После того как благодаря Эдварду Сноудену в 2013 году мир узнал о разведывательной программе PRISM Минобороны США, которая собирала данные не только американцев, но и жителей других стран, начали меняться правила цифрового обмена информацией. Более 145 государств теперь имеют законодательство по обеспечению конфиденциальности — и оно предусматривает обработку всех данных граждан в пределах их страны. Так возникла потребность в суверенных облаках.

По подсчетам VMware Explore US, рынок суверенных облаков к 2025 году достигнет $60 млрд. Компании уже понемногу выбирают это решение — исследование VMware и IDC показывает, что более 53% организаций планируют усилить суверенитет своей инфраструктуры до 2028 года. Но пока что они сталкиваются с такими препятствиями, как высокая цена и сложность в построении максимально защищенной системы.

Рассказываем, почему все хотят иметь суверенное облако и как эта услуга скоро станет нормой.

VMware Sovereign Cloud

Одной из наиболее распространенных концепций облачного суверенитета является система, созданная компанией VMware. Провайдерам, чей продукт соответствует этой системе, предоставляется статус VMware Sovereign Cloud Provider. Основная идея: все размещенные в облаке данные оператора подлежат исключительному контролю государства, где они были собраны, а операции с ними осуществляются согласно с национальным законодательством.

Если рассмотреть подробнее, то согласно VMware суверенное облако:

• защищает критически важные данные частных и государственных организаций;
• поддерживает национальную экономику;
• использует проверенные и одобренные на государственном уровне средства контроля безопасности;
• обеспечивает соблюдение законов о конфиденциальности данных;
• улучшает контроль клиента над информацией.

Всего компания проверяет провайдеров на соответствие 20 техническим требованиям и принципам, прежде чем предоставить статус Sovereign Cloud Provider.

Какими бывают суверенные облака

Одного идеального концепта суверенного облака не существует — каждый оператор предоставляет свое видение этой услуги.

Одну из самых требовательных моделей суверенного облака предлагает американский провайдер Oracle. Она содержит следующие требования:

• Физическое размещение данных в пределах одной страны;
• Клиент может контролировать, кто именно и откуда получает доступ к его информации;
• Техническая поддержка и обслуживание серверов должно производиться только гражданами одного государства;
• Облако соответствует законодательству страны размещения;
• Есть выделенное подключение сервера к сети интернет.

Отдельно Oracle также создали суверенное облако для потребностей ЕС — благодаря ему корпорации, работающие в пределах Евросоюза, могут сразу получить инфраструктуру, которая соответствует требованиям GDPR (Общего регламента о защите данных), рекомендациям Европейского совета по защите данных и т.д.

Google Cloud не имеет собственной отдельной услуги такого типа, поэтому каждый раз формирует партнерство с местными телеком-компаниями, чтобы создать в разных странах суверенные облака. Пока система слаженно действует в Германии, где местная компания T-Systems имеет отдельные возможности контроля инфраструктуры на платформе Google Cloud, а техподдержка состоит только из граждан ЕС. Подобная услуга также внедрена во Франции, Италии и Испании.

Microsoft запустила собственное суверенное облако Cloud for Sovereignty в июле 2022 года. Оно действует на базе более 60 региональных центров обработки данных Azure, предоставляет доступ ко всем стандартным облачным службам Microsoft (Microsoft 365, Dynamics 365 и платформы Azure) и позволяет управлять размещением своих данных в этих сервисах и в других развернутых в облаке продуктах.

Amazon Web Services придерживаются позиции, что их облака являются "по умолчанию суверенными", а в 2022 году запустили «Обязательства по цифровому суверенитету», где пообещали "бескомпромиссный контроль" за своими клиентами и их соответствием требованиям суверенности. Пользователь самостоятельно выбирает, где именно размещаются его данные, кто имеет к ним доступ и как происходит их шифрование.

Зачем это нужно

Регуляторные требования некоторых сфер требуют суверенного облака, в частности речь идет о государственном секторе, финансовых услугах, сфере здравоохранения. Это те данные, которые важно особенно защищать от внешнего вмешательства, ведь речь идет о государственной тайне и другой конфиденциальной информации, которая особенно уязвима к действиям злоумышленников.

Бизнесу в целом необязательно иметь суверенное облако, но это рекомендуется — так легче соответствовать требованиям вроде GDPR, работа компании выглядит более надежной, а клиенты не имеют проблемы с защитой информации. Это особенно удобно малому и среднему бизнесу, который не имеет значительных ресурсов для того, чтобы разобраться во всех требованиях защиты информации — их проще делегировать надежному облачному оператору.

Когда провайдер услуг нанимает для работы граждан только этой страны, сотрудничает с локальными подрядчиками, платит все налоги и средства в бюджет своего государства, он поддерживает национальную экономику. И с ним удобнее рассчитываться: поскольку юрлицо провайдера зарегистрировано в этой же стране, оплата осуществляется в одной валюте, а договор действует в одном правовом поле.