen realiseren zich dat remove, delete en destroy echt verschillende begrippen zijn. De eigenaar van de data kan bij een publieke cloud nooit zelf controleren of zijn data en applicaties echt weg (“destroyed”) zijn. Als dat al niet mogelijk is, hoe kan hij dan controleren of hij wel de volledige controle over zijn data heeft?
Dat laatste is daarbij voor iedereen die gebruik maakt van een hyperscaler, of een andere cloud die in een Amerikaans datacenter staat eigenlijk een illusie. Ook onder de nieuwe Amerikaanse president blijft de CLOUD Act vooralsnog van kracht. Amerikaanse partijen moeten onder die wet medewerking verlenen aan verzoeken tot inzage in klantdata en klantapplicaties. Naast de CLOUD Act zijn er overigens nog meer wetten die iets dergelijks opleggen.
Europese cloud eerste stap naar datasoevereiniteit
Wie zekerheid wil hebben dat niemand toegang heeft tot zijn data en applicaties kan daarom dus niet kiezen voor een Amerikaanse publieke cloud omgeving. Het alternatief lijkt simpel, kies dan voor een Europees cloudplatform. Dat zou immers de garantie bieden voor data integriteit. Het is inderdaad een goede eerste stap op weg naar meer datasoevereiniteit, maar zeker niet de enige.
Onder datasoevereiniteit wordt namelijk ook verstaan dat de klant altijd in staat moet zijn de data en applicaties op te pakken en zonder problemen bij een andere partij onder te brengen. Vendor lock-ins die baseren op technische of commerciële barrières verhinderen dat nu nog vaak. Bij zowel hyperscalers als andere cloud platformen.
Redundante private cloud
Deze barrières, waarbij de technische de lastigste is, maken het logischer voor een private cloud omgeving te kiezen. Zelfs dan is de maximale datasoevereiniteit echter nog niet bereikt. Als de private cloud maar op één locatie staat creëert dat een onacceptabel risico. Verstoring van de dienstverlening en downtime moeten worden vermeden. Datasoevereiniteit zonder bij de data te kunnen bestaat immers ook niet.
Daarom moet in de juiste benadering van het vraagstuk nadrukkelijk uitgegaan worden van fysieke redundantie. Om die reden maakt EGP gebruik van meerdere datacenters, verspreid over meerdere regio’s en met verschillende datacenter eigenaren.
GAIA-X en EGP
Ook GAIA-X werkt toe naar precies dat model. Bij cloud gebruik moet sprake zijn van transparantie over waar de data staat en wie er bij de data kan. Hordes om migraties en data portabiliteit te belemmeren zijn niet toegestaan. Zo wordt cloud gebruik beter. Gebruikers van clouddiensten en partijen die clouddiensten ontwikkelen op basis van die uitgangspunten kunnen ook eindelijk aan alle compliance eisen voldoen. Dat is namelijk op dit moment nog steeds niet mogelijk.
Wie de GAIA-X uitgangspunten legt naast de businessregels van EGP zal de enorme overlap opvallen. EGP doet namelijk al vele jaren waar Europa nu naar toe werkt. Bestaande uitgangspunten als data integriteit, buiten de reikwijdte van de CLOUD Act blijven en transparante communicatie zijn er de basis. Op die manier weet de klant altijd precies waar hij aan toe is. Het bedrijf besteedt daarom bij elke klant aandacht aan een exit strategie. Want zonder dat kan niemand claimen onder alle omstandigheden toegang tot de data en applicaties, kortom datasoevereiniteit, te hebben.
Gemeenschappelijk belang
Stilstaan bij, en het realiseren van, datasoevereiniteit is daarbij volgens EGP een gemeenschappelijk belang voor alle partijen in de cloudketen, van IaaS platform, via de vendor tot en met de eindgebruikers.
Als dat belang wordt erkend en de partijen inzien wat bij datasoevereiniteit komt kijken kan cloudgebruik volgens EGP structureel veiliger en beter worden. Veiliger vanwege meer transparante controle en beter omdat de vraagstukken van compliance, dataportabiliteit en geolocatie er onlosmakelijk mee verbonden zijn.