Suvereeni pilvi-arkkitehtuuri puolustukselle: AWS GovCloud, Azure Gov, OVH ja EU:n suvereenivaihtoehdot

Suvereeni pilvi on yksi eniten ylikäytetyistä termeistä puolustuksen IT-hankinnassa. Toimittajat soveltavat sitä kaikkeen hyperscaler-alueen rakennuksista, jotka sijaitsevat kansallisten rajojen sisällä, täysin ilmarakotettuun yksityispilveen, jossa työskentelee yksinomaan selvityskirjan omaavia kansalaisia. Leima piilottaa arkkitehtuuriset päätökset, jotka käytännössä määrittävät, voiko ulkomainen hallitus pakottaa paljastamaan datasi, voiko vastustajan tiedustelupalvelu lahjoa pilvioperaattorin henkilöstön, ja selviääkö toimintanjatkuvuussuunnitelmasi geopoliittisesta murroksesta. Puolustuskuormituksille nämä kysymykset ovat kriittisiä.

Tässä artikkelissa käydään läpi käytännön suvereeni-pilvi-maisema vuodesta 2026: Yhdysvaltain hyperscalereiden hallitusvyöhykkeet, uusi sukupolvi EU:n suvereenipalveluista (Bleu, Delos, T-Systems, OVH), NATO:n ja kansalliset puolustuspilvet sekä paikallinen perustaso, jonka kanssa ne kaikki kilpailevat. Se on kirjoitettu arkkitehdeille, jotka tekevät sijoituspäätöksiä, ei hankintatiimeille, jotka kirjoittavat tarjouspyyntöjä.

1. Mitä "suvereeni pilvi" todella tarkoittaa

Suvereenisuus pilvessä ei ole yksi ominaisuus — se on kolme ortogonaalista vektoria, ja jokainen rehellinen arviointi on pisteytettävä erikseen.

Tietojen asuinpaikka on helpoin ja eniten ylikorostettu. Se kysyy: missä tavut fyysisesti sijaitsevat? Alue Frankfurtissa, Pariisissa tai Varsovassa täyttää EU:n ostajien asuinpaikkavaatimuksen. Mutta asuinpaikka yksin on heikoin tarjottavista suvereeniuden takeista, koska se ei sano mitään siitä, kuka voi päästä näihin tavuihin ohjauskoneen kautta.

Operaattorin suvereenisuus kysyy: kuka voi hallinnoida infrastruktuuria? Yhdysvaltalaisten hyperscalereiden kaupalliset alueet hallinnoi maailmanlaajuisesti jakautunut suunnittelutiimi — L2-tiketti, joka koskee vuokraajasi, voidaan käsitellä Intiasta, Irlannista tai Seattlesta. Hallitustason suvereenittarjoukset rajoittavat tämän määriteltyyn joukkoon selvitettyjä kansalaisia tilintarkastusketjuilla, jotka riittävät vaatimustenmukaisuuden todistamiseen. SecNumCloud (Ranska) ja C5 (Saksa) molemmat edellyttävät, että operaattorit ovat EU-kansalaisia, jotka työskentelevät EU:n toimivallassa.

Oikeudenkäytöllinen suvereenisuus on vektori, joka rikkoo eniten hankintaoletuksia. Yhdysvaltain CLOUD Act vuodelta 2018 antaa Yhdysvaltain viranomaisille mahdollisuuden pakottaa minkä tahansa yhdysvaltalaisen yhtiön tuottamaan hallussaan olevaa dataa riippumatta siitä, missä data fyysisesti sijaitsee. Joten yhdysvaltalaisessa pääkonttorin hyperscalerissa Frankfurtin infrastruktuuria on edelleen laillisesti saavutettavissa yhdysvaltalaisesta tuomioistuimesta. EU:n vastaus — GDPR, Schrems II, Data Act — terävöitti kysymystä mutta ei ratkaissut sitä. Ainoa rakenteellinen vastaus on asettaa sekä data että sitä hallitseva yrityskokonaisuus EU:n toimivallan alle.

Hyödyllinen diagnostiikka: kysy, voiko ulkomainen tuomioistuinmääräys, joka on annettu pilvipalveluntarjoajalle, periaatteessa pakottaa paljastamaan kuormituksesi datan ilman hallituksesi osallistumista. Jos rehellinen vastaus on "kyllä", sinulla ei ole suvereeni pilvi — sinulla on alueellinen pilvi.

2. Yhdysvaltain hyperscalereiden suvereenittarjoukset

Yhdysvaltain hyperscaalerit ovat käyttäneet viisitoista vuotta hallitustason eristyksen rakentamiseen. Tulos on kypsein suvereeni pilvikerros planeetalla — Yhdysvaltain liittyneille ostajille.

AWS GovCloud (US-East ja US-West) on fyysisesti eristetty, vain yhdysvaltalaisilla henkilöillä hallinnoitu ja akkreditoitu FedRAMP High- ja DoD IL4/IL5-tasoille. AWS Secret Region ja AWS Top Secret Region ovat olemassa luokitelluille tasoille, mutta niiden käyttöoikeus on vain akkreditoiduille Yhdysvaltain hallituksen ja urakoitsijan ostajille. AWS ilmoitti Euroopan Sovereign Cloudista (Brandenburg) toimitettavaksi vuonna 2026, jota hallinnoivat kokonaan EU-kansalaiset — ensimmäinen yhdysvaltalainen hyperscaler, joka sitoutui tähän rakenteeseen EU:n ostajille.

Azure Government peilaa AWS-mallin Azure Government (FedRAMP High, IL5), Azure Government Secret (IL6) ja Azure Government Top Secret -versioilla. Microsoftilla on kattavin akkreditoitu jalanjälki luokitellussa kerroksessa, ja Azure Government perii useimmat kaupalliset Azure-palvelut kuuden–kahdentoista kuukauden viiveellä. Microsoft operoi myös Microsoft Cloud for Sovereignty -palvelua konfiguroitavana kerroksena kaupallisen Azuren päällä ostajille, jotka haluavat suvereeniuden hallintakeinot ilman täyden Azure Government -akkreditoinnin yläkustannuksia — katso GovCloud-arkkitehtuurivertailumme Azure-vs-AWS-sijoituksen yksityiskohdista.

Google Assured Workloads on keveyin kolmesta: ohjauskoneen kerros kaupallisen Google Cloudin päällä, joka pakottaa asuinpaikan, henkilöstön ja avainten hallinnan rajoitukset. Se tavoittelee FedRAMP High- ja IL5-tasoja tietyissä konfiguraatioissa, mutta ei operoi erillistä aluetta. Kuormituksille, joissa konfiguroitu kaupallinen alue on hyväksyttävä, tämä voi lyhentää ATO:n aikaa; IL6:lle ja ylöspäin se ei kilpaile.

Kova rajoite ei-yhdysvaltalaisille ostajille: GovCloud, Azure Government ja IL5/IL6-kerrokset ovat portattu vain yhdysvaltalaisilla henkilöillä pääsyn ja Yhdysvaltain vientivalvonnan kautta. Ranskalainen ilmavoimayksikkö ei voi ostaa GovCloud-kapasiteettia. Tämä on rakenteellinen syy sille, miksi EU:n suvereeni pilvikerros on olemassa.

3. EU:n suvereenittarjoukset

Bleu on ranskalainen suvereeni pilviyhteisyritys Capgeminin ja Orangen välillä. Se käyttää lisensoitua Microsoft Azure -teknologiaa ranskalaisissa datakeskuksissa, jota hallinnoivat vain ranskalaiset kansalaiset, ja yrityshallinto on kokonaan Ranskan lain alainen — eksplisiittisesti CLOUD Act -lain ulottumattomissa. SecNumCloud-hyväksyntä on otsikkosertifiointi. Bleu on selkein esimerkki "lisensoitu hyperscaler suvereenioperaattorin alla" -mallista ja on ensisijainen sijoitusvalinta Ranskan puolustuksen, ministeriöiden ja OIV:n (elintärkeän infrastruktuurin operaattori) kuormituksille.

Delos on saksalainen suvereeni pilvi, jonka ovat rakentaneet SAP ja Arvato Systems, myös lisensoitua Microsoft-teknologiaa käyttäen, tavoitellen C5-sertifiointia ja on tarkoitettu Bund (liittovaltio) ja Länder (osavaltio) -kuormituksille. Delos ja Bleu ovat sisaruksia: sama tekninen malli, eri kansalliset toimivallat.

T-Systems Sovereign Cloud on vanhempi Deutsche Telekomin tarjoama — suvereeni pilvi ilman hyperscaler-lisenssointitasoa, OpenStackin ja omistusoikeudellisen Telekom-orkestroinnin päällä. Se tavoittelee samaa ostajajoukkoa kuin Delos, mutta alemmalla ominaisuuskatolla ja pidemmällä operatiivisella historiatiedolla. Kuormituksille, jotka eivät tarvitse koko hyperscaler-API-pintaa, T-Systems on usein halvempi ja nopeampi perehdyttää.

OVHcloud täyttää erillisen markkinaraon: täysin eurooppalaisomistuksessa oleva hyperscale-vaihtoehto bare-metal-podeilla, omisteisella pilvellä ja julkisen pilven kerroksella, kaikki Ranskan toimivallassa. OVH ei väitä vastaavansa AWS:n ominaisuuspariteettia, mutta laskentaintensiivisille ja tallennuslaskennallisille kuormituksille se on kilpailukykyinen hinnassa ja toimittaa aidon oikeudenkäytöllisen suvereeniuden ilman Yhdysvaltain lisenssiriippuvuutta. Syvemmälle EU-vs-US-sijoitusanalyysiin katso EU vs US suvereeni pilvi -vertailumme.

4. NATO:n ja kansalliset puolustuspilvet

Kaupallisen suvereenikerroksen yläpuolella on kerros, joka ei näy toimittajien esitteissä: NATO:n ja kansallisten puolustusministeriöiden pilvet. Nämä ovat luokiteltujen kuormitusten kohteita, joissa edes SecNumCloud tai FedRAMP High ei ole riittävä.

NCIA Software Factory ja NATO:n laajempi pilviohjelmisto tarjoavat allianssin tason alustan maiden välisille luokitelluille kuormituksille (NATO Secret ja alle). Kansalliset puolustusministeriöt operoivat rinnakkaisia suvereeniä pilviä — MODCloud Isossa-Britanniassa, BWI Bundeswehrin pilvi Saksassa, hollantilainen CC-NDC, Puolan puolustusministeriön pilvi — kukin akkreditoitu kansalliselle luokitetulle tasolle ja integroitu liittoutuneiden jakamisprotokolliin.

Näiden alla on varsinainen ilmarakoted kerros, TS/SCI-vastaaville kuormituksille. Arkkitehtuurinen malli on käsitelty artikkelissa ilmarakotettu käyttöönotto puolustukseen. Olennainen huomio tässä on, että kuormitusten sijoituspäätökset on sisällytettävä tähän kerrokseen eksplisiittisesti — kuormituksen siirtäminen NATO Secretistä alas kaupalliseen suvereenieen pilveen on harvinaista, mutta ylöspäin siirtyminen on yleistä, ja arkkitehtuurin on selviettävä tästä siirtymästä ilman uudelleensuunnittelua.

5. Hybridi- ja paikallinen perustaso

Suvereeni pilvi ei aina ole oikea vastaus. Paikallinen yksityispilvi-perustaso — VMware vSphere, OpenStack tai Kubernetes bare metalilla akkreditoidussa kansallisessa datakeskuksessa — voittaa edelleen kolmessa skenaariossa.

Ensinnäkin luokitetuille tai ilmarakotetuille kuormituksille, jotka eivät voi sietää ulkoista verkkoriippuvuutta. Suvereenihyperscalerit tarjoavat irrallisia tiloja (Azure Stack Hub, AWS Outposts, Google Distributed Cloud Air-Gapped), mutta hinnoittelu, tukimalli ja operaattorin käyttörajoitukset usein palauttavat laskennan takaisin yksityiseen pilveen.

Toiseksi tasaisille kuormituksille, joissa investointien kuoletus voittaa hyperscaler-lisähinnan. Kuormitus, joka pyörii 24/7 ennustettavalla kuormituksella viisi vuotta, on pahin mahdollinen taloudellinen vastaavuus minkä tahansa pilven kanssa — suvereeniuden tai ei. Hyperscaler-lisähinta poistettuun bare metaliin verrattuna on tyypillisesti 3–5x vuotuistettuna.

Kolmanneksi organisaatioille, jotka jo operoivat sertifioituja datakeskuksia. Marginaalikustannus yhdelle lisähyllylle on pieni. Marginaalikustannus hyperscaler-suvereeni-pilven operointikyvyn rakentamiselle on korkea. Nykyisille puolustusministeriöiden IT-organisaatioille paikallinen laajentaminen on yleensä halvempi siirtymäpolku.

6. Kuormitusten sijoituspäätökset

Kuormitusten sijoitus tiivistyy pieneen joukkoon luokitustasoja ja pieneen joukkoon kustannus-hallintakompromisseja. Käytännön matriisi:

Luokittelematon, julkisesti näkyvä (verkkosivustot, rekrytointiportaalit, julkiset API:t) kuuluu kaupallisiin hyperscaler-alueisiin toimivallassasi. Suvereeniuden hallintakeinot lisäävät kustannuksia ja operatiivista kitkaa ilman suhteellista arvoa.

Luokittelematon, sisäinen CUI (HR, talous, sisäinen yhteistyö) kuuluu suvereenieen pilveen — Bleu/Delos/Azure Gov -luokkaan — henkilöstö- ja operatiivisen datan oikeudenkäytöllisen suojan vuoksi, vaikka virallista luokitusmerkintää ei sovellettaisikaan. CLOUD Act -altistuminen on hallitseva tekijä.

Rajoitettu ja NATO Restricted kuuluu kansalliseen puolustusministeriön pilveen tai vastaavaan liittoutuneeseen kerrokseen. Kaupallinen suvereeni pilvi on yleensä riittämätön tässä akkreditointisyistä eikä teknisistä syistä.

Salainen ja sitä korkeammat kuuluvat ilmarakotettuun kansalliseen tai allianssin infrastruktuuriin. Mikään kaupallinen pilviakkreditointi ei saavuta tätä tasoa vuonna 2026.

Kustannus, jota hankintatiimit alibudjetoivat, on toimialueiden välinen siirto: joka kerta, kun data ylittää kerroksia, tarvitaan toimialueiden välinen ratkaisu (yksisuuntainen diodi, sisällön tarkistuksen vartija tai akkreditoitu toimialueiden välinen laite). Nämä ovat hitaita, kalliita ja muodostavat monitasoisarkkitehtuurien operatiivisen pullonkaulan. Suunnittelu vaadittujen siirtojen minimoimiseksi on arvokkaampaa kuin optimointi minkään yksittäisen kerroksen sisällä.

7. Arkkitehtuuriset mallit

Kolme mallia toistuu hyvin arkkitehturoiduissa puolustuslaitoksissa.

Ohjauslinja suvereeniessa pilvessä, datavirtaus missiopilvessä. Identiteetti, politiikka, seuranta ja CI/CD elävät suvereenikerroksen pilvessä, jossa operaattorin pääsy ja auditointi ovat tiukkoja. Missiotyökuormat — sensorinkäsittely, C2-palvelut, geopaikkatietoa-analytiikka — pyörivät siellä, missä viive ja luokitus vaativat, usein reunalla tai missiopilvi-infrastruktuurissa. Ohjauslinja hallitsee missiokonetta kapeiden, auditoitujen rajapintojen kautta. Tämä on sama erottelu, jonka zero-trust-sotilaallinen verkottuminen formalisoi verkkokerroksessa.

Federoitu identiteetti kerrosten yli. Identiteetin on katettava koko laitteisto — analyytikon ei pitäisi tarvita kolmea erillistä tunnistautumiistietoa suvereenieen pilveen, puolustusministeriön pilveen ja ilmarakotettuun enklaaviin. Federoitu identiteetti väitepohjaisella valtuutuksella, ankkuroituna suvereeni-pilven identiteettitarjoajaan ja projisoituna (hyväksyttyjen toimialueiden välisten mekanismien kautta) korkeamman luokituksen kerroksiin, on standardimalli. Kova ongelma on tunnistautumistietojen elinkaari ilmaraon yli.

Alueellinen käyttöönottotopologia. Suvereeniuden pilvi-alueet ovat harvemmassa kuin kaupalliset alueet. Monialueen aktiivi-aktiivi-käyttöönotto, joka on triviaali kaupallisessa AWS:ssä, muuttuu huolelliseksi suunnitteluharjoitukseksi GovCloudissa (kaksi aluetta) tai Bleussä (aluksi yksi). Vikadomainin matematiikka muuttuu: alueellinen kestävyys tarkoittaa usein hybridiä kestävyyttä, jossa suvereeni-pilvi-ensisijainen epäonnistuu paikalliselle toissijaiselle samassa toimivallassa. Katso monipilvi-puolustusstrategia kestävyysmallin yksityiskohdista.

8. Toimittajalukittuminen ja poistumissuunnittelu

Suvereeni pilvi -lukittuminen on vaikeampaa kuin kaupallinen pilvi -lukittuminen, koska vaihtoehtojoukko on pienempi. Viittä käytännöllistä EU:n suvereenivaihtoehtoa on. Kaksi todellista GovCloud-tason Yhdysvaltain vaihtoehtoa on. Yksittäisen toimittajan vipuvoima vangittua puolustusasiakasta kohtaan on vastaavasti suurempi.

Lieventämisessä on kolme kerrosta.

Infrastruktuuriabstraktiot. Terraform toimittajariippumattomilla moduuleilla tai Crossplane Kubernetesin päällä antaa käyttöönottoartifaktin selviytymistä toimittajavaihdosta. Vaikeampi disipliini on välttää toimittajan omistusoikeudelliset palvelut, joissa siirrettävä vaihtoehto on olemassa — käyttämällä hallittua Kubernetesiä (EKS, AKS, OVH Managed Kubernetes) toimittajakohtaisen PaaS:n sijaan, käyttämällä S3-yhteensopivaa objektitallennusta natiivien blob-API:en sijaan, käyttämällä PostgreSQL:ää tai avoimen lähdekoodin datatietokoneita toimittajakohtaisten tietokantojen sijaan. Siirrettävyyden kustannus on todellinen mutta rajattu; myöhäisvaiheen migraation kustannus on rajoittamaton.

Poistumisharjoitus. "GovCloudin jättäminen" -harjoitus — todellisen tabletop- tai pilottimigraation tekeminen ei-kriittisestä kuormituksesta valitusta suvereeniesta pilvestä toiselle suvereeniustarjoajalle tai paikalliseen — tekee lukittumiskustannuksen konkreettiseksi. Puolustusorganisaatioiden tulisi suorittaa tämä harjoitus vähintään kahden vuoden välein per suuri kuormitus. Tuloste on dokumentoitu migraation käyttöohje ajoitus- ja kustannusarvioineen, joka syöttää hankintariskiä rekisteriin ja BCP/DR-suunnitelmaan.

Sopimuslausekkeet. Hankinnan tulisi velvoittaa koneellisesti luettava tietojen vienti määritetyssä ikkunassa, IP-oikeudet käyttöönottoautomaatioon, ei lisähintaa ulossiirrolle toimittajan poistumisen tarkoituksessa ja siirtymisapuehdot. Tässä ITAR-vapaa ohjelmiston tarjonta ja toimittajapoistumisen kielenkäyttö kohtaavat: tavoitteena molemmissa tapauksissa on säilyttää suvereeniuden valinnanvapaus riippumatta minkä tahansa yksittäisen ulkomaisen toimittajan jatkuvasta yhteistyöstä.

Suvereeni pilvi, hyvin tehtynä, ei ole yksittäinen hankintapäätös vaan portfolioasema: eksplisiittinen per-kuormituksen sijoitus, tarkoituksellinen kerrosten välinen siirtymäsuunnittelu, infrastruktuuriabstraktiot, jotka säilyttävät poistumismahdollisuuden, ja toistuva harjoitus poistumisen todellisen toimivuuden varmistamiseksi. Toimittajat lisäävät suvereeneja etikettejä edelleen. Arkkitehtuuri on se, joka määrittää, tarkoittavatko nämä etiketit mitään.