Největší cloud světa Amazon Web Services (AWS), který je široce rozšířen i v České republice, před pár dny oficiálně odstartoval takzvaný suverénní cloud pro Evropu. Jde o krok, který reaguje na poměrně divoké dění spojené s bezpečností a geopolitikou a který může mít velké důsledky. Důležitost tohoto tahu naznačuje i investice. AWS chce do European Sovereign Cloudu vložit až 7,8 miliardy eur, tedy asi 190 miliard korun.
Evropskému trhu s cloudy běžícími v rozsáhlých datacentrech dominují američtí dodavatelé, takzvaní hyperscalers. Vedle AWS jde o Microsoft Azure a Google Cloud, menší podíly mají Oracle a IBM. Na amerických cloudech funguje evropský finanční sektor, státy, firmy a tak dále. Celkem jde o asi 70 procent trhu. Jde o poměrně významnou závislost na technologii z USA, dlouhodobého bezpečnostního spojence Evropy.
Zákonodárcům, regulátorům nebo bezpečnostním odborníkům ale už nějakou dobu dělají vrásky některé americké zákony, které jsou proti zájmu starého kontinentu. Ty, zjednodušeně řečeno, mohou vést k tomu, že pokud si to americká vláda po “svých” firmách vyžádá, bude moci získat přístup k datům zákazníků v Evropě, i když jsou tato data uložena mimo Spojené státy. Jde o zákony jako U.S. Cloud Act a Foreign Intelligence Surveillance Act (FISA), kde je zajímavá třeba část 702 a exekutivní příkaz 12333. Americké podniky musí spolupracovat s americkou agenturou NSA na vydávání dat aniž by o tom evropský zákazník věděl.
Změny na trhu
Na situaci už dříve reagoval Microsoft, o čemž jsme na Lupě psali. Podnik se snaží dávat různé záruky, ale sám o sobě musí americkým zákonům podléhat. Zástupce Microsoftu během slyšení ve Francii uvedl, že nemůže tamním subjektům zaručit, že jejich data nebudou do USA vydána.
Situace kolem těchto zákonů byla v Evropě zkousnutelná v případě silné transatlantické spolupráce včetně NATO a podobně. Současná americká administrativa ale vůči Evropě realizuje někdy až nepřátelské kroky, což v Evropě vyvolalo tlaky na přesun cloudové infrastruktury k lokálním poskytovatelům. Aktivní je lobby zdejších hráčů a vžil se pojem EuroStack.
Některé analýzy naznačují, že tlaky nesou výsledky. Tato kompilace dat například naznačuje, že podíl evropských dodavatelů na zdejších trzích roste, těží z toho hráči jako OVH, Orange, SAP nebo Deutsche Telekom. Američtí hyperscalers ale stále dominují. Gartner zase udělal průzkum, podle něhož chce 61 procent šéfů IT v západní Evropě chce zvýšit útraty v lokálních cloudech.
Nepohodlná situace
Investice AWS je reakcí na toto dění. Amazon postavil datové centrum v Braniborsku nedaleko Berlína, které je odstřiženo od tradičního cloudu AWS. Cloud operující z této lokality je dostupný pouze v rámci Evropy. Suverénní cloud AWS by měl zaručit, že na data evropských zákazníků pokud možno nedosáhne dlouhá ruka americké legislativy. Tento cloud má běžet čistě v datacentru v Evropské unii a respektovat zdejší regulaci. Data včetně metadat mají zůstávat pouze v rámci prostoru EU.
Entitu mají spravovat pouze zaměstnanci s evropským občanstvím. Zatím tuto činnost mají na starost EU residenti, požadavek na občanství bude teprve následovat. Ředitelem suverénního cloudu, což je německá firma, je Francouz Stéphane Israël. V konečném důsledky je ale ovládající entitou opět americká korporace.
AWS chce v rámci Sovereign Cloudu přidávat další datacentra, bude se řídit poptávkou. Kromě Německa je může stavět i v dalších zemích. V první fázi vzniknou Local Zones v Portugalsku, Belgii a Nizozemsku.
Lupa se během zahájení provozu Sovereign Cloudu v německém Potsdamu zeptala několika vysoce postavených činitelů AWS (včetně výkonného ředitele Matta Garmana) na to, zda AWS může stoprocentně zaručit, že data evropských zákazníků nebudou v případě požadavků americké vlády ze suverénního cloudu vydána. Nikdo z nich nedal jasnou odpověď (ano/ne), padaly reakce ohledně různých záruk a bezpečnostních mechanismů. Lze z toho číst, že americké firmy jsou v tomto ve značně nepohodlné pozici, kdy chtějí do Evropy dodávat služby a technologie, ale zároveň musí řešit regulaci v domovské zemi, která jim není moc příjemná.
Pro AWS je zároveň Evropa velmi významný trh. “Jde o vysoce strategickou a důležitou lokalitu. Mnoho našich největších zákazníků je z Evropy,” popsal Garman. Jsou to značky jako BMW a další.
Nitro a šifrovaná data
Amazon na návrhu architektury Sovereign Cloudu pracoval asi dva roky. Na přípravě se podílely evropské bezpečnostní složky, hlavním partnerem byla německá BSI.
Jednou z výzev bylo to, že na pojem “suverénní cloud” na trhu neexistuje žádný standard NIST a podobně. Každý z dodavatelů si tak tuto oblast vykládá po svém. AWS proto kromě lokálních datacenter, legální entity nebo zaměstnanců přišlo s několika opatřeními.
Jedním z nich je takzvaný Sovereign Reference Framework. Každý zájemce se může do evropského cloudu přihlásit, stáhnout si materiály a provádět nezávislé audity. Díky tomu by mělo být možné si ověřit, že AWS skutečně dělá to, co evropským zákazníkům slibuje.
Další důležitou součástí má být systém Nitro. Jde o virtualizační platformu čítající softwarovou a hardwarovou část. Díky ní je možné dle Amazonu izolovat data zákazníků. “Nitro znemožňuje zaměstnancům AWS se dostat k datům, která nad touto technologií běží,” uvedl Garman, šéf AWS. Colm MacCarthaigh, viceprezident a Distinguished Engineer v AWS, doplnil, že lze využít i KMS systém a že AWS nemá přístup k šifrovacím klíčům zákazníků.
“Nemáme přístup k datům zákazníků, protože tato data jsou šifrovaná,” dodala Sara Duffer, viceprezidentka firmy pro bezpečnostní záruky. Uvedla také, že k evropskému cloudu nemají přístup Američané.
MacCarthaigh je součástí týmu odborníků z Evropy, kteří se na návrhu Sovereign Cloudu podíleli. Systém Nitro je zároveň vyvíjen v R&D centru AWS v Drážďanech nedaleko Prahy. “Tým v Evropě má také plnou kontrolu nad nasazením kódu,” popsal MacCarthaigh.
Otázka funkcí
Amazon neuvedl, jaké si z evropského cloudu představuje tržby, ale měl by to být zajímavý ziskový byznys s očekávaným růstem. Lokální evropské AWS má podle Garmana oproti tradičnímu AWS větší náklady. Část služeb by měla mít stejnou cenu, někdy ale bude mít vyšší, maximálně prý do 15 procent. AWS to v rámci trhu považuje za kompetetivní. Teď bude na zákaznících si říci, zda zvýšená teoretická bezpečnost a suverenita stojí za případné příplatky.
Náklady jsou spojené i s tím, že je vedle tradičního AWS nutné udržovat oddělenou, ale pokud možno aktuální verzi. Amazon nechodí do detailů, jak tyto procesy řeší. Zástupci firmy uvádí, že s tímto typem provozů mají zkušenosti, protože před asi 10 lety vybudovali samostatný cloud pro americkou vládu a od té doby je podobných instalací více.
Otázkou bude i funkčnost. AWS v první fázi v rámci evropského řešení nabídne něco přes 90 hlavních služeb, přičemž AWS jako takové jich má kolem tisícovky. Postupně mají přibývat služby další, ale něco takového může být omezující. Americké obří cloudy mají oproti evropským malým alternativám kromě jiného výhodu v tom, že rychle na trhu uvádí novinky umožněné početnými R&D nebo úsporami z rozsahu. Tuto výhodu bude nutné v suverénním cloudu zachovat.
Vřelá slova NÚKIBu
AWS European Sovereign Cloud primárně cílí na veřejný sektor, případně na dodavatele do těchto sfér. Cloud je ale dostupný všem zájemcům a objevují si první soukromí zákazníci, kteří provádějí migraci. Zájem je hlavně ze zemí jako Švýcarsko, Německo nebo Francie, kde je téma technologické suverenity nejsilnější. Služby z evropského cloudu budou poskytovat i partneři AWS jako Adobe, Deloitte, Capgemini, Nvidia, Mistral, Kyndryl, SAP, SoftwareOne, Atos a další.
Lupa oslovila Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), který AWS nedávno udělil certifikaci na bezpečnostní úroveň 2, zda jsou záruky AWS dostatečné v kontextu hrozeb vycházejících z U.S. Cloud Actu nebo FISA dostatečné. Úřad vyjádření přislíbil, ale v době uzávěrky článku ho nedodal, případně ho tedy publikujeme později.
Ředitel NÚKIBu Lukáš Kintr nicméně poskytl vyjádření do oficiální propagační komunikace AWS s tím, že vítá úsilí Amazonu o nasazení funkcí a technologií cloudu AWS pro digitální suverenitu.
“Zaměření na uchovávání zákaznického obsahu a metadat vytvořených zákazníky v EU, podporované nezávislým evropským dohledem, provozními týmy v EU a silnými bezpečnostními kontrolami, řeší některé z klíčových potřeb organizací, které vyžadují dodatečné záruky pro svá nejcitlivější data. Vzhledem k tomu, že Evropa nadále zdokonaluje svůj přístup k digitální suverenitě, budou řešení zahrnující principy zabezpečení již od návrhu a suverenity již od návrhu stále důležitější,” uvedl Kintr.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU