Microsoft Cloud voor Soevereiniteit: Behoudt controle over je strategische digitale assets

Zorgen over cloud soevereiniteit – op technisch vlak, op het gebied van data en operationeel – zijn niet nieuw, maar nemen de afgelopen tijd wel toe. Dat komt door toenemende geopolitieke spanningen en veranderende regelgeving in verschillende landen omtrent data en privacy. Ook de dominantie van een klein aantal cloud-partijen die zijn gevestigd in een klein aantal regio’s is een bron van zorg. Ten slotte willen organisaties de lessen die zijn getrokken uit de pandemie een plek geven.  Als gevolg hiervan zitten overheden en organisaties middenin een her-evaluering van hun externe blootstelling aan risico’s en zoeken ze nieuwe manieren om fysieke en digitale controle te houden over hun strategische assets.

In antwoord op deze zorgen heeft Microsoft een nieuwe oplossing gelanceerd: Microsoft Cloud for Sovereignty. Met deze oplossing wil Microsoft invulling geven aan de eisen omtrent compliance, veiligheid en beleid waarmee overheden en organisaties te maken hebben. Met Microsoft Cloud for Sovereignty krijgen overheden en organisaties meer controle over hun data. De transparantie van operatie en governance-processen in de cloud neemt bovendien toe.

Microsoft Cloud for Sovereignty is ontworpen als partner led oplossing. Partners krijgen dus een cruciale rol in de implementatie ervan. Een van de Europese Cloud-principes van Microsoft is het uitgangspunt dat het cloud-portfolio invulling geeft aan de belangen van alle soevereine Europese staten, en dat alle oplossingen worden gerealiseerd in nauwe samenwerking met vertrouwde, lokale IT-dienstverleners. In mei 2021 werd bijvoorbeeld Blue aangekondigd: een partnership tussen Microsoft, Capgemini en een Frans bedrijf in handen van Orange, dat als doel heeft te voldoen aan de soevereiniteitseisen in Frankrijk. Microsoft Cloud for Sovereignty levert de tools, de processen en de transparantie aan de partners, die daarmee ondersteuning kunnen bieden aan overheden en organisaties in hun digitale transformatiereis.

Microsoft Cloud for Sovereignty heeft de volgende uitgangspunten:

Data residency

Data residency wil zeggen dat data binnen een specifiek geografisch gebied opgeslagen moeten zijn, zoals bijvoorbeeld een nationale grens. Azure biedt data residency voor vele diensten in meer dan 35 landen en meer dan 60 verschillende datacenter-regio’s wereldwijd – en dat aantal neemt toe. Dat biedt residency-opties voor Azure, Microsoft 365 en Dynamics 365, waardoor vele klanten hun data lokaal kunnen verwerken en opslaan. Door beleidsregels op te nemen kunnen klanten voldoen aan lokale regelgeving als het gaat om de opslag van applicaties en data in het specifieke geografische gebied. De aanstaande nieuwe EU Data Boundary zal in Europa borgen dat data wordt opgeslagen en verwerkt binnen de Europese Unie en de European Free Trade Association.

Sovereign controls

Naast de specifieke regionale en geografische begrenzingen voor de opslag en verwerking van data en applicaties, biedt Microsoft ook een set van sovereign controls die voorziet in een extra beveiligings- en encryptielaag om gevoelige data te beschermen. Deze controlemechanismen bestrijken de gehele Microsoft-cloud: SaaS-offerings zoals Power Platform, Microsoft 365 en Dynamics 365, de cloud-infrastructuur en de PaaS-services binnen Azure.

Klanten kunnen de volgende diensten inzetten voor de soevereine bescherming van hun gegevens in de cloud:

• Azure Confidential Computing: Azure Confidential Computing bestaat uit vertrouwelijke virtual machines en containers. Dat maakt het mogelijk om data versleutelen, ook als deze op dat moment in gebruik is. Met gespecialiseerde hardware wordt geïsoleerd en versleuteld geheugen gecreëerd: Trusted Execution Environments (TEEs). Dankzij TEEs kan verwerkte data en code niet van buitenaf benaderd worden. Encryptiesleutels van de klant worden direct door een Managed HSM (Hardware Security Module) in de TEEs gereleased. De sleutels zijn daardoor op elk moment veilig, ook als ze in gebruik zijn. Data is continu versleuteld, ook als deze wordt verplaatst of verwerkt.
• Double Key Encryption (DKE): DKE combineert twee sleutels om de toegang tot beveiligde content te reguleren. Een sleutel staat in Azure en de andere is in het bezit van de klant. Deze technologie is onderdeel van Microsoft 365 E5 en is bedoeld voor de meest gevoelige data, die onderhevig is aan de meest strikte beveiligingscriteria.
• Customer Lockbox: Customer Lockbox zorgt ervoor dat Microsoft in haar dienstverlening geen toegang kan krijgen tot klantdata en -content zonder de expliciete goedkeuring van de klant. Customer Lockbox is beschikbaar voor Microsoft 365, Microsoft Azure, Power Platform, and Dynamics 365.
• Azure Arc: Azure Arc breidt de scope van Azure-diensten, -beheer en governance-capabilities uit naar datacenter-overstijgend niveau en naar multicloud-omgevingen. Arc maakt gecentraliseerd beheer mogelijk van resources zoals Windows- en Linux-servers, SQL Server, Kubernetes-clusters en andere Azure-diensten. Ook lifecycle management van virtual machines is mogelijk. Door Azure Policy te implementeren in al deze resources, kan worden voldaan aan governance- en compliance-standaarden. Tot slot kunnen ook diensten als Azure Monitor en Microsoft Defender for Cloud aan de scope worden toegevoegd.
• Sovereign Landing Zone: Microsoft Cloud for Sovereignty omvat een Sovereign Landing Zone. Deze landingszone is gebaseerd op de landing zone van Azure op enterprise-niveau en maakt deployments automatiseerbaar, customiseerbaar, herhaalbaar en consistent. Deze landing zone is gekoppeld aan Azure Information Protection, dat voorziet in policies en labeling voor toegangscontrole en beveiliging van email- en documentdata. Klanten kunnen ook maatwerk-policies definiëren, om te voldoen aan specifieke eisen vanuit industrie of regelgeving.

Governance en transparantie

Deelnemers uit meer dan 45 landen en internationale organisaties die worden vertegenwoordigd door meer dan 90 verschillende agentschappen, krijgen met Government Security Program (GSP) de beschikking over de vertrouwelijke beveiligingsinformatie en -bronnen die ze nodig hebben voor veilige toepassing van de producten en diensten van Microsoft. Deze deelnemers hebben toegang tot vijf wereldwijd gedistribueerde Transparency Centers. Ze hebben toegang tot broncode en kunnen van gedachten wisselen over technische content in het kader van de producten en diensten van Microsoft. Cloud for Sovereignty zal de scope van GSP uitbreiden zodat ook cloud-transparantie eronder valt, te beginnen met de primaire infrastructuur-componenten van Azure.

Conclusie

In dit artikel heb ik me gericht op de meerwaarde van Microsoft Cloud for Sovereignty voor klanten die Microsoft Cloud willen inzetten bij hun digitale transformatie, maar die tegelijkertijd willen vasthouden aan de mate aan controle van hun IT-bronnen die ze ook hebben in hun eigen datacenters. De adoptie van cloud maakt de afgelopen jaren een enorme versnelling door. Het belang van cloud-soevereiniteit neemt daarmee ook hand over hand toe voor overheden en organisaties. Microsoft biedt de tools, processen en transparantie waarmee klanten en partners gestalte kunnen geven aan de steeds strengere eisen aan cloud-soevereiniteit, naar mate de digitale transformatie voortschrijdt.

De groeiende nadruk op soevereiniteit was voor Capgemini reden voor verder onderzoek naar de awareness van organisaties als het gaat om cloud-soevereiniteit, hun voornaamste prioriteiten daarin en wat voor rol soevereiniteit speelt in hun overkoepelende cloud-strategie. De resultaten hebben we vervat in een whitepaper, dat u hier kunt downloaden.

Bij Capgemini hebben we veel ervaring met de implementatie van cloud-oplossingen in alle denkbare sectoren. Als u meer informatie wilt over hoe we dit doen voor onze klanten, kunt u contact met me opnemen via LinkedIn of Twitter.

Mijn andere artikelen vindt u hier.

Sjoukje Zaal Head of Microsoft Cloud Center of Excellence