Po 2013 roku, gdy świat dowiedział się o programie inwigilacji PRISM prowadzonym przez amerykańską Agencję Bezpieczeństwa Narodowego, który zbierał dane nie tylko obywateli USA, lecz także obywateli innych krajów, zasady cyfrowej wymiany zaczęły się zmieniać. Obecnie ponad 145 krajów posiada przepisy dotyczące prywatności, które przewidują przetwarzanie danych wszystkich obywateli wyłącznie w granicach ich państw. W ten sposób pojawiło się zapotrzebowanie na chmury suwerenne.
Według szacunków VMware Explore US, rynek chmur suwerennych osiągnie do 2025 roku wartość 60 miliardów dolarów. Coraz więcej firm zaczyna stosować to rozwiązanie. Badania VMware i IDC wskazują, że 53% organizacji na świecie planuje zwiększyć suwerenność swojej infrastruktury do 2028 roku. Obecnie jednak na przeszkodzie stoją wysokie koszty oraz złożoność budowy tak niezwykle bezpiecznego systemu.
W tym artykule wyjaśniamy, dlaczego suwerenna chmura staje się coraz bardziej pożądana i w jaki sposób ta usługa wkrótce stanie się standardem.
Suwerenna chmura VMware
Jedną z najpopularniejszych koncepcji suwerenności chmury jest system opracowany przez VMware. Firma opracowała specjalne ramy dla swojej inicjatywy, jednocząc dostawców usług chmurowych zaangażowanych w ochronę danych. Główna idea tego rozwiązania polega na tym, że wszystkie dane przechowywane w chmurze pozostają pod wyłączną kontrolą kraju, w którym zostały zgromadzone, a operacje na tych danych odbywają się zgodnie z prawem krajowym.
Zgodnie z VMware chmura suwerenna:
- chroni kluczowe dane prywatnych i publicznych organizacji,
- wspiera gospodarkę narodową,
- wykorzystuje mechanizmy bezpieczeństwa testowane i zatwierdzone na szczeblu państwowym,
- zapewnia zgodność z przepisami dotyczącymi prywatności danych,
- zwiększa kontrolę klientów nad ich informacjami.
Rodzaje chmur suwerennych
Nie ma jednej uniwersalnej koncepcji chmury suwerennej — każdy dostawca oferuje swoją własną wizję tej usługi.
Jednym z najbardziej restrykcyjnych modeli chmury suwerennej jest rozwiązanie oferowane przez amerykańską firmę Oracle, które spełnia następujące kryteria:
- fizyczne przechowywanie danych w obrębie jednego kraju,
- kontrola klienta nad swoimi danymi — to on decyduje, kto i z jakiego miejsca ma dostęp do jego informacji,
- wsparcie techniczne i utrzymanie serwerów zapewniane wyłącznie przez obywateli tego samego kraju,
- zgodność chmury z przepisami obowiązującymi w kraju, w którym jest zlokalizowana,
- dedykowane połączenie serwera z internetem.
Oracle stworzył również chmurę suwerenną dostosowaną do wymagań UE, która umożliwia korporacjom działającym na terenie Unii Europejskiej natychmiastowy dostęp do infrastruktury zgodnej z RODO (Ogólne rozporządzenie o ochronie danych), zaleceniami Europejskiej Rady Ochrony Danych oraz innymi regulacjami.
Google Cloud nie posiada własnej, samodzielnej usługi tego typu, dlatego nawiązuje partnerstwa z lokalnymi firmami telekomunikacyjnymi, aby tworzyć chmury suwerenne w różnych krajach. Obecnie system działa sprawnie w Niemczech, gdzie lokalna firma T-Systems posiada wyłączne prawo do zarządzania infrastrukturą na platformie Google Cloud, a wsparcie techniczne jest zapewniane wyłącznie przez obywateli UE. Podobne usługi zostały wdrożone we Francji, Włoszech i Hiszpanii.
Microsoft uruchomił w lipcu 2022 roku swoją chmurę suwerenną, Cloud for Sovereignty. Działając za pośrednictwem 60 regionalnych centrów danych Azure, zapewnia ona dostęp do wszystkich standardowych usług chmurowych Microsoftu (Microsoft 365, Dynamics 365 i platformy Azure) oraz umożliwia użytkownikom zarządzanie lokalizacją swoich danych w tych usługach oraz innych produktach wdrożonych w chmurze.
Amazon Web Services twierdzi, że ich chmury są „suwerenne z założenia”, a w 2022 roku wprowadzili Zobowiązanie dotyczące suwerenności cyfrowej, obiecując „bezkompromisową kontrolę” nad swoimi klientami oraz zapewniając ich zgodność z wymaganiami suwerenności. Użytkownicy samodzielnie wybierają, gdzie przechowywane są ich dane, kto ma do nich dostęp i jak są szyfrowane.
Dlaczego jest to potrzebne
Wymogi regulacyjne w niektórych sektorach, takich jak administracja rządowa, usługi finansowe i opieka zdrowotna, wymagają korzystania z chmury suwerennej. To właśnie te dane wymagają szczególnej ochrony przed zewnętrzną ingerencją, ponieważ obejmują tajemnice państwowe oraz inne poufne informacje, które są szczególnie podatne na złośliwe działania.
Ogólnie rzecz biorąc, firmy nie zawsze potrzebują chmury suwerennej, ale jest ona zalecana — taka praktyka ułatwia zgodność z regulacjami, takimi jak RODO, poprawia niezawodność operacyjną firmy i zapewnia, że klienci nie napotykają problemów z ochroną danych. Jest to szczególnie korzystne dla małych i średnich przedsiębiorstw, które mogą nie mieć wystarczających zasobów, aby sprostać wszystkim wymaganiom dotyczącym bezpieczeństwa informacji — łatwiej jest delegować takie zadania zaufanemu operatorowi chmury.
Zatrudniając wyłącznie obywateli danego kraju, współpracując z lokalnymi kontrahentami oraz odprowadzając wszystkie podatki i opłaty do krajowego budżetu, dostawca usług chmurowych wspiera lokalną gospodarkę. Ponadto łatwiej jest zarządzać płatnościami: ponieważ podmiot prawny dostawcy jest zarejestrowany w tym samym kraju, płatności są dokonywane w tej samej walucie, a umowa funkcjonuje w ramach jednego systemu prawnego.