Wat is data mesh en hoe verschilt het van een data lake?

Een data lake is een gecentraliseerd opslagplaats dat wordt beheerd door een centraal data-engineeringteam. Data mesh distribueert de verantwoordelijkheid: elk bedrijfsdomein — in een inlichtingencontext elke INT-discipline — publiceert en onderhoudt zijn eigen dataproducten, terwijl een centraal platformteam gedeelde infrastructuur biedt. De centrale rol verschuift van productie naar capaciteitsopbouw.

Wat is een dataproduct in de context van inlichtingendata?

Een dataproduct is een data-eenheid die met dezelfde zorgvuldigheid wordt behandeld als een softwareproduct: het heeft een eigenaar, een schemacontract, een SLA voor versheid en beschikbaarheid, documentatie en een duidelijke consumenteninterface. Voorbeelden: 'actueel dreigingsbaanbeeld' (SIGINT, SLA: 15 minuten), 'zenderdatabase' (ELINT, SLA: 4 uur) en 'beeldannotatielaag' (GEOINT, SLA: 8 uur).

Hoe worden classificatieniveaus beheerd in een defensie data mesh?

In een defensie data mesh is classificatie een beheerattribuut dat aan elk dataproduct en elke record is gekoppeld. Het self-serve platform handhaaft de vereisten automatisch: het identiteitstoken van de consument bevat zijn vrijgaveniveau; de toegangscontrolelaag wijst verzoeken af waarbij de autorisatie niet voldoet aan de minimale classificatie van het product. Datastromen tussen classificatieniveaus vereisen een cross-domain solution (CDS).

Wat betekent domeinbezit voor een SIGINT-team in de praktijk?

Domeinbezit betekent: verantwoordelijkheid voor het publiceren en onderhouden van SIGINT-dataproducten; controle over schema en updatecyclus; verantwoordelijkheid voor datakwaliteits-SLA's; eerste contactpunt bij kwaliteitsproblemen; zelfstandig provisioneren van compute en opslag in het self-serve platform.

Hoe migreert een organisatie van een gecentraliseerd data lake naar een data mesh?

Migratie verloopt incrementeel. Aanbevolen aanpak: identificeer één waardevol domein met een duidelijke eigenaar; extraheer de domeindata naar een zelfbeheerd product met gedocumenteerd schemacontract en SLA; migreer consumenten; meet adoptie en kwaliteitsresultaten over één kwartaal; pas hetzelfde patroon toe op het volgende domein. Het centrale data lake wordt een overgangsplatform dat krimpt naarmate domeinproducten volwassen worden.

Data mesh-architectuur voor defensie-inlichtingenorganisaties

Defensie-inlichtingenorganisaties verzamelen al decennia data — SIGINT-onderscheppingen, GEOINT-producten, HUMINT-rapporten, OSINT-aggregaten — en slagen er consequent niet in deze accumulatie om te zetten in iets dat analisten daadwerkelijk kunnen gebruiken. Het probleem ligt zelden in de verzameling. Het zit in de integratie. En de organisatorische oorzaak van het integratieprobleem is bijna altijd dezelfde: niemand is eigenaar van de data. Het centrale data-engineeringteam dat de pipelines beheert, beschikt niet over de domeinkennis om ze correct te houden. De SIGINT-cel die de domeinkennis heeft, beschikt niet over de infrastructuur om haar data te publiceren in een vorm die andere teams kunnen consumeren.

Data mesh is een architectonisch en organisatorisch patroon dat deze fundamentele oorzaak direct aanpakt. Ontwikkeld door Zhamak Dehghani en voor het eerst beschreven in 2019, herformuleert het het dataprobleem niet als een technologische maar als een eigendomsuitdaging. Het antwoord is geen betere gecentraliseerde dataplatform — het is een federatief model waarbij de teams die data produceren ook verantwoordelijk zijn voor het publiceren ervan als een consumeerbaar product.

Wat data mesh is — en wat het niet is

Data mesh is gebaseerd op vier principes. Het eerste is domeinbezit: het team dat data produceert is verantwoordelijk voor het beschikbaar stellen ervan aan consumenten. Het tweede is data als product: data wordt behandeld met dezelfde engineering-zorgvuldigheid als software — het heeft een eigenaar, een versioned schema, een SLA, documentatie en een gedefinieerde consumenteninterface. Het derde is self-serve infrastructuur: een centraal platformteam biedt de tools die domeinteams nodig hebben om dataproducten te publiceren en te consumeren zonder tickets in te dienen. Het vierde is federatief bestuur: interoperabiliteitsnormen worden vastgesteld door een domeinoverschrijdend bestuursorgaan, maar de handhaving is geautomatiseerd via het platform.

Het contrast met een data lake is instructief. Wanneer het SIGINT-verzamelingssysteem zijn uitvoerschema wijzigt, breekt de pipeline van het centrale team, en niemand merkt het totdat een analist drie weken later verouderde data meldt. In een data mesh bezit het SIGINT-domeinteam de pipeline en het schemacontract.

Waarom gecentraliseerde architecturen falen in defensie-inlichtingen

De problemen die data mesh oplost zijn acuut in defensie-inlichtingen, omdat deze organisaties kenmerken hebben die gecentraliseerde data-architecturen bijzonder fragiel maken: classificatiebarrières, organisatorische silo's (HUMINT, SIGINT, GEOINT, OSINT — elk met eigen cultuur), fragiliteit van monolithische ETL-pipelines en eigendomsgeschillen die data mesh oplost via expliciete en contractuele eigendomstoewijzing.

Domeinbezit in inlichtingencontext

In een defensie data mesh corresponderen de domeinen natuurlijk met de INT-disciplines: HUMINT, SIGINT, GEOINT, MASINT en OSINT vormen elk een afzonderlijk domein. Elk domeinteam bezit de dataproducten die het in de mesh publiceert: schemacontracten definiëren, ingestiepipelines onderhouden, SLA-verplichtingen nakomen (versheid, beschikbaarheid, volledigheid), reageren op datakwaliteitsproblemen en schemaversionering beheren.

In een geclassificeerde omgeving betekent domeinbezit ook het beheren van de classificatiemetadata. Het SIGINT-domeinteam bepaalt het classificatieniveau van elk product, de vrijgavevoorbehouden en de overerving voor afgeleide producten.

Dataproducten voor inlichtingen

Het dataproductconcept is de uitwisselingseenheid in een data mesh. Een dataproduct is vindbaar, adresseerbaar, betrouwbaar, zelfbeschrijvend en interoperabel. Voorbeelden: het SIGINT-domeinteam kan een "actueel dreigingsbaanbeeld" publiceren — een GeoJSON-featurecollectie van actieve banen, elke 15 minuten bijgewerkt, conform het MIP4-baanschema, geclassificeerd als GEHEIM. Een ELINT-analysecel kan een "zenderdatabase" publiceren — een geversioneerde catalogus van bekende zenderparameterrecords, binnen vier uur na nieuwe verzameling bijgewerkt. Een GEOINT-cel kan een "beeldannotatielaag" publiceren — STIX2-relatieobjecten, binnen acht uur na levering van de beelden bijgewerkt.

Federatief bestuur

Een databeheerraad — met vertegenwoordigers van elk domein, het platformteam en de juridische/compliance-functie — stelt de beheernormen vast: schemainteroperabiliteitsvereisten, classificatiemetadataconventies, catalogusmetadatavereisten en definities van datakwaliteitsmetrieken. In defensiecontext fungeren classificatielabels als een first-class beheerattribuut. Elk datakrijgstoegangsgebeurtenis moet worden geregistreerd in een onveranderlijk auditlogboek.

Self-serve infrastructuur voor geclassificeerde omgevingen

Het self-serve platform is wat data mesh onderscheidt van een conceptueel kader. In een geclassificeerde omgeving moet het platform implementeerbaar zijn in air-gap-netwerken, functioneren zonder afhankelijkheden van publieke cloud-API's en voldoen aan beveiligingsaccreditatievereisten. De typische platformstack omvat: objectopslag (MinIO of Ceph), schemaregister, datacatalogusservice (Apache Atlas), toegangscontrolelaag geïntegreerd met de identiteitsprovider, en SLA-monitoringservice — alles installeerbaar vanuit lokale pakketspiegels.

Implementatie-uitdagingen en migratiepad

De juiste aanpak is incrementeel: begin met één domein, bouw platformcapaciteiten op naast het eerste domeinproduct en breid van daaruit uit. Het GEOINT-domein is vaak een goed startpunt. Het centrale data lake verdwijnt niet tijdens deze migratie — het wordt een overgangsplatform dat krimpt naarmate domeinproducten volwassen worden. Een parallelle periode waarbij beide naast elkaar bestaan is het verwachte migratiepad.

Opmerking over classificatiebarrières: Data mesh lost het moeilijkste probleem in de integratie van defensie-inlichtingendata niet op, namelijk het overbruggen van classificatiebarrières — data verplaatsen van GEHEIM naar NIET-GERUBRICEERD of tussen verschillende coalitievrijgaverestricties. Dat probleem vereist een cross-domain solution (CDS), geen architectuurpatroon. Wat data mesh wel oplost is het organisatorische probleem: wie bezit de data, wie is verantwoordelijk voor de kwaliteit, en wie beslist wanneer het gedeeld kan worden. In defensieorganisaties waar deze vragen historisch gezien tot meerjarige commissies zonder antwoorden hebben geleid, is duidelijk domeinbezit met contractuele dataproduct-SLA's werkelijk transformerend.

Voor een uitgebreide behandeling van de onderliggende opslagarchitectuur, zie Defensie data lake-architectuur: ontwerp en operaties. Fusiepatronen die dataproducten tussen INT-domeinen consumeren worden beschreven in Militaire datafusie: architecturen en methoden. De ingestiepipelines worden behandeld in Bouwen van een defensiedatafusiepipeline, deel 1: bronnen en schema's.

Data mesh-architectuur voor defensie-inlichtingenorganisaties

Wat data mesh is — en wat het niet is

Waarom gecentraliseerde architecturen falen in defensie-inlichtingen

Domeinbezit in inlichtingencontext

Dataproducten voor inlichtingen

Federatief bestuur

Self-serve infrastructuur voor geclassificeerde omgevingen

Implementatie-uitdagingen en migratiepad

Bouw inlichtingendataproducten op een defensie-waardige platform

Veelgestelde vragen

Data mesh-architectuur voor defensie-inlichtingenorganisaties

Wat data mesh is — en wat het niet is

Waarom gecentraliseerde architecturen falen in defensie-inlichtingen

Domeinbezit in inlichtingencontext

Dataproducten voor inlichtingen

Federatief bestuur

Self-serve infrastructuur voor geclassificeerde omgevingen

Implementatie-uitdagingen en migratiepad

Bouw inlichtingendataproducten op een defensie-waardige platform

Veelgestelde vragen

Gerelateerde artikelen