GovCloud verwijst naar cloud-regio's uitsluitend voor overheden, beheerd door hyperscalers вЂ” Azure Government, AWS GovCloud (US), Google Cloud Assured Workloads, Oracle Cloud Government. Deze regio's zijn fysiek en logisch geГЇsoleerd van de commerciГ«le cloud, alleen bemand door gescreend personeel, en geaccrediteerd voor de verwerking van gecontroleerde niet-geclassificeerde informatie (CUI), ITAR-gereguleerde gegevens en in sommige niveaus workloads op geheim-niveau.

Wat is het verschil tussen Azure Government en AWS GovCloud?

Azure Government en AWS GovCloud (US) hebben overlappende compliance-scopes (FedRAMP High, DoD IL2/IL4/IL5/IL6 voor beiden, met pariteit op de meeste niveaus). Azure Government heeft sterkere integratie met Microsoft 365 GCC High voor samenwerkingsworkloads; AWS GovCloud heeft meer granulaire IAM en een langer gevestigde Kubernetes-ondersteuning. De keuze komt doorgaans neer op bestaande platformverplichtingen binnen de organisatie en niet op functionaliteitstekorten.

Wat is FedRAMP en hoe verhoudt het zich tot GovCloud?

FedRAMP (Federal Risk and Authorization Management Program) is het gestandaardiseerde cloud-beveiligingsautorisatiekader van de Amerikaanse overheid. De meeste GovCloud-diensten zijn FedRAMP High, het strengste niveau. Voor DoD-workloads is het parallelle kader de DoD Cloud Computing SRG met Impact Levels (IL2 tot en met IL6) вЂ” IL5 omvat de meeste CUI-workloads, IL6 omvat Geheim.

Kunnen NATO of Europese programma's gebruikmaken van US GovCloud?

US GovCloud-regio's zijn bedoeld voor gebruik door de Amerikaanse federale overheid en aannemers. Gegevenssouvereiniteitsregelgeving in de meeste NAVO-landen (BSI C5 in Duitsland, ANSSI SecNumCloud in Frankrijk, de EU CSPCERT in oprichting) vereist domestieke of in de EU gevestigde cloud. Microsoft en AWS bieden dedicated soevereine cloud-oplossingen in Europa; voor volledig air-gapped soevereine implementaties blijft OpenStack of Kubernetes op nationale hardware de optie.

Welke workloads mogen NIET in GovCloud draaien?

Tactische edge-systemen die sub-seconde latentie naar in-theater-knooppunten vereisen, geclassificeerde workloads boven het GovCloud-accreditatieniveau (de meeste Amerikaanse programma's boven Top Secret), en systemen die voor langere perioden volledig losgekoppeld van het internet moeten functioneren. Deze workloads horen thuis op air-gapped on-premises infrastructuur of soevereine cloud-implementaties met expliciete accreditatie voor het vereiste classificatieniveau.

GovCloud Architectuur voor Defensie: Azure Government vs AWS GovCloud

Een cloudplatform kiezen voor defensieworkloads is primair geen technologische beslissing вЂ” het is een compliance- en gegevenssouvereiniteitsbeslissing. De onderliggende computerinfrastructuur van Azure Government en AWS GovCloud is grotendeels vergelijkbaar met hun commerciГ«le equivalenten. Wat verschilt is de regulatoire compliance-positie, de fysieke en logische isolatie van commerciГ«le huurders, het ondersteuningsmodel en het maximale classificatieniveau dat ondersteund kan worden.

Deze beslissing verkeerd nemen heeft gevolgen die moeilijk terug te draaien zijn. Een defensieapplicatie na productie-implementatie van het ene cloudplatform naar het andere migreren is een aanzienlijke inspanning op programmaniveau. De platformkeuze, vroeg gemaakt, beperkt de architectuur gedurende de levensduur van het programma.

Compliance-kaders: FedRAMP, IL-niveaus en NATO-vereisten

Het primaire Amerikaanse compliance-kader voor cloud-workloads is FedRAMP (Federal Risk and Authorization Management Program), dat drie impactniveaus definieert: Laag, Gematigd en Hoog. FedRAMP High is de basislijn voor gevoelige maar niet-geclassificeerde overheidsgegevens. Zowel Azure Government als AWS GovCloud beschikken over FedRAMP High-autorisaties voor de meeste diensten.

Boven FedRAMP definieert de DoD Cloud Computing Security Requirements Guide (CC SRG) Impact Levels 4 tot en met 6. IL4 omvat gecontroleerde niet-geclassificeerde informatie (CUI) met een nationale veiligheidstoewijzing. IL5 omvat National Security Systems (NSS) en DoD-geclassificeerde informatie tot GEHEIM. IL6 omvat GEHEIME gegevens. Alleen specifieke, fysiek geГЇsoleerde cloud-regio's komen in aanmerking voor IL5- en IL6-workloads вЂ” niet de standaard GovCloud-regio's.

Voor NATO-lidstaten buiten de VS zijn de relevante kaders de cloudveiligheidsvereisten van de NATO NCIA (Communications and Information Agency) en nationale equivalenten. NATO NCIA heeft specifieke cloud-serviceaanbiedingen goedgekeurd voor NATO RESTRICTED- en NATO CONFIDENTIAL-gegevens na eigen auditprocessen. Deze goedkeuringen worden niet automatisch verleend door FedRAMP вЂ” een aparte beoordeling is vereist.

Azure Government vs AWS GovCloud: Belangrijkste onderscheidende factoren

Fysieke isolatie. Beide platforms werken met fysiek gescheiden infrastructuur van hun commerciГ«le clouds, alleen bemand door gescreende Amerikaanse staatsburgers (voor Amerikaanse programma's) of equivalente nationale screeningsvereisten. Beide bieden logische scheiding via dedicated infrastructuuropties (dedicated hosts, bare metal compute).

Pariteit in servicebeschikbaarheid. CommerciГ«le clouddiensten verschijnen in GovCloud vaak met een vertraging van 12вЂ“24 maanden. AWS GovCloud heeft historisch een bredere servicecataloguspariteit met commercieel AWS. Azure Government heeft sterke pariteit in haar kern-IaaS- en PaaS-diensten en heeft de dekking van AI/ML-diensten aanzienlijk verbeterd, hoewel sommige commerciГ«le Azure-diensten nog steeds niet beschikbaar zijn in de Government cloud.

DoD-specifieke diensten. Microsoft houdt het DoD JEDI/JWCC-contract en heeft aanzienlijk geГЇnvesteerd in IL5-capabele Azure Government-regio's. AWS exploiteert de C2S (Commercial Cloud Services)-omgeving voor de IC-gemeenschap en heeft IL5-capabele GovCloud East- en West-regio's. Voor programma's die IL5 vereisen zijn beide haalbaar вЂ” de specifieke servicebeschikbaarheid op IL5 varieert per regio en moet worden geverifieerd aan de hand van actuele providerdocumentatie.

Ondersteuningsmodel. Beide providers bieden dedicated overheidsondersteuningsniveaus met gescreend ondersteuningspersoneel. Voor programma's met strikte operationele beveiligingsvereisten is het verifiГ«ren dat ondersteuningstoegang is beperkt tot adequaat gescreend personeel вЂ” en auditeerbaar is вЂ” een contractvereiste, geen aanname.

Hybride Cloud voor Geclassificeerde Workloads

De meeste defensieprogramma's boven GEHEIME classificatie kunnen geen workloads in een commerciГ«le cloud plaatsen вЂ” zelfs niet in een geaccrediteerde GovCloud-regio. Geclassificeerde workloads op GEHEIM en hoger moeten draaien in geaccrediteerde door de overheid beheerde of door aannemers beheerde faciliteiten met fysieke beveiligingscontroles en SCIF-niveau personeelstoegang. De cloud is voor deze workloads ofwel een private cloud-implementatie (door de overheid eigendom van hardware met cloud-achtige IaaS) of een geclassificeerde cloudomgeving zoals C2S of Azure Government Top Secret.

De praktische architectuur voor de meeste programma's is hybride: niet-geclassificeerde en CUI-componenten draaien in GovCloud, geclassificeerde componenten draaien in een private of geclassificeerde cloudomgeving, en cross-domain solutions (CDS) bemiddelen de gegevensoverdracht tussen de twee omgevingen. Het correct ontwerpen van de CDS вЂ” inclusief de gegevensvalidatie, formaatconversie en herclassificatielogica вЂ” is doorgaans een van de meest complexe en planningskritieke elementen van de architectuur.

Vereisten voor Gegevenslocatie

Veel defensieprogramma's hebben contractuele of wettelijke vereisten die specificeren waar gegevens opgeslagen en verwerkt mogen worden. Geclassificeerde gegevens van EU-lidstaten kunnen beperkingen hebben die opslag in door de VS beheerde infrastructuur verhinderen (zelfs in door de VS eigendom van Europese datacenters). NATO-geclassificeerde gegevens hebben specifieke verwerkingsvereisten die beperken waar ze verwerkt kunnen worden.

Zowel Azure als AWS hebben government cloud-regio's in Europa (Nederland, Duitsland) met specifieke compliance-posities voor EU soevereine gegevensvereisten. Het evalueren van deze opties vereist juridische toetsing van de specifieke classificatie-instructies en nationale wetten van het programma, niet alleen de marketingmaterialen van de cloudprovider.

Kernbevinding: Zero-trust architectuur is een vereiste, geen keuze, voor defensie cloud-implementaties. Perimetergebaseerde beveiligingsaannames (intern verkeer is vertrouwd) zijn architecturaal onverenigbaar met multi-tenant cloud en hybride omgevingen. Plan vanaf dag Г©Г©n voor per-verzoek authenticatie, microsegmentatie en continue autorisatieverificatie.

Zero-Trust Basislijn voor Defensie Cloud

De Zero Trust Reference Architecture van het DoD definieert zeven pijlers: Gebruiker, Apparaat, Netwerk, Applicatie/Workload, Gegevens, Automatisering/Orkestratie en Zichtbaarheid/Analyse. Voor een GovCloud-implementatie betekent het implementeren van een zero-trust basislijn: op identiteit gebaseerde toegang (Microsoft Entra ID / AWS IAM met MFA en voorwaardelijke toegang), handhaving van apparaatpostuur (geen toegang vanaf onbeheerde of niet-conforme apparaten), netwerkmicrosegmentatie (applicatielaag firewalling, geen impliciete vertrouwen tussen diensten in hetzelfde VNet/VPC), en op gegevensclassificatie gebaseerde toegangscontroles (versleuteling in rust met door de klant beheerde sleutels, classificatielabels gehandhaafd op de applicatielaag).

Multi-tenant isolatie op infrastructuurniveau вЂ” ervoor zorgen dat de workload van Г©Г©n huurder geen toegang heeft tot de gegevens of infrastructuur van een andere huurder вЂ” wordt gegarandeerd door de cloudprovider. Wat niet gegarandeerd wordt is isolatie op applicatieniveau. Een multi-tenant defensieapplicatie die alle huurdergegevens opslaat in een gedeelde database met beveiliging op rijniveau is niet zero-trust-conform, ongeacht het cloudplatform waarop het draait. Huurdersisolatie moet worden geГЇmplementeerd en geverifieerd op de applicatielaag.

GovCloud Architectuur voor Defensie: Azure Government vs AWS GovCloud

Compliance-kaders: FedRAMP, IL-niveaus en NATO-vereisten

Azure Government vs AWS GovCloud: Belangrijkste onderscheidende factoren

Hybride Cloud voor Geclassificeerde Workloads

Vereisten voor Gegevenslocatie

Zero-Trust Basislijn voor Defensie Cloud

Bespreek Uw Project

Veelgestelde Vragen

GovCloud Architectuur voor Defensie: Azure Government vs AWS GovCloud

Compliance-kaders: FedRAMP, IL-niveaus en NATO-vereisten

Azure Government vs AWS GovCloud: Belangrijkste onderscheidende factoren

Hybride Cloud voor Geclassificeerde Workloads

Vereisten voor Gegevenslocatie

Zero-Trust Basislijn voor Defensie Cloud

Bespreek Uw Project

Veelgestelde Vragen

Gerelateerde Artikelen