Bő egy hete jelentette be az Amazon az European Sovereign Cloud szolgáltatását. A lépés felfrissítette a vitát az adatszuverenitásról, ami az Európai Bizottság 2020-ban meghirdetett technológiai programjának is központi eleme. A von der Leyen-bizottság koncepciójára válaszul a nagy amerikai hyperscale-ek, amelyek együttesen az EU felhős piacának meghatározó részét tartják a kezükben, az uniós előírásokra szabott adatközpontokat hoztak létre európai helyszíneken, európai személyzettel, EU-kompatibilis compliance-szel…

A Microsoft 2023 elején élesítette az EU Data Boundaryt, fél évvel később követte az Oracle az EU Sovereign Clouddal, és ugyanezzel a névvel nem sokkal később az Amazon is elkezdte az EU-ra szabott felhőjének fejlesztését, melynek indulását azonban csak tavaly nyáron véglegesítette.

Ha kis késéssel is, de a tervet sikerült tartani. Csakhogy az ünneplésbe belerontott a héten zajló davosi Világgazdasági Fórumon felszólaló kanadai miniszterelnök. Mark Carney beszéde a globalizáció szimbólumának tekinthető technológiai ipart is különös fénytörésbe helyezte. (Azóta is a kanadai főpolitikust idézi boldog-boldogtalan, ahogy most mi is.) "Az elmúlt két évtizedben a pénzügyi, egészségügyi, energetikai és geopolitikai válságok sorozata nyilvánvalóvá tette a szélsőséges globális integráció kockázatait. Az utóbbi időben azonban a nagyhatalmak elkezdték fegyverként használni a gazdasági integrációt…" – mondta Carney.

És valóban: az általa kitűzött nézőpont felől igencsak felemás az AWS EU Sovereign Cloud, melynek első adatközpontja Brandenburgban épült fel. (Az Amazon 2040-ig továbbiak építését tervezi közel 8 milliárd dollár értékben Portugáliában és Belgiumban.) Az adatközpont, amely az Amazon ígérete szerint "fizikailag és logikailag elkülönül" az AWS többi nyilvános felhőrégiójától, jelenleg 90 AWS szolgáltatáshoz biztosít hozzáférést.

Nem csak Mark Carney látja a kockázatokat

Ilyen módon a brandenburgi adatközpont javítja a EU-s megfelelőséggel kapcsolatos kontrollt, ám elemzők szerint egy sor kulcskérdésre továbbra sem ad választ. Véleményük úgy összegezhető, hogy az EU Sovereign Cloud segít abban, hogy az azt használó ügyfelek megfeleljenek az EU-s compliance-előírásoknak, ám az amerikai tulajdonlás miatt erősen kérdéses, hogy a gyakorlatban megvalósul-e, egyáltalán megvalósulhat-e a szuverenitás.

Az Amazon mindenesetre igyekezett hitelesíteni az "igen" választ. Az európai szolgáltatás egy erre a célra alapított és Németországban bejegyzett jogi entitás alá tartozik. Az új cég vezetői kizárólag EU-s állampolgárok, akik az EU-s törvényeknek megfelelő irányítási struktúrában dolgoznak. Az Amazon állítása szerint a szolgáltatásnak nincsenek kritikus függőségei EU-n kívüli infrastruktúrától, és akkor is működőképes marad, ha megszakad a világ többi részével való kommunikációja.

Ám a német jogi entitás tulajdonosa az amerikai Amazon, és ez kockázatokat hordoz, nyilatkozta a Computerworld amerikai kiadásának Rene Buest, a Gartner vezető elemzője. Egyrészt a 2018-as amerikai Cloud Act értelmében az amerikai hatóságok kötelezhetik az AWS-t arra, hogy adjon át számukra Európában tárolt ügyféladatokat. Másrészt egyre nagyobb a kockázata, hogy valamilyen amerikai kormányzati szankció miatt az AWS még akkor is kénytelen lesz blokkolni bizonyos vállalatok hozzáférését, ha azok Európában működnek, és ott tartják az adataikat is. Utóbbira volt is már példa. Washington szankciói miatt még a hágai Nemzetközi Büntetőbíróság főügyészét is kizárták a Microsoft egyes szolgáltatásaiból, Karim Ahmad Khan a mailjeihez sem fért hozzá.

Hiába alapított tehát az AWS egy független német céget, az továbbra sem tiszta, hogy azzal a gyakorlatban milyen védelmet nyújt. Mi történne például akkor, ha az anyavállalat amerikai hatósági nyomásra bizonyos intézkedések megtételére kérné a német leányvállalatát?

Európai partnercégekkel megoldható?

Egyes hyperscale szolgáltatók éppen ezért léptek tovább a szuverén adatközpontoknál: független európai partnercégeken keresztül teszik elérhetővé a technológiáikat. Többek között a Google-nek és a Microsoftnak is van olyan EU-s partnere, amelyre még közvetve sem érvényesíthető az amerikai Cloud Act. A Computerworldnek nyilatkozó elemzők szerint ez sem biztosít technológiai függetlenséget, de legalább nagyobb operatív szuverenitást garantál, mint az AWS European Sovereign Cloud.

Végső soron persze az ügyfél dönt. A legtöbben valószínűsíthetően olyan stratégiákat választanak, amely többféle szuverenitási szintet tartalmaz az adataik érzékenységének megfelelően. És ebben az AWS szuverén felhőjének is van helye.