Microsoft wil datasoevereiniteit verhogen met nieuwe cloud

Met strengere gegevenscontroles in de Sovereign Public Cloud, een nieuwe soevereine Private Cloud direct bij de klant én lokaal gehoste Microsoft 365-diensten probeert Microsoft het vertrouwen van Europese klanten terug te winnen — en tegelijk tegemoet te komen aan de strengere eisen rondom data-soevereiniteit.

Schrijf je in voor onze gratis nieuwsbrief:

In het kader van een omvangrijke update zet Microsoft fors in op de uitbouw van zijn Sovereign Cloud-aanbod. De gloednieuwe Sovereign Private Cloud vormt daarbij de meest in het oog springende uitbreiding, terwijl ook de bestaande Sovereign Public Cloud flink wordt uitgebreid met aanvullende functies.

Daarnaast zoekt Microsoft nauwere samenwerking met lokale partners via de zogeheten National Partner Clouds. Met deze initiatieven wil het bedrijf naar eigen zeggen de “digitale waarborgen voor Europa […] versterken” en klanten “meer keuzevrijheid, meer controle over hun gegevens en de meest robuuste digitale veerkracht” bieden — waarbij de focus duidelijk ligt op compliance, datasoevereiniteit en vertrouwen in de cloudinfrastructuur.

De Sovereign Private Cloud richt zich op organisaties die hun cloud-workloads onder volledige eigen regie willen draaien, op een locatie naar keuze. De onderliggende servers kunnen daarbij on-premises worden geplaatst, bij partnerdatacenters of elders binnen de landsgrenzen.

Klanten bepalen zelf of de omgeving hybride functioneert of volledig geïsoleerd (air-gapped) blijft van de rest van de Azure-cloud. Onder de noemer Sovereign Private Cloud valt ook het bestaande Azure Local-aanbod, waarmee lokale workloads naadloos kunnen worden gekoppeld aan Azure-diensten en beheerd via vertrouwde Azure-tools.

Volledig nieuw binnen de Sovereign Private Cloud is Microsoft 365 Local. Daarmee kunnen nu ook Office-toepassingen zoals Exchange Server en SharePoint Server binnen een soevereine, strikt afgeschermde omgeving draaien. Volgens Microsoft is de Sovereign Private Cloud specifiek ontwikkeld voor “overheden, kritieke industrieën en gereguleerde sectoren die moeten voldoen aan de hoogste normen voor gegevensresidentie, operationele autonomie en gescheiden toegang”.

Tegelijkertijd benadrukt Microsoft dat zowel de Sovereign Private Cloud als Microsoft 365 Local in principe voor alle klanten beschikbaar komen. Welke impact dit nieuwe aanbod zal hebben op de al langer lopende discussies over Microsoft 365-gebruik in bijvoorbeeld het onderwijs, is voorlopig nog onduidelijk. De Sovereign Private Cloud bevindt zich momenteel in de preview-fase; algemene beschikbaarheid volgt naar verwachting later dit jaar.

Ook de Sovereign Public Cloud bevindt zich momenteel nog in de preview-fase en moet later dit jaar breed beschikbaar komen in alle Europese Azure-regio’s. Deze oplossing bouwt voort op de eerder geïntroduceerde Microsoft Cloud for Sovereignty.

Nieuw binnen de Sovereign Public Cloud is de zogeheten Data Guardian: deze functie moet — aanvullend op Microsofts bestaande EU Data Boundary — waarborgen dat gegevens van Europese klanten uitsluitend binnen Europa worden opgeslagen en verwerkt. Daarbij geldt voortaan dat alleen Microsoft-medewerkers die in Europa woonachtig zijn externe toegang tot de betrokken systemen kunnen krijgen.

Mocht toegang van buiten Europa noodzakelijk zijn, dan vereist dat voorafgaande goedkeuring door lokale verantwoordelijken, waarbij elke toegang strikt wordt gelogd in een manipulatieresistent auditlog.

Nieuw is bovendien dat klanten voortaan zelf het beheer van de encryptiesleutels volledig kunnen overnemen, of dit kunnen uitbesteden aan een derde partij. Daarmee wil Microsoft een extra beschermingslaag bieden, doordat de toegang tot de sleutels op de lokale Hardware Security Module (HSM) volledig onder controle van de klant blijft.

In de aankondiging benadrukt Microsoft de nauwe samenwerking met HSM-leveranciers als Utimaco (Duitsland), Thales (Frankrijk) en Futurex (VS). Het nieuwe External Key Management vormt een uitbreiding op de bestaande Azure Managed HSM-dienst, waarmee klanten al langer hun cloud-gebaseerde HSM’s centraal kunnen beheren.

Voor de Sovereign Public Cloud introduceert Microsoft daarnaast de nieuwe dienst Regulated Environment Management. Hiermee kunnen verantwoordelijken de soevereiniteitsinstellingen van hun omgeving centraal beheren, workloads configureren, uitrollen en monitoren. Denk daarbij bijvoorbeeld aan het toepassen van Data Guardian-richtlijnen of het controleren van toegangslogboeken.

Als derde pijler binnen de Sovereign Cloud breidt Microsoft het aanbod verder uit met de zogeheten National Partner Clouds. Daarbij bieden externe partners Azure- en Microsoft 365-diensten volledig zelfstandig aan, los van Microsofts eigen infrastructuur.

Zo levert Delos Cloud, een dochterbedrijf van SAP, een soevereine cloudomgeving specifiek voor overheden, volledig in lijn met de regelgeving voor de publieke sector.

Vooralsnog richt deze aanpak zich expliciet op overheidsinstellingen en kritieke infrastructuren (KRITIS). Een overzicht van de volledige structuur van de Microsoft Sovereign Cloud is te vinden in de aankondiging op de Microsoft-blog.

Amerikaanse hyperscalers zetten momenteel fors in op de uitbreiding van hun soevereine cloudaanbod. Microsoft benadrukt daarbij het “meest uitgebreide aanbod aan soevereiniteitsoplossingen” te bieden, waarbij de specifieke vereisten van EU-klanten grotendeels binnen de bestaande Azure-infrastructuur worden ingevuld.

Concurrent AWS kiest voor een ander model: in Brandenburg bouwt Amazon aan een volledig gescheiden cloudomgeving, die zowel juridisch als technisch losstaat van de reguliere AWS-cloud.

Al met al verkeren de verschillende onderdelen van Microsofts Sovereign Cloud voorlopig nog in de preview-fase. De brede uitrol in Europa staat voor later dit jaar gepland — al blijft het afwachten hoe de markt daarop zal reageren, zeker nu de belangstelling voor onafhankelijke Europese cloudalternatieven zoals het Duitse Nextcloud gestaag groeit.

Schrijf je in voor onze gratis nieuwsbrief: