Анализи

Европейската облачна инициатива GAIA-X

CIO Media

Дан Суинхо, CSO, САЩ
Нова облачна платформа, основана на "европейските ценности" за суверенитет, защита и поверителност на данните, ще бъде алтернативата на AWS и Azure


Европа няма силно присъствие в пространството на облачните изчисления. Същевременно зависимостта на Стария континент от американските и китайските гиганти в сферата, комбинирана с търговската война между Изтока и Запада и със страховете на правителствата за достъпа до данните извън техните собствени граници, поставя ЕС в неудобна позиция.

За да преодолее тази зависимост, нова облачна инициатива от Франция и Германия, наречена GAIA-X, се опитва да помогне на европейски технологични компании да се конкурират с утвърдените играчи и да предложи на европейските CIO-та и CISO-та "създаден в Европа" облак, който гарантира преносимост и поверителност, защитени от чуждестранни правителства.

Какво е GAIA-X?

Обявен първоначално през октомври 2019 г., проектът GAIA-X предоставя облачна платформа, която съвпада с "европейските ценности" по въпроси като суверенитета, защитата и отвореността на данните. Той е замислен като конкурент на доставчици на облачни услуги като Microsoft Azure или Amazon Web Services (AWS).

Вместо да създава конкурент и да изгражда инфраструктура от нулата, целта на GAIA-X е да бъде отчасти пазар, отчасти стандарт и отчасти сертификационен орган. Платформата ще предлага каталог от услуги на съществуващи европейски търговци, адаптирани и сертифицирани спрямо изискванията, които клиентът след това договаря с индивидуалния търговец. Планира се това да стане чрез серия от обединени услуги и чрез осъществяване на съответствие на участващата мрежа, доставчиците на свързаност, както и доставчиците на услуги, с изискванията на GAIA-X.

Компаниите, които участват в проекта, включват Atos, Bosch, BMW, Deutsche Telekom, EDF, Orange, OVHcloud, SAP и Siemens. Приложението, описано досега на сайта, се фокусира главно върху промишлеността, здравеопазването, финансите и обществения сектор, като например наблюдение на състояние, периферни центрове за данни и съхранение, споделяне на медицински данни. Доказването на концепцията и алфа-версия се очакват по-късно през 2021 г.

Френската телекомуникационна компания Orange е сред групата европейски доставчици, които отначало се присъединяват към инициативата за GAIA-X. Според Седрик Прево, директор на надеждни облачни решения в Orange, компанията приема GAIA-X като възможност за създаване на европейско пространство, в чийто център стоят суверенитетът и прозрачността на данните. Също така проектът ще помогне да се изгради солидна основа за доверие в Европа и да се използват регулациите за защита на данните като GDPR с цел предоставяне на най-добрата инфраструктура и услуги за данни за Европа.

"GAIA-X не е замислена да бъде по-добра от сегашните основни играчи в облака", казва Прево. Той отбелязва още, че съществуващите предложения за публичен облак на Orange като Flexible Engine или Flexible Computing Advanced ще бъдат достъпни в екосистемата GAIA-X и е въпрос главно на интегриране на тези надеждни услуги в рамката за оперативна съвместимост на GAIA-X.

Дали GAIA-X ще спечели CIO и CISO специалистите?

Forrester съобщава, че до 80% от облачните процеси в Европа вече са при поне един от главните облачни доставчици. Същевременно само 12% от европейските предприятия избират доставчик на публичен облак, базиран в Европа, което поставя въпроса защо е необходим друг доставчик.

Суверенитетът на данните в облака не е нов проблем и за много компании не е най-належащият. Техническите възможности на платформата едва ли ще са определящи, особено за клиенти от Великобритания, смята Пол Маккей, старши анализатор на екипа по сигурност и рискове на Forrester, "Проектът е насочен към компаниите с централи в Европа, допълва той. Не бих го разглеждал като привлекателен за компании, които имат дейности в Европа, но централите им са на друго място."

Част от предложението за GAIA-X има политическо значение. Зависимостта на Европа от американските Azure, AWS и Google Cloud, както и от китайския доставчик Alibaba, вреди на европейските вендори и политиците се тревожат заради постоянните търговски спорове. Това в комбинация с обширната регулация, идваща от САЩ и Китай във връзка с достъпа до данни извън техните граници, може да накара някои европейски CIO и CISO директори да търсят друга работеща опция.

"Ясно е, че поради важността на сигурността нивото на защитата, която се предлага от основните доставчици на облачни услуги, се счита за достатъчно добро от повечето клиенти", коментира Маккей. "Но в някои държави, сред които Франция и Германия, все още съществуват достатъчно съмнения за нивото на прозрачност и отвореност при големите играчи, така че те виждат необходимост да се създаде този вид предложение. Ако погледнете вида на приложенията, към които според тях проектът е насочен, Европа вероятно има разумни основания да претендира за лидерска позиция."

По думите на Маккей GAIA-X представлява интерес за организации, които търсят повече прозрачност по отношение на суверенитета на данните, както и на мястото, където се намира и се обработва информацията от големите доставчици на облачни услуги. Това е особено важно за приложенията при архивиране, възстановяване и обработка на чувствителни данни, за които организациите трябва да знаят къде се намират във всеки момент. "За да е конкурент на големите играчи [GAIA-X], трябва да се насочи към области, където може да предостави уникална стойност, и това идва от знанията за конкретната сфера в специфичните за отраслите приложения, казва той. Ако проектът е в състояние да предложи набор от решения, които се справят с проблеми при определени сфери, то мога да го видя като алтернатива за онези чувствителни работни задачи, които клиентите не желаят да дават на съществуващия пазар."

Като член на панела на основателите на GAIA-X говорителят на Siemens Яшар Азад казва, че интересът на неговата компания в проекта е да помогне за разрастването на европейските екосистеми от данни. Той допълва, че "буквално всеки случай на употреба, който разчита на генериране на познания от промишлени данни", е потенциален кандидат за употреба на GAIA-X.

Но когато става дума за сигурност, той казва, че Siemens не участва и никакви по-нататъшни детайли относно сигурността на GAIA-X все още не могат да бъдат съобщени с достатъчна достоверност отчасти поради GAIA-X Association, която трябва да вземе обвързващи решения за дизайна и тепърва да започне да работи. "Ние вярваме, че GAIA-X и главните играчи в облака ще (продължат) да предприемат разширени мерки, за да гарантират киберсигурността. Моля, обърнете внимание, че стойностното предложение на GAIA-X в по-малка степен е свързано с осигуряването на по-добра киберсигурност и в по-голяма степен е свързано с даване на потребителите на по-добър контрол върху техните данни."

Какво трябва да знаят директорите по информационна сигурност за GAIA-X?

Призивът на GAIA-X за сигурност до голяма степен се отнася за запазване на "европейски ценности", свързани със суверенитета в основата на екосистемата. Това се прави чрез "правила за политики", които всички компании трябва да спазват като част от GAIA-X. Те включват договорни условия, които трябва да позволяват обратимост без ограничения и точни описанията на услугите на доставчиците относно неща като местоположения на центрове за данни, съвместимост с GDPR или извънтериториални регулации като US CLOUD Act.

Прево обяснява, че тъй като е децентрализирана екосистема, GAIA-X ще предлага три общи услуги: обединена идентичност, за да се гарантира, че използването на множеството доставчици остава удобно за потребителя; каталог от доставчици и техните услуги, за да се даде възможност на клиентите да намират услуги; и рамка за съответствие, за да се гарантира, че всички играят по правилата в екосистемата. "Подробности за възможностите на сигурността на обединените услуги на GAIA-X, като идентичност все още са до голяма степен в процес на разработване. Ето защо все още не са напълно описани, но това определено ще стане."

От това, което знаем, обединената идентичност и механизмите за довереност ще позволят на потребителите бързо да поставят своите определени изисквания за сигурност и суверенност сред всички услуги на GAIA-X, които даден потребител използва. Той ще решава къде да се съхраняват данните, къде им е позволено да отиват и кой има право на достъп до тях. Освен това клиентите ще могат да местят данни между различни доставчици на GAIA-X.

Макар че някои от обещанията на проекта относно разрешението за местене на данните и прозрачността може да се окажат полезен принос за пазара, Маккей се съмнява дали има достатъчно диференциация, която да привлече директорите по информационните технологии и информационната сигурност. "Не съм видял никакво доказателство, за да предположа, че ще се направи голям пробив в европейския пазар извън проблемите със суверенитета и сигурността на данните. Трябва да се постигне убедителна бизнес стойност, която да накара информационните директори да го вземат на сериозно."

Основен проблем, свързан с GAIA-X, е липсата на подробности за начина, по който проектът ще работи на практика, както по отношение на сигурността, така и като цяло. "Все още има само бели книги, казва Маккей. Нищо от това още не е добило физическо измерение. Това е проблемът." Според него много скоро трябва да стартира инициативата, за да може в крайна сметка да се реализира.

Експертът иска да види повече яснота относно схемата за сертифициране European Cloud Security, която ще позволи на GAIA-X да работи с ENISA, за да се създаде общ набор от гаранции за потребителите, за да видят кои услуги могат да предложат сигурност, прозрачност, отвореност и регулаторни гаранции, необходими за конкретни данни и работни задачи. "Частицата, която липсва от всичко това, е какъв е този точен набор от изисквания за сигурността, цели за контрола и така нататък."

Вероятно ще има проблеми относно очакването облачните доставчици да демонстрират предварително (ex-ante) съответствие (тоест може да се докаже съвместимост с правилата преди нарушаването им), след като се дефинират изискванията за сигурност на GAIA-X. "Това означава, че доставчиците на облачни услуги ще трябва да разполагат с динамични средства за постоянно доказване на съответствие и имплементиране на технически средства, за да показват движението на данни и тяхното съвпадане с желанията на клиентите за това къде да се намират данните, казва Маккей. Макар че някои аспекти на този тип наблюдение вече съществуват, за някои доставчици на услуги в GAIA-X ще бъде трудно да направят това."

Маккей сега съветва директорите по информационна сигурност да следят развитието на GAIA-X, без обаче да приемат инициативата твърде сериозно, докато не докаже, че може да осигури истинска стойност, а директорите по информационни технологии да започнат да я следят по-отблизо при стартирането. "Ако тези доказателства на концепцията се провалят или не донесат очакваната стойност поне към средата на следващата година и не видим нищо работещо, което има уникална пазарна стойност, както и елементи на сигурност, тогава не виждам как тази инициатива ще издържи дълго в бъдеще. Следващите шест до девет месеца за мен са наистина критични дали това ще случи или не."

В същото време големите доставчици на облачни услуги не бездействат. Освен че се присъединяват към GAIA-X, мнозина увеличават усилията си в областта на конфиденциалните изчисления. Microsoft наскоро обеща да оспори всяка правителствена заявка за данни от публичния сектор или корпоративен клиент, където има правна основа за това, а също така посочва, че ще осигури парична компенсация за клиентите, ако данните се разкрият в отговор на правителствено искане, нарушаващо GDPR.

В краткосрочен план според Маккей ще има нужда да бъдат взети добри кадрови решения относно ръководството на GX фондацията, за да се придвижи напред проектът. За дълготраен успех експертът смята, че ЕС трябва да започне да приобщава проекта и да го свързва към по-широката стратегия за цифровия единен пазар, за да се привлече компании от целия континент, а не само от Франция и Германия.

Също така Маккей предупреждава, че GAIA-X може да навреди на собствените си шансове на пазара, ако се поддаде на "протекционистки клопки" и бъде приета от държавните органи само от желание да избегне големите доставчици. "Не виждам как това ще помогне на репутацията на инициативата на пазара, ако се смята, че е предоставена от публичния сектор на основата на суверенитета и местоположението на централата на доставчика, а не защото е победила, понеже заслужава да победи и предлага най-доброто техническо решение според изискванията на държавните органи, казва той. Проектът трябва да победи, понеже заслужава да победи. Той трябва да бъде най-доброто техническо решение, а не само най-доброто френско решение или най-доброто германско решение."

Превод и редакция Мариана Апостолова

X