In 2019 werd het Confidential Computing Consortium opgericht door 10 grote techbedrijven waaronder Microsoft. Het consortium brengt hardware vendors, cloud providers en software developers samen, om de invoering van Trusted Execution Environment-technologieën en -normen te versnellen. Een onderdeel daarvan is ook het opzetten van een soevereine cloud. Philip Van de Vyver werkt als Cloud Solutions Architect bij Arxus, en legt in deze blog uit waarom de soevereine cloud wel eens de standaard kan worden voor bedrijven in de toekomst.
De soevereine cloud richt zich momenteel voornamelijk op overheidsbedrijven of organisaties die meer willen inzetten op regelgeving en security. Zij zijn op zoek naar een cloudomgeving die veiligheid voorop stelt, en waar de compliance van security en beleidsvereisten centraal staan. Iets wat de publieke cloud op dit moment niet kan bieden. Door een soevereine cloud op te richten kan Microsoft zelf parameters ingeven waaraan de cloud moet voldoen en zo het meest optimale niveau qua beveiliging garanderen.
Een eerste parameter voor een soevereine cloud is data residency. Via verschillende policies in Microsoft Azure kan je bepalen waar je data terecht komen. Voor overheidsbedrijven in de Europese Unie is vaak afgesproken dat hun data de EU niet mogen verlaten. Maar je kan nog verder gaan als bedrijf. Sinds 2021 is Microsoft in het kader van hun Digital AmBEtion-plan bezig met de bouw van 3 datacenters in België. Organisaties zullen in de toekomst hun data dus ook in eigen land kunnen opslaan.
Veel overheidsbedrijven of organisaties die over vertrouwelijke data beschikken, werken momenteel nog on premise om ervoor te zorgen dat niemand hun data kan inkijken. In de soevereine cloud worden alle data versleuteld, zodat een transitie naar de cloud mogelijk wordt. Daardoor is het systeem ook ideaal voor organisaties die een centrale verwerking van data hebben, zonder dat ze zelf persoonlijk identificeerbare informatie (PII) kunnen zien. Denk bijvoorbeeld aan banken of medische instanties die vaak gebruik maken van dit soort vertrouwelijke gegevens.
Bovenop de bestaande set van security en policy vereisten die je kan inrichten om een soevereine cloud te bekomen, heb je extra services die je kan implementeren om je applicaties confidentieel te maken. Microsoft heeft daarvoor haar eigen Azure Confidential Services op de markt gebracht. Daarin zit onder meer een Azure Key Vault Managed HSM, Azure Confidential Ledger en Microsoft Azure Attestation.
Naast de Azure Confidential Services heb je ook Azure Confidential Compute opties. Dat zijn de klassieke Virtuele machines (VM’s) met memory encryptie, integriteit en cpu confidentialiteit, integriteit en attestation. Hiervoor is een speciale samenwerking opgezet met AMD en Intel in Azure. De AMD VM's gebruiken AMD SEV-SNP waar je door middel van hardware encryptie een volledig versleutelde machine kan opleveren. Intel SGX-machines kunnen gebruikt worden om "Secure enclaves" aan te bieden voor applicatie development, waar een stuk memory kan beveiligd worden met hardware encryptie.
Verder heb je ook application development met Trusted Execution Environments (TEE’s), waar een attestation service zegt of een execution omgeving vertrouwd is of niet. Deze service gebruikt Intel SGX technology en wordt beschikbaar gemaakt via een "SGX enclave" waar ‘data in use’ ook versleuteld is. De applicaties die hiervoor nodig zijn, moeten door een derde partij geschreven worden. Hiervoor kunnen we bij Arxus rekenen op CloudFuel. Zij richten zich op app modernisatie en ontwikkeling binnen Microsoft-omgevingen.
Om een soevereine cloud op te zetten voor je organisatie, bepaal je eerst het framework waarbinnen je organisatie efficiënt en gecontroleerd een cloud migratie kan uitvoeren. Dat doe je door, samen met een set van confidentiële componenten, een set van security en policy vereisten vast te leggen en verplicht op te leggen.
Om voor je organisatie een soevereine cloud op te zetten, wordt er dus eerst een analyse gemaakt met de vereisten waaraan voldaan moet worden. Op basis van die analyse kan de landingszone uitgewerkt worden. Omdat elke organisatie zijn eigen set vereisten heeft, is dit een project op maat en volgt het de interne governance van je bedrijf. Organisaties die dat wensen, kunnen verder ook hun cloudomgeving door ons laten inrichten, of gebruik maken van onze managed services nadien.
Op dit moment staat de soevereine cloud nog in zijn kinderschoenen, en richt hij zich specifiek op overheidsbedrijven of organisaties die vaak gevoelige data beheren. De verwachting is wel dat de technologie op termijn zal uitgroeien tot de standaard in het bedrijfsleven. Ook kleinere bedrijven zullen dus wellicht in de toekomst op deze manier gaan werken.
Heb je nog vragen over de soevereine cloud, of wil je er zelf mee aan de slag?