Після того, як завдяки Едварду Сноудену у 2013 році світ дізнався про розвідувальну програму PRISM Міноборони США, що збирала дані не лише американців, а й жителів інших країн, почали змінюватися правила цифрового обміну інформацією. Понад 145 держав тепер мають законодавство з забезпечення конфіденційності — і воно передбачає обробку всіх даних громадян в межах їхньої країни. Так виникла потреба в суверенних хмарах.

За підрахунками VMware Explore US, ринок суверенних хмар до 2025 року сягатиме $60 млрд. Компанії вже потроху обирають це рішення — дослідження VMware та IDC показує, що більше ніж 53% організацій планують посилити суверенітет своєї інфраструктури до 2028 року. Але наразі вони стикаються з такими перешкодами, як висока ціна та складність у побудові максимально захищеної системи.

Розповідаємо, чому всі хочуть мати суверенну хмару та як ця послуга скоро стане нормою.

VMware Sovereign Cloud

Однією з найбільш поширених концепцій хмарного суверенітету є система, створена компанією VMware. Провайдерам, чий продукт відповідає цій системі, надається статус VMware Sovereign Cloud Provider. Основна ідея: всі розміщені в хмарі дані оператора підлягають виключному контролю держави, де їх було зібрано, а операції з ними здійснюються за національним законодавством.

Якщо розглянути детальніше, то згідно з VMware суверенна хмара:

• захищає критично важливі дані приватних і державних організацій;
• підтримує національну економіку;
• використовує перевірені й схвалені на державному рівні засоби контролю безпеки;
• забезпечує дотримання законів про конфіденційність даних;
• покращує контроль клієнта над інформацією.

Усього компанія перевіряє провайдерів на відповідність 20 технічним вимогам і принципам, перш ніж надати статус Sovereign Cloud Provider.

Якими бувають суверенні хмари

Одного ідеального концепту суверенної хмари не існує — кожен оператор надає своє бачення цієї послуги.

Одну з найбільш вибагливих моделей суверенної хмари пропонує американський провайдер Oracle. Вона містить такі вимоги:

• Фізичне розміщення даних в межах однієї країни;
• Клієнт може контролювати, хто саме і звідки отримує доступ до його інформації;
• Технічна підтримка та обслуговування серверів має проводитися лише громадянами однієї держави;
• Хмара відповідає законодавству країни розміщення;
• Є виділене підключення сервера до мережі інтернет.

Окремо Oracle також створили суверенну хмару для потреб ЄС — завдяки їй корпорації, що працюють в межах Євросоюзу, можуть відразу отримати інфраструктуру, яка відповідає вимогам GDPR (Загального регламенту про захист даних), рекомендаціям Європейської ради захисту даних тощо.

Google Cloud немає власної окремої послуги такого типу, тож щоразу формує партнерство з місцевими телеком-компаніями, щоб створити в різних країнах суверенні хмари. Поки що система злагоджено діє в Німеччині, де місцева компанія T-Systems має окремі можливості контролю інфраструктури на платформі Google Cloud, а техпідтримка складається лише з громадян ЄС. Подібна послуга також впроваджена у Франції, Італії та Іспанії.

Microsoft запустила власну суверенну хмару Cloud for Sovereignty в липні 2022 року. Вона діє на базі понад 60 регіональних центрів обробки даних Azure, надає доступ до всіх стандартних хмарних служб Microsoft (Microsoft 365, Dynamics 365 і платформи Azure) та дозволяє керувати розміщенням своїх даних у цих сервісах та в інших розгорнутих у хмарі продуктах.

Amazon Web Services дотримуються позиції, що їхні хмари є “за замовчуванням суверенними”, а у 2022 році запустили «Зобов’язання з цифрового суверенітету», де пообіцяли “безкомпромісний контроль” за своїми клієнтами та їх відповідністю вимогам суверенності. Користувач самостійно обирає, де саме розміщуються його дані, хто має до них доступ та як відбувається їх шифрування.

Навіщо це потрібно

Регуляторні вимоги деяких сфер вимагають суверенної хмари, зокрема йдеться про державний сектор, фінансові послуги, сферу охорони здоров’я. Це ті дані, які важливо особливо захищати від зовнішнього втручання, адже йдеться про державну таємницю та іншу конфіденційну інформацію, яка є особливо вразливою до дій зловмисників.

Бізнесу в цілому необов’язково мати суверенну хмару, але це рекомендовано — так легше відповідати вимогам на зразок GDPR, робота компанії виглядає більш надійною, а клієнти не мають проблеми з захистом інформації. Це особливо зручно малому і середньому бізнесу, який не має значних ресурсів для того, щоб розібратися у всіх вимогах захисту інформації — це простіше делегувати надійному хмарному оператору.

Коли провайдер послуг наймає для роботи громадян лише цієї країни, співпрацює з локальними підрядниками, сплачує всі податки й кошти в бюджет своєї держави, він підтримує національну економіку. І з ним зручніше розраховуватися: оскільки юрособа провайдера зареєстрована в цій же країні, оплата здійснюється в одній валюті, а договір діє в одному правовому полі.