Af Jakob Leander, Technology & Consulting Director, Devoteam Cloud
Virksomheder i det offentlige samt brancher som finans og medico har været tøvende med at udnytte mulighederne i cloud. Bekymringerne går på datasikkerhed og compliance, men nu kommer Microsoft med en løsning, der målrettet adresserer disse bekymringer.
Cloud bringer en række fordele med sig, f.eks. innovation, agilitet, skalerbarhed og lavere omkostninger. Samtidig er der imidlertid også uafklarede spørgsmål mht. sikkerhed og compliance. Det har holdt en del europæiske virksomheder tilbage, specielt inden for det offentlige samt brancher med en høj grad af regulering som finans og medico.
Nu har Microsoft introduceret Microsoft Cloud for Sovereignty (MCfS), der er udviklet specielt til at fjerne disse tvivl og sikre en uangribelig anvendelse af Microsoft Azure sky-tjenester.
Der er især tre problemstillinger, der har skilt sig ud, og som MCfS løser.
1. Sikker opbevaring inden for EU’s grænser
Data skal generelt holdes inden for EU, og ved overførsel til andre lande er der strenge regler for anvendelsen. Det var et af de grundlæggende rationaler for GDPR. Alligevel har der i de senere år været over 100 officielle klager, hvor nationale myndigheder har konstateret, at data i strid med gældende regler er blevet overført til amerikanske virksomheder som Google og Facebook.
MCfS har derfor etableret “EU Data Boundary” med EU-baserede datacentre og specifikke retningslinjer for, hvornår og hvordan kundedata må overføres til enheder uden for EU eller EFTA. EU Data Boundary gælder for Azure, Dynamics 365, Power Platform og Microsoft 365.
2. Data kan overføres til tredjelande
Den næste bekymring har været amerikanske cloud-virksomheders pligt til at udlevere data til statslige instanser. Således giver loven U.S. Cloud Act amerikanske myndigheder lov til at tilgå nationale IT-virksomheders kundedata, også når de er opbevaret i EU.
MCfS har derfor udviklet “Confidential Computing,” hvor EU-virksomheders data er krypteret på tre niveauer ved brug af særlige hardware moduler. Det betyder, at når kryptering slås til, kan ingen andre end virksomheden selv læse disse data, hverken Microsoft driftsfolk eller en tredjepart, der med lovhjemmel måtte få disse data udleveret.
3. Tilpasset national lovgivning
Den tredje problemstilling handler om landespecifik lovgivning, der kan udfordre virksomheder, der bruger cloud. Hvis f.eks. det danske Datatilsyn udstikker retningslinjer, der påvirker brug af en given cloud-tjeneste, kan danske virksomheder have et problem.
Microsoft har håndteret dette dilemma med “EU & Country Compliance Packs.” Det er lokale management-pakker, der tilpasser struktur og politikker til den lokale lovgivning. Hvis et EU-land introducerer ny lovgivning, kan Microsoft lancere et lokalt patch, således at de nationale virksomheder fortsat lever op til reglerne.
MCfS sikrer i praksis overholdelse af de tre problemstillinger gennem en udvidelse til Microsofts Cloud Adoption Framework (CAF) i form af en arkitektur reference for en Sovereign Landing Zone. Det er en særlig version af den regulære Azure Landing Zone med ekstra sikkerhedsforanstaltninger og compliance-politikker.
I en Sovereign Landing Zone er det ikke muligt at bygge løsninger, der overtræder de gældende regler, og der medfølger dashboards og rapporter til at bevise compliance af alle løsningerne.
Undersøg mulighederne
Samtidig skal det også understreges, at ikke alle services endnu er understøttet i en Sovereign Landing Zone. I dag er hovedfokus på virtuelle maskiner og containere samt visse databaser, men flere services er på vej.
Ordningen adresserer allerede de mest oplagte bekymringer, men databeskyttelse i EU er en yderst kompleks affære. Det må i sidste ende komme an på den enkelte virksomheds sikkerhedsforhold og risikoappetit vejet op imod de fordele, man forventer at kunne opnå.
Hvis man har personfølsomme data i cloud eller ønsker at få det, anbefaler vi at undersøge mulighederne med MCfS. For mange forventes de helt at løse compliance problemer eller som minimum kan forbedre compliance væsentligt, af de løsninger man allerede har.
Devoteam er som en europæisk konsulentvirksomhed stærkt engageret i problemstillingerne vedr. datasikkerhed i EU. Vi har et indgående kendskab til MCfS, og har bl.a. mødtes med Microsofts CEO Satya Nadella for at drøfte muligheder og perspektiver.
Vi hjælper dig med at blive klogere på MCfS
Hvis du vil vide mere om komplet sikkerhed i skyen og muligheder med Microsoft Cloud for Sovereignty, er du velkommen til at kontakte Jakob Leander på jakob.leander@devoteam.com.