Однако это не означает, что только европейские поставщики могут предлагать суверенные облачные решения. Американские провайдеры также могут защитить данные клиентов от доступа правительства США с помощью технических мер, таких как шифрование на стороне клиента, шифрование с использованием стороннего управления ключами или конфиденциальные вычисления. В случае безопасной реализации американский провайдер сможет раскрывать данные только в зашифрованном виде. Кроме того, законодательство США позволяет поставщикам облачных услуг оспаривать производственные заказы при определенных обстоятельствах, в том числе из соображений вежливости. Смогут ли такие меры снизить риск доступа иностранных правительств до приемлемого уровня, зависит от характера данных и конкретного варианта использования.
Хоскен: В Broadcom мы наблюдаем растущий интерес клиентов к созданию независимых облаков по всей Европе. Что движет этим спросом?
Михелс: Я рассматриваю регулирование как один из основных стимулов для европейских клиентов, стремящихся защитить свои облачные данные. Особенно это касается GDPR, учитывая высокий уровень потенциальных штрафов. Следует признать, что ЕС и США добились прогресса в международной передаче данных и в повышении уровня защиты европейских персональных данных, в том числе посредством Рамочной программы конфиденциальности данных ЕС-США. Тем не менее, сохраняется определенная юридическая неопределенность относительно того, смогут ли американские провайдеры обеспечить соответствующий уровень безопасности и предложить достаточные гарантии соблюдения требований, выступая в качестве обработчиков европейских персональных данных. Примером этой неопределенности являются принудительные действия Европейского инспектора по защите данных в отношении использования Комиссией ЕС Microsoft 365. Во Франции CNIL (Национальная комиссия по информатике и свободе) также неоднократно выражала обеспокоенность по поводу использования американских облачных провайдеров.
Эта проблема особенно касается данных так называемых особых категорий, например, данных, касающихся здоровья и этнической принадлежности, на которые распространяются строгие правила GDPR.
В некоторых государствах-членах также действуют внутренние юридические требования к суверенному облаку, которые применяются на национальном уровне. Обычно они применяются к государственному сектору и операторам критически важной инфраструктуры, как, например, во французской схеме SecNumCloud. Тем не менее, регулирование – не единственный движущий фактор. Многие клиенты также стремятся защитить коммерческую информацию и коммерческую тайну от доступа иностранных правительств.
Хоскен: Будут ли европейские организации переносить все свои данные в суверенные облака или есть смысл использовать мультиоблако?
Михелс: Европейские клиенты продолжат использовать традиционные облачные сервисы американских гиперскейлеров. Но многим организациям также необходимо более стратегически думать о том, какие данные принадлежат какой ИТ-среде. Различные среды подходят для разных рабочих нагрузок в зависимости от технических требований и требований безопасности, стоимости и соответствия нормативным требованиям. Например, некоторые рабочие нагрузки выигрывают от масштабируемости и функциональности, предлагаемых американскими гиперскейлерами, в то время как другие, более конфиденциальные данные требуют дополнительной защиты. Таким образом, для некоторых клиентов существуют веские аргументы в пользу развертывания облака, сочетающего традиционное гипермасштабируемое облако с независимыми облачными решениями.
