Хмари з європейськими принципами
2023-07-10
На світовому хмарному ринку сьогодні домінують оператори великої трійки, які походять зі Сполучених Штатів. У Європейському союзі, наприклад, ці оператори, за даними свіжого дослідження займали минулого року не менше 72%.
Продовження циклу матеріалів про Sovereign Cloud:
- Що таке «суверенна хмара» і чому це важливо
- Sovereign Cloud: безпека, конфіденційність, комплаєнс
- Ваші дані можуть більше! Як мати користь із «закритої» інформації не наражаючись на ризики
- Хмари без кордонів — мрія чи реальність?
✓ Хмари з європейськими принципами
На світовому хмарному ринку сьогодні домінують оператори великої трійки, які походять зі Сполучених Штатів. У Європейському союзі, наприклад, ці оператори, за даними свіжого дослідження (www.spiceworks.com/it-security/cyber-risk-management/articles/eu-us-data-flows/) займали минулого року не менше 72%. При цьому сумарний сегмент місцевих, європейських компаній щорічно знижується і на початку 2023 року він ледь сягав 13%. Такий стан справ не влаштовує керівництво ЄС, яке швидко перетворює законодавчу базу таким чином, щоб європейські дані оброблялися на території Європи. Як наслідок, IDC прогнозує, що вже зовсім скоро — до 2025 року, вимоги щодо безпеки та локалізації цифрових активів змусять 80% підприємств реструктурувати свої процеси управління даними.
Орієнтація на ЄС
Хоча інформація на майданчиках гіперскейлерів надійно захищена з технічної точки зору — доступ до неї може отримати влада США, згідно із Законом про хмарні технології (US CLOUD Act), що його зобов'язані виконувати американські компанії, де б вони не працювали. Цей Закон, зокрема, дозволяє федеральним правоохоронним органам вимагати від технологічних компаній надання тих чи інших даних на основі ордера, чи рішення американського суду. Такий стан справ викликає стурбованість як керівництва країн ЄС, так і самих європейських компаній. Особливо на тлі того, що сама можливість такого доступу потенційно порушує GDPR та інші загальноєвропейські юридичні норми у сфері роботи з конфіденційними даними.
Разом з тим США вкрай чутливо ставляться до питань зберігання даних про своїх громадян на закордонних майданчиках. Згадати хоча б історію з TikTok. Ця найпопулярніша соціальна мережа стала об’єктом найретельнішої перевірки з боку уряду США через побоювання, що певні структури КНР можуть отримати доступ до даних американських громадян, адже материнська компанія TikTok знаходиться у Китаї. Існували й інші приводи, наприклад, бажання контролювати те, яку інформацію поширює ця соціальна мережа (і чи не шкодить вона США). У підсумку, для збереження доступу до американського ринку, TikTok було запропоновано створити місцеву дочірню структуру та розмістити потужності локально — на майданчику одного з місцевих гіперскейлерів. За умовами, американський постачальник хмарних послуг відстежуватиме потоки даних TikTok щодо порушень безпеки або недотримання нормативних вимог, щоб мінімізувати можливість китайського впливу.
ЄС, як і багато країн на інших континентах, не хоче пасти задніх у цьому питанні та, відповідно, модернізує нормативну базу. Головний принцип усіх змін — «хмарний суверенітет» — означає, що всі дані щодо громадян Євросоюзу, не повинні залишати межі співдружності та бути доступними для іноземних держав. Цей принцип вже зараз треба враховувати й українським компаніям при плануванні подальшого розвитку. Враховуючи, що наш шлях до ЄС є безальтернативним, ми просто зобов'язані йти в ногу з Європою також й у питаннях законодавства.
Дані бувають різними
Загальні перспективи зрозумілі. Тепер питання, як реалізувати все це на практиці, особливо в рамках мультихмарної стратегії, коли компанія працює з різними типами даних, включаючи персональні, а операторські майданчики можуть знаходитись у різних країнах. Тут важливо правильно розподіляти дані за типами — обираючи для кожного свою модель зберігання та обробки. Найбільш поширена та прийнята в Європі класифікація включає три типи даних:
- Публічні — несекретні відомості для яких не потрібно дотримуватись особливих правил захисту, прописаних у законах. Це найоб'ємніша категорія.
- Конфіденційні — інформація, що дозволяє встановити особистість людини (PII), містить корпоративну інтелектуальну власність та інші дані, під захистом нормативних вимог.
- З обмеженим доступом — секретні та цілком секретні дані, які нерідко належать до розряду державної таємниці.
З першою категорією питань зазвичай найменше. Секретні відомості теж досить просто ідентифікувати — як мінімум їх так просто не розмістять у хмарі. Але, конфіденційні дані — поняття досить розмите і практично до них просто відносять усе, що у явному вигляді не належить до публічної чи секретної інформації. Тобто це також досить великий обсяг даних, зберігання та обробка яких суворо регулюється законодавством. Недотримання нормативних вимог загрожує штрафами та іншими збитками для бізнесу, особливо в ЄС, де стягнення за порушення GDPR нерідко перетворюються у мільйонні суми (не в гривнях, зрозуміло).
Найкраще з двох світів
Уникнути неприємностей й водночас отримати всі переваги сучасних технологій, можна шляхом побудови «суверенної» хмари, яка дозволить зберегти всі конфіденційні дані в межах юрисдикції вашої країни. Розгорнути таку хмару можна самостійно, але для непрофільної компанії це складний і тривалий процес.
Більш ефективний варіант — скористатися вже готовими сервісами комерційного оператора, на майданчику якого розгорнуто комплексне рішення сертифіковане відповідно до концепції VMware Sovereign Cloud Framework. У цьому випадку ви, фактично, отримуєте поєднання переваг приватної та комерційної хмар у рамках загальної платформи. Оператор Sovereign Cloud — це сертифікований партнер VMware, який пройшов всебічну атестацію з технічних та організаційних питань, пов'язаних із роботою хмари. Крім ІТ-експертів, такий оператор обов'язково має у штаті фахівців у галузі місцевого законодавства, стосовно обробки з даних.
Платформа VMware Sovereign Cloud не лише обмежує доступ до конфіденційної інформації межами місцевої юрисдикції, але й унеможливлює доступ до неї самого оператора хмарних сервісів. Дані в суверенній хмарі ізольовані від основної мережі провайдера і надійно захищені від несанкціонованого доступу відповідно до визнаних галузевих стандартів і практик безпеки. Жодні дані не зберігаються за межами країни — це стосується, зокрема, резервних копій, метаданих, облікової інформації.
Безпечна платформа допомагає отримувати нову цінність з наявної інформації без ризику порушення нормативних вимог. Крім того, висока сумісність VMware Sovereign Cloud з багатьма іншими платформами дозволяє будувати мультихмарні середовища будь-яких конфігурацій, а партнерські рішення екосистеми VMware Sovereign, надають можливість впровадження широкого спектра додаткових сервісів (аварійне відновлення даних, побудова об'єктних сховищ, захист від програм-вимагачів тощо).
Як наслідок, обираючи «суверенну» хмару, ви отримуєте надійну та продуктивну платформу, яка з одного боку дає гнучкість та зручність комерційного майданчика, але водночас забезпечує захист даних на рівні найкращих приватних хмар. І жодна конфіденційна інформація не залишає меж вашої країни, що дозволяє уникнути проблем, пов'язаних із порушенням нормативних вимог. Отже, ви спокійно можете сконцентруватися на основних завданнях вашої організації, залишаючи технічні та юридичні питання, пов'язані з обробкою даних у хмарі, профільному оператору.
Це технічний бік питання, а головне полягає в тому, що якщо ви — зараз чи в майбутньому — плануєте працювати з конфіденційними даними в Україні або тим паче в ЄС, то про побудову «суверенної» хмари необхідно замислитися вже зараз.