Arxus Blog
|
Soevereine cloud zet veiligheid en beleidsvereisten centraal

In 2019 werd het Confidential Computing Consortium opgericht door 10 grote techbedrijven waaronder Microsoft. Het consortium brengt hardware vendors, cloud providers en software developers samen, om de invoering van Trusted Execution Environment-technologieën  en -normen te versnellen. Een onderdeel daarvan is ook het opzetten van een soevereine cloud. Philip Van de Vyver werkt als Cloud Solutions Architect bij Arxus, en legt in deze blog uit waarom de soevereine cloud wel eens de standaard kan worden voor bedrijven in de toekomst. 

De soevereine cloud richt zich momenteel voornamelijk op overheidsbedrijven of organisaties die meer willen inzetten op regelgeving en security. Zij zijn op zoek naar een cloudomgeving die veiligheid voorop stelt, en waar de compliance van security en beleidsvereisten centraal staan. Iets wat de publieke cloud op dit moment niet kan bieden. Door een soevereine cloud op te richten kan Microsoft zelf parameters ingeven waaraan de cloud moet voldoen en zo het meest optimale niveau qua beveiliging garanderen. 

Een eerste parameter voor een soevereine cloud is data residency. Via verschillende policies in Microsoft Azure kan je bepalen waar je data terecht komen. Voor overheidsbedrijven in de Europese Unie is vaak afgesproken dat hun data de EU niet mogen verlaten. Maar je kan nog verder gaan als bedrijf. Sinds 2021 is Microsoft in het kader van hun Digital AmBEtion-plan bezig met de bouw van 3 datacenters in België. Organisaties zullen in de toekomst hun data dus ook in eigen land kunnen opslaan.  

Veel overheidsbedrijven of organisaties die over vertrouwelijke data beschikken, werken momenteel nog on premise om ervoor te zorgen dat niemand hun data kan inkijken. In de soevereine cloud worden alle data versleuteld, zodat een transitie naar de cloud mogelijk wordt. Daardoor is het systeem ook ideaal voor organisaties die een centrale verwerking van data hebben, zonder dat ze zelf persoonlijk identificeerbare informatie (PII) kunnen zien. Denk bijvoorbeeld aan banken of medische instanties die vaak gebruik maken van dit soort vertrouwelijke gegevens.  

Confidentiële services 

Bovenop de bestaande set van security en policy vereisten die je kan inrichten om een soevereine cloud te bekomen, heb je extra services die je kan implementeren om je applicaties confidentieel te maken. Microsoft heeft daarvoor haar eigen Azure Confidential Services op de markt gebracht. Daarin zit onder meer een Azure Key Vault Managed HSM, Azure Confidential Ledger en Microsoft Azure Attestation 

Naast de Azure Confidential Services heb je ook Azure Confidential Compute opties. Dat zijn de klassieke Virtuele machines (VM’s) met memory encryptie, integriteit en cpu confidentialiteit, integriteit en attestation. Hiervoor is een speciale samenwerking opgezet met AMD en Intel in Azure. De AMD VM's gebruiken AMD SEV-SNP waar je door middel van hardware encryptie een volledig versleutelde machine kan opleveren. Intel SGX-machines kunnen gebruikt worden om "Secure enclaves" aan te bieden voor applicatie development, waar een stuk memory kan beveiligd worden met hardware encryptie. 

Verder heb je ook application development met Trusted Execution Environments (TEE’s), waar een attestation service zegt of een execution omgeving vertrouwd is of niet. Deze service gebruikt Intel SGX technology en wordt beschikbaar gemaakt via een "SGX enclave" waar ‘data in use’ ook versleuteld is. De applicaties die hiervoor nodig zijn, moeten door een derde partij geschreven worden. Hiervoor kunnen we bij Arxus rekenen op CloudFuel. Zij richten zich op app modernisatie en ontwikkeling binnen Microsoft-omgevingen.  

Opzetten van jouw soevereine cloud 

Om een soevereine cloud op te zetten voor je organisatie, bepaal je eerst het framework waarbinnen je organisatie efficiënt en gecontroleerd een cloud migratie kan uitvoeren. Dat doe je door, samen met een set van confidentiële componenten, een set van security en policy vereisten vast te leggen en verplicht op te leggen.   

Om voor je organisatie een soevereine cloud op te zetten, wordt er dus eerst een analyse gemaakt met de vereisten waaraan voldaan moet worden. Op basis van die analyse kan de landingszone uitgewerkt worden. Omdat elke organisatie zijn eigen set vereisten heeft, is dit een project op maat en volgt het de interne governance van je bedrijf. Organisaties die dat wensen, kunnen verder ook hun cloudomgeving door ons laten inrichten, of gebruik maken van onze managed services nadien.  

Op dit moment staat de soevereine cloud nog in zijn kinderschoenen, en richt hij zich specifiek op overheidsbedrijven of organisaties die vaak gevoelige data beheren. De verwachting is wel dat de technologie op termijn zal uitgroeien tot de standaard in het bedrijfsleven. Ook kleinere bedrijven zullen dus wellicht in de toekomst op deze manier gaan werken.  

Heb je nog vragen over de soevereine cloud, of wil je er zelf mee aan de slag?

Contacteer Ons

Gerelateerde Posts

Van Cloud Engineer naar Chapter Lead: het unieke proces van Levy

Een omgeving waarin we prestaties vieren, nooit stoppen met leren en iedereen de kans krijgt om zich te ontplooien tot de werknemer en persoon die ze willen zijn en worden. Dat is waar we bij Arxus voor gaan. Net daarom zetten we graag het unieke proces van Levy Mannaerts in de kijker. Hoe hij op

Arxus: lokale experten die je van A tot Z bijstaan

De servicedesk van Arxus is een allround dienst die je IT-problemen van A tot Z aanpakt. Ze doen dat vanuit hun kantoor in Kontich en dat in het Nederlands, Engels en Frans. Het team bestaat uit zo’n 25 enthousiaste collega's met een stevige technische achtergrond. Seppe Vandegaer en Rick de Greef