Organisaties in de publieke sector, evenals industrieën zoals financiële dienstverlening en gezondheidszorg, hebben geaarzeld om de mogelijkheden in de cloud te benutten. Hun belangrijkste zorgen draaien om databeveiliging en naleving, maar nu introduceert Microsoft een oplossing die specifiek deze zorgen aanpakt.
De cloud biedt verschillende voordelen, zoals innovatie, flexibiliteit, schaalbaarheid en lagere kosten. Er zijn echter nog steeds vragen over beveiliging en naleving. Dit heeft veel Europese bedrijven, met name in de publieke sector en sterk gereguleerde sectoren zoals financiële dienstverlening en gezondheidszorg, tegengehouden.
Microsoft heeft nu Microsoft Cloud for Sovereignty (MCfS) geïntroduceerd, speciaal ontwikkeld om deze vragen aan te pakken en het veilige gebruik van Microsoft Azure-cloud services te waarborgen.
MCfS richt zich op drie belangrijke kwesties:
- Veilige opslag binnen de EU-grenzen:
Data moet over het algemeen binnen de EU worden bewaard, en wanneer dit naar andere landen wordt overgebracht, gelden er strenge regels voor het gebruik. Dit was één van de fundamentele redenen voor de GDPR. In de afgelopen jaren zijn er echter meer dan 100 officiële klachten geweest waarbij nationale autoriteiten hebben vastgesteld dat data was overgedragen aan Amerikaanse bedrijven zoals Google en Facebook in strijd is met de bestaande regels.
MCfS heeft de “EU Data Boundary” opgericht met EU-gebaseerde datacenters en specifieke richtlijnen voor wanneer en hoe klantdata kan worden overgedragen aan entiteiten buiten de EU of EFTA. EU Data Boundary is van toepassing op Azure, Dynamics 365, Power Platform en Microsoft 365.
- Data kan worden overgedragen naar derde landen:
De volgende zorg betreft de verplichting van Amerikaanse cloudbedrijven om data over te dragen aan overheidsinstanties. De Amerikaanse Cloud Act stelt Amerikaanse autoriteiten in staat toegang te krijgen tot klantdata van nationale IT-bedrijven, zelfs wanneer deze zijn opgeslagen in de EU.
MCfS heeft daarom “Confidential Computing” ontwikkeld, waarbij data van EU-bedrijven wordt versleuteld op drie niveaus met behulp van speciale hardwaremodules. Dit betekent dat wanneer versleuteling is ingeschakeld, niemand anders dan het bedrijf zelf deze data kan lezen, noch Microsoft-operationspersoneel, noch een derde partij die door de wet is gemachtigd om deze data te openen.
- Aangepaste nationale wetgeving:
Het derde probleem draait om land-specifieke wetgeving die bedrijven die de cloud gebruiken kan uitdagen. Microsoft heeft dit dilemma aangepakt met “EU & Country Compliance Packs.” Dit zijn lokale beheerpakketten die de structuur en beleidslijnen aanpassen aan de lokale wetgeving. Als een EU-land nieuwe wetgeving invoert, kan Microsoft een lokale patch lanceren zodat nationale bedrijven blijven voldoen aan de regels.
In de praktijk zorgt MCfS voor naleving van deze drie kwesties door een uitbreiding van het Cloud Adoption Framework (CAF) van Microsoft in de vorm van een architectuur referentie voor een Sovereign Landing Zone. Het is een speciale versie van de reguliere Azure Landing Zone met aanvullende beveiligingsmaatregelen en nalevingsbeleid.
In een Sovereign Landing Zone is het niet mogelijk om oplossingen te bouwen die in strijd zijn met de huidige regels, en er zijn dashboards en rapporten inbegrepen om de naleving van alle oplossingen te bewijzen.
De mogelijkheden verkennen
Het moet ook worden benadrukt dat nog niet alle services worden ondersteund in een Sovereign Landing Zone. Momenteel ligt de nadruk vooral op virtuele machines en containers, evenals bepaalde databases, maar er komen meer services aan.
Het schema adresseert al de meest voor de hand liggende zorgen, maar databescherming in de EU is een zeer complexe zaak. Uiteindelijk hangt het af van de beveiligingsvoorwaarden van elk bedrijf en de risicobereidheid afgewogen tegen de verwachte voordelen.
Als je gevoelige data in de cloud hebt of dat wilt doen, raden we aan de mogelijkheden met MCfS te verkennen. Voor velen wordt verwacht dat dit de nalevingsproblemen volledig oplost of op zijn minst aanzienlijk verbeterd met de oplossingen die ze al hebben.
We helpen je graag meer te weten te komen over MCfS:
Devoteam is diep betrokken bij kwesties op het gebied van databeveiliging in de EU. We hebben diepgaande kennis van MCfS en hebben onder andere gesprekken gevoerd met Microsoft-CEO Satya Nadella om mogelijkheden en perspectieven te bespreken. Als jij meer wilt weten over volledige beveiliging in de cloud en de mogelijkheden met MCfS, neem dan contact met ons op.