NATO-cloudniveaus: unclassified-, secret- en top secret-infrastructuurarchitectuur

Door Corvus Intelligence Engineering Team · Over het team →

4 juni 2026 9 min leestijd

Het classificatiekader van NATO verdeelt informatie in vier banden — NATO Unclassified (NU), NATO Restricted (NR), NATO Confidential (NC) en NATO Secret (NS) — met Cosmic Top Secret (CTS) daarboven voor de meest gevoelige bondgenootschappelijke informatie. Elke band legt afzonderlijke eisen op aan infrastructuur, personeel en processen. Software die over meer dan één niveau opereert, kan classificatie niet als een bijzaak behandelen; het niveaumodel is dragende architectuur.

Voor leveranciers van defensiesoftware is het begrijpen van hoe deze niveaus zich verhouden tot fysieke infrastructuur, netwerkarchitectuur, identiteitssystemen en accreditatieprocessen niet optioneel. Een product dat alleen gecertificeerd is voor NATO Unclassified-omgevingen wordt niet geaccepteerd voor NATO Secret-operaties, ongeacht zijn technische capaciteit. Omgekeerd drijft het over-engineeren van een systeem tot Secret-normen wanneer Unclassified volstaat, onnodige kosten en planningsrisico's op. Het van meet af aan juist krijgen van de niveautoewijzing is de meest ingrijpende architectuurbeslissing in een NATO-programma.

Het NATO-classificatieniveaumodel

Het NATO-beveiligingsbeleid, beheerst door C-M(2002)49 en de opvolgende documenten, definieert classificatieniveaus als markeringen van de schade die onbevoegde openbaarmaking zou veroorzaken. De praktische infrastructurele implicaties van elk niveau zijn aanzienlijk:

NATO Unclassified (NU) omvat publiek vrijgeefbare informatie en interne administratieve data die geen bescherming behoeft buiten standaard IT-hygiëne. NU-systemen kunnen commerciële clouddiensten, gedeelde infrastructuur en standaard met internet verbonden netwerken gebruiken. De NCIA-cloudservicecatalogus somt goedgekeurde commerciële diensten op voor NU-workloads. Dit niveau is ruwweg analoog aan het US DoD NIPR (Non-classified Internet Protocol Router)-netwerk.

NATO Restricted (NR) is een classificatie op middenniveau voor informatie die, indien openbaar gemaakt, nadelig zou zijn voor de belangen van NATO. NR wordt niet universeel gebruikt in alle NATO-landen — verscheidene lidstaten hebben geen binnenlands Restricted-equivalent. Infrastructuur voor NR-workloads moet zich binnen gecontroleerde faciliteiten met toegangsbeperkingen bevinden, maar mag onder logische scheidingsmaatregelen fysieke hardware delen met andere NR-workloads uit verschillende landen.

NATO Confidential (NC) omvat informatie waarvan de openbaarmaking de belangen van NATO zou schaden. NC-systemen vereisen toegewijde logische omgevingen, goedgekeurde cryptografische systemen (doorgaans uit de NCIA-goedgekeurde catalogus) en personeel met een minimale veiligheidsmachtiging. NC is ruwweg analoog aan het US SIPR (Secret Internet Protocol Router)-netwerk aan de onderkant.

NATO Secret (NS) is de primaire operationele classificatie voor gevoelige bondgenootschappelijke planning, inlichtingen en operationele data. NS-infrastructuur moet fysiek gescheiden zijn van NC en lager — afzonderlijke servers, afzonderlijke opslag, afzonderlijke netwerken. Personeelstoegang vereist een NATO Secret-machtiging en need-to-know. De meeste tactische en operationele NATO-software opereert op NS. Het US-equivalent is SECRET op SIPR of IL5/IL6 in de cloudcontext.

Cosmic Top Secret (CTS) en de speciale voorbehouden daarvan (CTS/ATOMAL, CTS/BOHEMIA, enz.) vereisen SCIF-equivalente fysieke beveiliging, een volledige air-gap van externe netwerken inclusief NS, en strikt beperkte personeelspools. CTS-systemen worden uitsluitend beheerd in door NATO gecontroleerde of nationaal geaccrediteerde faciliteiten. Geen enkele commerciële cloudaanbieding, hoe goed geaccrediteerd ook, kwalificeert voor CTS.

Belangrijkste inzicht: De operationeel meest ingrijpende NATO-systemen draaien op NS-niveau. Leveranciers die zich richten op de kern-C2-, ISR- en logistieke programma's van het bondgenootschap moeten vanaf dag één voor NS ontwerpen — het achteraf inbouwen van NS-beveiligingsmaatregelen in een systeem dat voor NU is ontworpen, is zelden haalbaar zonder een vrijwel volledige herbouw van de identiteits-, cryptografie- en gegevensverwerkingslagen.

Fysieke scheidingseisen op elk niveau

De fysieke scheidingseisen zijn de meest concrete uitdrukking van classificatieniveaus, en ze drijven de infrastructuurkosten meer op dan welke andere factor ook.

Op NATO Unclassified is gedeelde fysieke infrastructuur toegestaan. Een NU-workload kan draaien in een multi-tenant commercieel cloud-datacenter naast niet-NATO-tenants, mits de clouddienst op de NCIA-goedgekeurde lijst staat en logische isolatie (VPC, namespace, tenant-scheiding) correct is geconfigureerd. Dit maakt NU het enige niveau waar commerciële hyperscale-cloud een echte optie is zonder controls op faciliteitsniveau.

Op NATO Restricted en Confidential moet de fysieke infrastructuur zich bevinden in een NATO-geaccrediteerde faciliteit of een nationaal goedgekeurd equivalent. De server-, opslag- en netwerkhardware moet toegewijd zijn aan NATO-workloads — die kan niet worden gedeeld met commerciële tenants of niet-NATO-overheidsworkloads. Binnen een NATO-geaccrediteerde faciliteit mogen NR- en NC-systemen hardware delen onder strikte logische scheiding, maar de faciliteit zelf levert de fysieke beveiligingsgrens.

Op NATO Secret wordt de fysieke scheiding absoluter. NS-servers, -opslag en -netwerken moeten op toegewijde hardware staan die niet wordt gedeeld met NC- of NR-workloads. De hardware moet zich bevinden in een faciliteit die voldoet aan de TEMPEST-eisen van NATO (bescherming tegen elektromagnetische emanatie), met zonegecontroleerde toegang en CCTV-dekking van serverruimtes. Draagbare opslagmedia die in NS-omgevingen worden gebruikt, moeten worden gevolgd, gecontroleerd en behandeld volgens de COMSEC-procedures (communications security) van NATO.

Op Cosmic Top Secret benaderen de fysieke beveiligingseisen die van een nationale inlichtingenfaciliteit: volledige SCIF-bouwnormen, personeelstoegang via tweefactor-biometrie of kaartsystemen, Faraday-afscherming, en geen netwerkconnectiviteit met externe systemen — inclusief andere geclassificeerde netwerken — zonder een goedgekeurde CDS.

Rekenopties per niveau

Commercieel en GovCloud (NATO Unclassified). NU-workloads kunnen worden uitgerold op commerciële hyperscale-platforms (AWS, Azure, GCP) met behulp van NCIA-goedgekeurde service-aanbiedingen. Voor NATO-lidstaten met binnenlandse soevereiniteitseisen verdienen nationale cloudplatforms beheerd door goedgekeurde providers de voorkeur. De NCIA Hybrid Cloud levert een beheerde NU-omgeving voor de eigen administratieve en publiek gerichte systemen van NATO.

Soevereine cloud en toegewijde tenancy (NATO Restricted / Confidential). De praktische rekenopties voor NR/NC-workloads zijn soevereine cloud-deployments — nationaal beheerde cloudinfrastructuur die draait op goedgekeurde hardware in gecontroleerde faciliteiten — of toegewijde private-cloudomgevingen in NATO-geaccrediteerde datacenters. Verscheidene NATO-landen hebben nationale defensiecloudprogramma's opgezet: de MOD Managed Cloud Services van het VK, het Cloud au Centre (SFT3) van Frankrijk en het Bundeswehr Informationstechnik GmbH (BWI)-cloudprogramma van Duitsland. Deze platforms zijn specifiek ontworpen om NR/NC-data te bevatten en hebben nationale accreditatie ondergaan.

Air-gapped soevereine infrastructuur (NATO Secret). NS-rekenkracht draait op air-gapped infrastructuur — fysiek geïsoleerde servers zonder externe netwerkconnectiviteit. Software-uitrol naar NS-omgevingen verloopt via geaccrediteerde media (versleutelde USB, optische schijf of toegewijd transferwerkstation) door een CDS. Containerorchestratie op NS-niveau gebruikt doorgaans een geharde Kubernetes-distributie uitgerold op bare-metal of een private hypervisor, zonder connectiviteit met externe registries of update-kanalen. Alle container-images moeten vooraf worden opgehaald, geverifieerd en in air-gapped registries worden geladen vóór de uitrol.

Belangrijkste inzicht: Het beheer van de toeleveringsketen van container-images is een van de operationele uitdagingen met de meeste frictie op NS-niveau. Leveranciers die gecontaineriseerde applicaties uitrollen naar NATO Secret-omgevingen moeten een volledige software bill of materials (SBOM) bijhouden, alle base-images vooraf kwalificeren via het image-beoordelingsproces van de faciliteit, en accepteren dat update-cycli die in commerciële omgevingen in dagen worden gemeten, op NS in weken of maanden worden gemeten.

Netwerkarchitectuur en cross-domain solutions

De bepalende netwerkuitdaging in een multi-tier NATO-deployment is het beheersen van de datastroom over classificatiegrenzen heen. Data die op NS ontstaat, kan niet naar NU-netwerken stromen zonder door een goedgekeurde cross-domain solution te gaan. De CDS dwingt het beveiligingsbeleid aan de grens af — het is niet simpelweg een firewall, maar een gespecialiseerde appliance die regels voor inhoudsinspectie, datavalidatie en formaattransformatie toepast die in het accreditatiepakket van het systeem zijn gedefinieerd.

Guard-apparaten zijn bidirectionele filterappliances die goedgekeurde datatypes onder gedefinieerde voorwaarden tussen niveaus laten stromen. Een guard zou gesaniteerde sensordata van NS naar NU kunnen toestaan voor bredere verspreiding, terwijl het elke stroom van planning- of inlichtingendata blokkeert. Guards vereisen een gedetailleerd inhoudsfilterbeleid dat door de accreditatie-autoriteit is goedgekeurd, en het beleid zelf wordt een beveiligingsartefact dat moet worden voorzien van versiebeheer en geaudit.

Data diodes zijn door hardware afgedwongen eenrichtingsoverdrachtsapparaten — fysiek bevatten ze alleen een zender aan de high-zijde en alleen een ontvanger aan de low-zijde, waardoor het onmogelijk is dat data in de verboden richting stroomt. Data diodes worden gebruikt voor bulkoverdracht van high naar low (bijv. het pushen van gesaniteerde tactische logs van NS naar NU voor analyse) waar bidirectionele communicatie niet vereist is. Producten zoals Owl Cyber Defense DualDiode en Waterfall Security Unidirectional Security Gateways zijn gangbaar in NATO-equivalente deployments.

Protocol breaks verhinderen dat directe TCP/IP-sessies classificatiegrenzen overspannen. Zelfs wanneer een guard data laat stromen, moet de verbinding bij de guard eindigen en aan de andere zijde opnieuw worden geïnitieerd — geen enkele end-to-end-sessie mag een niveaugrens overschrijden. Dit heeft aanzienlijke implicaties voor real-time-applicaties: streaming video, voice en sensorfeeds die van NS naar NU oversteken, moeten bij de guard opnieuw worden gecodeerd en opnieuw verzonden, wat latentie introduceert en formaatonderhandeling vereist.

Voor Corvus Quantum, dat veilige video- en datastreaming in defensieomgevingen levert, vereisen multi-tier-deployments dat de streamingpijplijn wordt geïmplementeerd als een getrapte relay — een NS-encoder voedt een goedgekeurde CDS, die aan de NU-zijde een gesaniteerde stream opnieuw initieert. Het streamingprotocol moet CDS-compatibel zijn (doorgaans UDP met een vaste pakketstructuur die de inhoudsfilters van de guard kunnen parsen), geen stateful sessieprotocol dat end-to-end-TCP vereist.

Identiteits- en toegangsbeheer over de niveaus heen

Elk classificatieniveau onderhoudt zijn eigen PKI-trust anchor (Public Key Infrastructure), en certificaten van een PKI op een lager niveau worden niet automatisch vertrouwd in een omgeving op een hoger niveau. Op NATO Unclassified kan standaard commerciële PKI of nationale overheids-PKI aanvaardbaar zijn. Op NATO Secret is de identiteitsinfrastructuur de NATO PKI — een toegewijde certificaatautoriteit beheerd door NCIA die certificaten uitgeeft aan smartcards (NATO CIS-tokens) die worden verdeeld aan personeel met NS-machtigingen.

Het praktische gevolg voor multi-tier-applicaties is dat een gebruiker die over niveaus heen werkt, afzonderlijke identiteiten en afzonderlijke hardwaretokens voor elk niveau moet hebben. Een systeem dat probeert één enkele identiteit te delen over NU en NS, is niet accrediteerbaar. Applicaties moeten afzonderlijke authenticatiestromen voor elk niveau implementeren, zonder dat sessietoken of credentialmateriaal de niveaugrens overschrijdt.

Multifactor-authenticatie is verplicht op alle niveaus boven NU. Op NC/NS is de norm certificaatgebaseerde authenticatie met een hardwaretoken (PKI-smartcard) plus pincode — biometrie mag aanvullend zijn maar kan de certificaatfactor niet vervangen. Authenticatie met alleen een wachtwoord wordt op geen enkel geclassificeerd niveau geaccepteerd. Voor webgebaseerde applicaties die in NS-omgevingen worden uitgerold, is wederzijdse TLS met client-certificaatauthenticatie de basislijn, zonder uitzonderingen voor developer- of serviceaccounts.

Privileged access management op NS-niveau vereist doorgaans jump-servers (privileged access workstations, PAW's) die fysiek en logisch geïsoleerd zijn van standaard gebruikerswerkstations, waarbij alle bevoorrechte sessies worden opgenomen en onderworpen zijn aan audit. De PAW-omgeving zelf moet deel uitmaken van de geaccrediteerde systeemgrens.

Softwarecertificering en het NATO-accreditatieproces

Software die op NC- of NS-niveau opereert, moet worden gecertificeerd via het beveiligingsaccreditatieproces van NATO, beheerd door de NATO Security Accreditation Authority (SAA) — het orgaan binnen NCIA dat verantwoordelijk is voor het goedkeuren van systemen voor gebruik binnen NATO-netwerken. Het accreditatieproces volgt de INFOSEC Technical Baseline (ITB) van NATO, een reeks beveiligingseisen die toegangscontrole, cryptografie, audit, kwetsbaarheidsbeheer en configuratiebeheer omvatten.

Het accreditatiepakket omvat een System Security Plan (SSP) dat de systeemgrens, datastromen en beveiligingsmaatregelen documenteert; een risicobeoordeling die restrisico's toewijst aan de ITB; een Configuration Management Plan; en een Incident Response Plan. Voor software die in nationale faciliteiten onder bilaterale overeenkomsten wordt uitgerold, kan de nationale Designated Accreditation Authority (DAA) — equivalente rollen bestaan in het VK (DSO), Duitsland (BSI), Frankrijk (ANSSI) en andere lidstaten — de accreditatie uitvoeren in plaats van de NATO SAA, maar de toegepaste normen moeten voldoen aan of hoger zijn dan de ITB.

Leveranciers moeten rekening houden met meerdere accreditatiecycli. Initiële accreditatie omvat doorgaans een eerste indiening, een bevindingenrapport van de SAA, een remediatieperiode en een herindiening — de volledige cyclus duurt routinematig 12–24 maanden voor NS-systemen. Elke grote softwarerelease die de systeemgrens wijzigt, nieuwe datastromen introduceert of cryptografische implementaties verandert, kan een gedeeltelijke heraccreditatie in gang zetten. Het inbouwen van accreditatie-onderhoud in de productontwikkelingslevenscyclus — en het niet behandelen ervan als een eenmalige gebeurtenis — is essentieel voor programma's met operationele horizonnen van meerdere jaren.

Belangrijkste inzicht: De NATO-accreditatietijdlijn is het meest onderschatte planningsrisico in bondgenootschappelijke softwareprogramma's. Leveranciers die hun eerste NATO-programma starten, moeten 18 maanden begroten vanaf de eerste SSP-indiening tot operationele autoriteit om verder te gaan op NS-niveau, en moeten verwachten dat het accreditatieproces 15–20% van de totale engineering-inspanning van het programma over het hele team zal verbruiken.

Deployment-patronen voor multi-tier-applicaties

Het dominante architectuurpatroon voor multi-tier NATO-software is de getrapte relay: een enkele logische applicatie met afzonderlijke deployments op elk classificatieniveau, verbonden door een goedgekeurde CDS voor gecontroleerde data-uitwisseling. Elke niveauspecifieke deployment is een onafhankelijk geaccrediteerd systeem, ook al draait het op dezelfde codebase. Wijzigingen aan gedeelde componenten moeten in het accreditatiepakket van elk niveau opnieuw worden gekwalificeerd vóór de uitrol.

Gegevenssanitisatie vóór cross-tier-downgrade is het technisch meest complexe element van dit patroon. Een rapportageapplicatie die NS-operationele data aggregeert voor verspreiding naar NU-netwerken, moet een sanitisatieworkflow implementeren die geclassificeerde velden verwijdert, ingebedde metadata verwijdert (EXIF-data in beeldmateriaal, auteursinformatie in documenten, GPS-coördinaten in sensorlogs), data converteert naar formaten die geen ingebedde geclassificeerde informatie kunnen dragen, en elke overdracht logt met voldoende auditdetail om de herkomst van elk item dat de grens overschreed te reconstrueren.

Geautomatiseerde sanitisatie kan gestructureerde data aan (databaserecords met gedefinieerde veldclassificaties) maar is ontoereikend voor ongestructureerde data (documenten in natuurlijke taal, beeldmateriaal, audio). Voor de downgrade van ongestructureerde data is een menselijke beoordelingsstap — een getrainde classificatiebeoordelaar die de gesaniteerde output inspecteert voordat deze de grens oversteekt — doorgaans vereist door accreditatie-autoriteiten. Software kan de beoordelaar bijstaan (het markeren van waarschijnlijk geclassificeerde passages, het signaleren van beeldmateriaal dat uitrusting of personeel bevat), maar de beoordelingsbeslissing moet toe te schrijven zijn aan een genoemd, verantwoordelijk individu.

Voor leveranciers wier producten integreren met zero-trust-architecturen in NATO-omgevingen voegt het niveaumodel een dimensie toe aan het standaard zero-trust-model: naast het verifiëren van identiteit, apparaatstatus en aanvraagcontext moet de policy engine ook toegangscontroles op basis van gegevensclassificatie afdwingen — om te waarborgen dat een gebruiker die op NS is geauthenticeerd niet onopzettelijk NS-data kan exfiltreren via een applicatie-interface die op NU is blootgesteld. Dit vereist dat classificatielabels worden gekoppeld aan dataobjecten op het punt van ingestie en worden afgedwongen door de hele applicatiestack, inclusief caches, queues en tijdelijke opslag.

Wat dit betekent voor leveranciers van defensiesoftware

Het NATO-niveaumodel is geen abstract compliance-kader — het is een reeks harde engineeringbeperkingen die bepalen wat u kunt bouwen, hoe snel u het kunt uitrollen en hoe u elke datastroom moet architecteren. Leveranciers die het als een vinkjesoefening behandelen, ontdekken de implicaties ervan laat, wanneer remediatie het duurst is.

De belangrijkste praktische stappen zijn: definieer uw doelniveau bij aanvang van het architectuurontwerp, niet na de ontwikkeling; betrek de NATO SAA of nationale DAA bij pre-accreditatieconsultaties voordat u een formeel pakket indient; bouw uw CDS-interfaceontwerp parallel aan uw applicatieontwerp, niet erna; en behandel accreditatie-onderhoud als een doorlopende engineeringfunctie, niet als een eenmalige programmamijlpaal.

Voor producten zoals Corvus Quantum die geclassificeerde data over of binnen NATO-netwerken streamen, definieert de niveau-architectuur de gehele streamingtopologie — plaatsing van de encoder, CDS-integratiepunten, beveiligingseisen voor relay-knooppunten, en het latentiebudget dat beschikbaar is na verrekening van de CDS-inspectie-overhead. Dit zijn geen parameters die achteraf kunnen worden geoptimaliseerd; ze moeten vanaf de eerste architectuurreview in het systeem worden ontworpen.

Bespreek uw project

Wij ontwerpen en rollen veilige software uit voor NATO- en geallieerde defensieprogramma's — van NATO Unclassified commerciële cloud tot air-gapped NATO Secret-deployments en CDS-geïntegreerde multi-tier-architecturen.

Corvus Quantum → Plan een briefing

Deze analyse is opgesteld door Corvus Intelligence-engineers die bedrijfskritische software bouwen voor defensie- en overheidsorganisaties. Leer meer over ons team →

Veelgestelde vragen

Kan AWS GovCloud NATO SECRET-data hosten?

Nee — niet rechtstreeks. AWS GovCloud (US) is geaccrediteerd voor US DoD Impact Level 5 (IL5), wat US national security systems en CUI omvat. NATO SECRET (NS)-classificatie volgt NATO NCIA-accreditatieprocessen die los staan van de FedRAMP- en DoD IL-kaders. NATO SECRET-data moet zich bevinden in infrastructuur die specifiek is geaccrediteerd door NATO-beveiligingsautoriteiten, wat doorgaans NATO-eigen faciliteiten, door een nationaal MoD gecontroleerde soevereine cloud, of door contractanten beheerde datacenters betekent die de INFOSEC Technical Baseline-beoordeling van NATO hebben afgerond. Sommige nationale programma's hebben bilaterale regelingen nagestreefd, maar er is geen algemene goedkeuring voor commerciële GovCloud als host voor NS-data.

Wat is de NATO NCIA-cloudservicecatalogus?

Het NATO Communications and Information Agency (NCIA) beheert de NATO Cloud Service Catalogue, die Infrastructure-as-a-Service-, Platform-as-a-Service- en Software-as-a-Service-aanbiedingen opsomt die zijn goedgekeurd voor gebruik over de NATO-classificatieniveaus heen. De catalogus maakt onderscheid tussen diensten die zijn goedgekeurd voor NATO Unclassified (NU), NATO Restricted (NR) en NATO Confidential/Secret (NC/NS). NCIA beheert de NATO Hybrid Cloud, een combinatie van privaat beheerde NATO-infrastructuur en goedgekeurde commerciële diensten voor lagere classificatieniveaus. Toegang tot de catalogus en de lijsten met goedgekeurde leveranciers vereist betrokkenheid via nationale delegaties of rechtstreekse NCIA-inkoopkanalen.

Hoe lang duurt NATO-cloudaccreditatie?

NATO-beveiligingsaccreditatietijdlijnen hangen sterk af van het classificatieniveau en de scope. Voor NATO Unclassified-systemen die reeds goedgekeurde commerciële diensten gebruiken, kunnen integratie en goedkeuring 3–6 maanden duren. Voor NATO Restricted- of NATO Confidential-systemen vereist het accreditatiepakket — inclusief het System Security Plan, de risicobeoordeling en het bewijsmateriaal voor de INFOSEC Technical Baseline — doorgaans 9–18 maanden voor een eerste indiening, met iteratiecycli als er bevindingen worden gerapporteerd. NATO Secret-systemen die toegewijde infrastructuuraccreditatie vereisen, kunnen 2–4 jaar duren voor een nieuwe faciliteit of platform. Leveranciers moeten de NATO Security Accreditation Authority (SAA) vroeg in de programmalevenscyclus betrekken, niet aan het einde van de ontwikkeling.

Wat is een cross-domain solution en wanneer is die vereist?

Een cross-domain solution (CDS) is een combinatie van hardware en software die het informatiebeveiligingsbeleid afdwingt bij het overdragen van data tussen netwerken met verschillende classificatieniveaus. Een CDS is vereist telkens wanneer data moet stromen van een netwerk met een hogere classificatie (bijv. NATO Secret) naar een netwerk met een lagere classificatie (bijv. NATO Unclassified), of in de omgekeerde richting met passende sanitisatie en declassificatie. CDS-componenten omvatten guard-apparaten (bidirectionele filterappliances), data diodes (door hardware afgedwongen eenrichtingsstromen voor bulkoverdracht) en protocol breaks (die directe TCP-sessies verhinderen de grens over te steken). Alle CDS-componenten die in NATO-omgevingen worden gebruikt, moeten op de NCIA-goedgekeurde productenlijst staan of een door NATO geaccepteerde goedkeuring van een nationale autoriteit hebben ontvangen.

Wat zijn de fysieke scheidingseisen tussen NATO-cloudniveaus?

De fysieke scheidingseisen schalen mee met het classificatieniveau. NATO Unclassified-infrastructuur kan hardware delen met niet-NATO-systemen via logische scheiding (VLAN's, VPC's, tenant-isolatie). NATO Restricted vereist doorgaans logische scheiding van commerciële workloads maar mag fysieke infrastructuur delen binnen een gecontroleerde faciliteit. NATO Confidential en NATO Secret vereisen fysiek gescheiden servers, opslag en netwerken binnen een NATO-geaccrediteerde faciliteit — gedeelde fysieke infrastructuur met workloads met een lagere classificatie of commerciële workloads is niet toegestaan. NATO Top Secret (CTS) en hoger vereisen SCIF-equivalente fysieke beveiliging met strikt gecontroleerde personeelstoegang, elektromagnetische afscherming en in de meeste gevallen een volledige air-gap van elk extern netwerk, inclusief andere geclassificeerde netwerken.