Wat betekenen de nieuwe mogelijkheden van Microsoft Sovereign Cloud voor de Nederlandse publieke sector

Wat kan er vandaag al in Azure

Alvorens in te gaan op de recente aankondigingen is het goed om even stil te staan bij hetgeen Microsoft al te bieden heeft op het gebied van soevereiniteit voor haar Europese klanten. Microsoft biedt de mogelijkheid om data op te slaan in de Europese ruimte en er zijn op Azure al allerhande mogelijkheden om grip te houden op de dataverwerking, zoals het gebruiken van je eigen encryptiesleutels (Bring Your Own Key), confidentiële computing en een logboek (voor zover overeengekomen met Microsoft), zodat duidelijk is wie van Microsoft er toegang heeft gehad tot jouw omgeving. Daarnaast zijn er verschillende strategieën mogelijk om de mate van grip te vergroten/ afhankelijkheid van specifieke diensten te verlagen, zoals het gebruik van open source componenten (denk aan OpenShift, MongoDB en Terraform) en open standaarden om de portabiliteit van het applicatielandschap te vergroten. Ook is het mogelijk om gebruik te maken van hybrid cloud waarbij je minder afhankelijk bent van één leverancier, maar bijvoorbeeld de load voor kritieke componenten verdeeld over Azure Public Cloud en een omgeving die je zelf beheert of door een andere partij laat beheren. Microsoft biedt hiervoor al Azure Local waarmee je een gelimiteerde set van basis infrastructuur services lokaal kunt draaien.

Meer controle binnen Azure public cloud

Terug naar de aankondigingen van Satya Nadella. Nieuwe functionaliteiten in het Sovereign Public Cloud-aanbod zijn Data Guardian en External Key Management. Data Guardian moet ervoor zorg dragen dat alle toegang tot systemen die data opslaan of verwerken in Europa voortaan live wordt gemonitord door Europese medewerkers van Microsoft en dat toegang door medewerkers buiten Europa realtime moet worden goedgekeurd en dit ook wordt gelogd in een logboek dat klanten kunnen inzien. External Key Management is een uitbreiding van de reeds bestaande mogelijkheden om je eigen encryptiesleutels mee te brengen. Omdat het nog steeds gaat om een Public Cloud oplossing die draait op infrastructuur onder controle van Microsoft, blijft hier een zeker risico aanwezig dat onder druk van de Amerikaanse overheid de toegang wordt geblokkeerd of dat er – mogelijk in de verdere toekomst ook middels quantum computing – ongewenste toegang wordt verkregen tot data. Hoe reëel deze kans is, blijft speculatie.

Microsoft 365 lokaal draaien

De belangrijkste aankondiging voor Nederland op korte termijn, in het bijzonder voor overheden, is de introductie van Sovereign Private Cloud met daarbinnen Microsoft 365 Local. Hiermee zou het mogelijk worden om ook Microsoft 365 (inclusief Exchange en SharePoint) volledig los van de public cloud binnen een eigen datacenter te kunnen draaien, op infrastructuur van een partij gevestigd in Nederland. Dit laatste draagt in hoge mate bij aan het verlagen van het risico van invloed van de Amerikaanse overheid omdat een Nederlandse partij niet naar de pijpen van het Witte Huis hoeft te dansen en gehouden is aan de Nederlandse wet- en regelgeving. In combinatie met andere strategieën zoals eerder beschreven, lijkt dit een pragmatische optie voor veel overheden. Het is nog onduidelijk hoe een en ander in de praktijk gaat werken, bijvoorbeeld op het gebied van authenticatie en autorisatie en hoe eenvoudig je kunt schakelen tussen Office 365 omgevingen (bijvoorbeeld voor samenwerking tussen organisaties) en bijvoorbeeld de integratie met Microsoft CoPilot.

Een aandachtspunt is het beheer dat deze omgevingen zal vragen. Denk aan kennis en kunde over Microsoft 365 (ook tot op zekere hoogte onder de motorkap), het inrichten van alle bijbehorende servicemanagementprocessen; het inrichten van de informatiebeveiliging en de interactie tussen Microsoft – die leverancier blijft van de software – en zaken als updates en doorvoeren van (kritieke) securitypatches. En voor het geval het echt zover mocht komen dat de druk op Microsoft zo hoog wordt dat er bijvoorbeeld geen nieuwe software meer uitgeleverd mag worden richting (een deel) van Nederland; is het zaak om een actueel en getest exit plan klaar te hebben liggen dat onder meer voorziet in data portabiliteit van alle relevante data (inclusief e-mails, agenda’s, et cetera). Dit vereist een goed doordachte strategie rond het gebruik van open dataformaten die al dan niet parallel aan de proprietary formaten binnen het Microsoft ecosysteem worden ingezet. En er zal ook nagedacht moeten worden of er al parallel wordt opgeslagen (met bijkomende kosten voor dubbele opslag) of dat kan worden volstaan met het klaar hebben staan van een conversieproces dat bijvoorbeeld automatisch alle data oppakt en converteert. En dat moet je tevoren wel uitproberen en doorrekenen hoe lang dat gaat duren, et cetera.

Nationale cloud voor Nederland

Tot slot werd de mogelijkheid van nationale cloudoplossingen via het partnerschapsprogramma van Microsoft toegelicht. Het Nederlandse Inspark (een dochter van KPN) wordt genoemd als een van de preview partners.

In de huidige geopolitieke context en met de groeiende nadruk op digitale soevereiniteit, is het voor de Nederlandse publieke sector van belang om een doordachte en strategische aanpak te hanteren voor hun informatiehuishouding. Publieke organisaties zullen een zorgvuldige afweging moeten maken binnen welke omgeving ze bepaalde toepassingen willen hosten en hoe ze ervoor zorgdragen dat deze toepassingen met de bijbehorende data ook daadwerkelijk voorzien in het benodigde niveau van soevereiniteit.

Door: Erik Vermeulen, EY Associate Partner Technology Strategy & Transformation, en Anna van den Breemer (foto), EY Partner Technology Strategy & Transformation Public Sector