Gevoelige data naar de cloud brengen? Met sovereign cloud doe je dit veilig

Blog

Gevoelige data naar de cloud brengen? Met sovereign cloud doe je dit veilig

Schaalbaarheid, kostenbesparing en verbeterde samenwerking: de voordelen van de public cloud zijn welbekend. Maar de zorgen over dataveiligheid en de privacy van gegevens in de cloud blijven bestaan, vooral omdat (EU) regelgeving zoals de GDPR, Privacy Shield, Schrems II en NIST de complexiteit en de uitdagingen verhogen. Tel daar de Amerikaanse CLOUD Act bij op die leidt tot bezorgdheid over de privacy en veiligheid van gegevens voor EU-burgers. Hoe houd je je gevoelige data veilig en buiten het zicht van de Amerikaanse overheid?

De CLOUD Act en de impact op jouw gevoelige data

Standaard bieden public cloud providers oplossingen zoals datalokalisatie, encryptie, identiteits- en toegangsbeheer, gegevenssegmentatie en maatregelen voor gegevensverlies waarmee wordt voldaan aan de verschillende Europese regelgevingen. Grote hyperscalers, zoals AWS, Google, en Microsoft moeten ook voldoen aan de USA CLOUD Act. En dat is precies waar de schoen wringt. De CLOUD Act, oftewel de Clarifying Lawful Overseas Use of Data Act, is door de Amerikaanse overheid in het leven geroepen om makkelijker toegang te krijgen tot gegevens die zijn opgeslagen bij deze providers, ook in het buitenland. Concreet betekent dit dat wanneer zij gegevens hebben opgeslagen in een datacentrum in Europa, de Amerikaanse autoriteiten deze gegevens kunnen opvragen zonder tussenkomst van de Europese regering in kwestie.

Confidential compute

Door het gebruik van AWS, Google Cloud en Azure is de kans aanwezig dat ook jouw gevoelige data wordt opgevraagd door de Amerikaanse overheid. Gelukkig zijn data in transit en data in opslag versleuteld, waardoor deze niet in te zien zijn. Je loopt op één specifiek moment in dataverwerking nog risico: het moment dat een server data verwerkt. Op dat moment is deze data in use niet versleuteld. Om ook de data in use te beveiligen, is een specifieke oplossing ontwikkeld die door de hyperscalers omarmd wordt: confidential compute. Hierdoor heeft een (Amerikaanse) public cloud provider op geen enkel moment meer toegang tot onversleutelde data die uitgeleverd kan worden aan de Amerikaanse autoriteiten.

De sovereign cloud zorgt voor veilige dataopslag

Confidential compute is geïntegreerd in de sovereign cloud, een cloudinfrastructuur die een veilige omgeving voor gegevensopslag en verwerking biedt in de publieke cloud. Met een sovereign cloud heeft de gebruiker van de cloud volledige controle over de data. Deze bepaalt wie er toegang heeft tot de gegevens, waar deze worden opgeslagen en hoe deze worden verwerkt. Hierdoor wordt het risico op datalekken en de inbreuk op de privacy van de gegevens sterk verminderd. De sovereign cloud laat je voldoen aan de verschillende wet- en regelgevingen, terwijl je tegelijkertijd de volledige controle houdt over de gegevens in de cloud. Kortom, door te kiezen voor een sovereign cloud met confidential compute profiteren organisaties van de voordelen van de cloud, zonder concessies te doen aan dataveiligheid en -privacy én wordt data uit handen van derden (lees: de Amerikaanse autoriteiten) gehouden.

Soevereine regelgeving

GDPR

De GDPR stelt strenge eisen aan de verwerking en overdracht van persoonsgegevens van EU-burgers. Organisaties moeten zorgen dat gegevens in overeenstemming met de regelgeving verwerkt en opgeslagen worden. Van belang is bijvoorbeeld datalokalisatie, waardoor gegevens binnen de EU worden opgeslagen en het risico op datalekken wordt geminimaliseerd.

Privacy Shield en Schrems II

Het Privacy Shield is een kader voor de doorgifte van persoonsgegevens van de EU naar de VS. Het Schrems II-arrest heeft het Privacy Shield-kader echter ongeldig verklaard, omdat het stelt dat de VS geen passend beschermingsniveau voor persoonsgegevens biedt.

NIST-richtlijnen

Het National Institute of Standards and Technology (NIST) biedt richtlijnen voor de beveiliging van cloud computing en privacy. Het vraagt om de integratie van beveiligings- en nalevingsmaatregelen, zoals identiteits- en toegangsbeheer, encryptie, gegevenssegmentatie en maatregelen ter voorkoming van gegevensverlies.

DORA

Het DevOps Research and Assessment (DORA) model is een raamwerk voor het beoordelen van de prestaties van software delivery- en beheerteams. DORA vraagt om een gestandaardiseerd en schaalbaar platform voor softwareontwikkeling en -implementatie.

ISO27K

ISO/IEC 27001 is een norm voor beheersystemen voor informatiebeveiliging (ISMS) dat een kader biedt voor het beheer en de bescherming van gevoelige informatie.

Blijf up to date! Meld je aan voor onze nieuwsbrief.
Blijf up to date! Meld je aan voor onze nieuwsbrief.