Soevereine cloudarchitectuur voor defensie: AWS GovCloud, Azure Gov, OVH en EU-soevereine opties

Soevereine cloud is een van de meest overbeladen termen in defensie-IT-inkoop. Leveranciers passen het toe op alles, van een hyperscalerregio waarvan de gebouwen binnen nationale grenzen staan tot een volledig air-gapped private cloud die uitsluitend wordt bemand door geclassificeerde nationals. Het label verbergt architectuurbeslissingen die in de praktijk bepalen of een buitenlandse overheid openbaarmaking van uw gegevens kan afdwingen, of een inlichtingendienst van een tegenstander het personeel van de cloudoperator kan co-opteren, en of uw continuïteitsplan van de operaties een geopolitieke breuk overleeft. Voor defensieworkloads zijn deze vragen bepalend.

Dit artikel doorloopt het praktische soevereine-cloudlandschap van 2026: de overheidsregio's van de Amerikaanse hyperscalers, de nieuwe generatie EU-soevereine aanbiedingen (Bleu, Delos, T-Systems, OVH), NAVO- en nationale defensieclouds, en de on-prem basis waarmee ze allemaal uiteindelijk concurreren. Het is geschreven voor architecten die plaatsingsbeslissingen nemen, niet voor inkoopteams die bestek schrijven.

1. Wat "soevereine cloud" werkelijk betekent

Soevereiniteit in cloud is niet één eigenschap — het zijn drie orthogonale vectoren, en elke eerlijke evaluatie moet elk afzonderlijk beoordelen.

Gegevensverblijf is het gemakkelijkst en het meest overbenadrukt. Het vraagt: waar leven de bytes fysiek? Een regio in Frankfurt, Parijs of Warschau voldoet aan verblijf voor EU-kopers. Maar verblijf alleen is de zwakste soevereiniteitsgarantie die beschikbaar is, omdat het niets zegt over wie die bytes via het besturingsvlak kan bereiken.

Operatorsoevereiniteit vraagt: wie kan de infrastructuur beheren? Commerciële regio's van Amerikaanse hyperscalers worden beheerd door wereldwijd gedistribueerde engineeringteams — een L2-ticket dat uw tenant aanraakt, kan worden afgehandeld vanuit India, Ierland of Seattle. Overheidsklasse soevereine aanbiedingen beperken dit tot een gedefinieerde set gecertificeerde nationals, met audittrails die voldoende zijn om naleving aan te tonen. SecNumCloud (Frankrijk) en C5 (Duitsland) vereisen beiden dat operators EU-nationals zijn die werken onder EU-jurisdictie.

Jurisdictionele soevereiniteit is de vector die de meeste inkoopveronderstellingen doorbreekt. De Amerikaanse CLOUD Act van 2018 stelt Amerikaanse autoriteiten in staat elk in de VS ingelijfd bedrijf te dwingen gegevens onder zijn controle te produceren, ongeacht waar die gegevens fysiek verblijven. Een in de VS gevestigde hyperscaler die infrastructuur in Frankfurt exploiteert, is dus nog steeds juridisch bereikbaar via een Amerikaanse rechtbank. De reactie van de EU — GDPR, Schrems II, de Data Act — scherste de vraag maar loste het niet op. Het enige structurele antwoord is zowel de gegevens als de rechtspersoon die ze beheert onder EU-jurisdictie te plaatsen.

Een nuttige diagnostiek: vraag of een buitenlandse rechterlijke uitspraak, uitgevaardigd aan de cloudprovider, in principe openbaarmaking van de gegevens van uw workload kan afdwingen zonder betrokkenheid van uw overheid. Als het eerlijke antwoord "ja" is, heeft u geen soevereine cloud — u heeft een regionale cloud.

2. Soevereine aanbiedingen van Amerikaanse hyperscalers

De Amerikaanse hyperscalers hebben vijftien jaar besteed aan het bouwen van isolatie op overheidsklasse. Het resultaat is de meest volwassen soevereine cloudlaag op de planeet — voor Amerikaans gelieerde kopers.

AWS GovCloud (US-East en US-West) is fysiek geïsoleerd, alleen beheerd door Amerikaanse personen en geaccrediteerd op FedRAMP High en DoD IL4/IL5. AWS Secret Region en AWS Top Secret Region bestaan voor de geclassificeerde niveaus maar zijn alleen bereikbaar door geaccrediteerde Amerikaanse overheids- en contractantkopers. AWS kondigde een European Sovereign Cloud (Brandenburg) aan voor levering in 2026, volledig beheerd door EU-nationals — de eerste Amerikaanse hyperscaler die die structuur voor EU-kopers toezegt.

Azure Government spiegelt het AWS-model met Azure Government (FedRAMP High, IL5), Azure Government Secret (IL6) en Azure Government Top Secret. Microsoft heeft de meest uitgebreide geaccrediteerde voetafdruk op het geclassificeerde niveau, en Azure Government erft de meeste commerciële Azure-diensten met een vertraging van zes tot twaalf maanden. Microsoft exploiteert ook Microsoft Cloud for Sovereignty als een configureerbare laag bovenop commercieel Azure voor kopers die soevereiniteitscontroles willen zonder de volledige Azure Government-accreditatieoverhead — zie onze GovCloud-architectuurvergelijking voor de Azure-vs-AWS plaatsingsdetails.

Google Assured Workloads is het lichtste van de drie: een besturingsvlak-overlay op commercieel Google Cloud dat verblijf-, personeel- en sleutelbeheerconstraints afdwingt. Het richt zich op FedRAMP High en IL5 voor specifieke configuraties maar exploiteert geen aparte regio. Voor workloads waarbij een geconfigureerde commerciële regio acceptabel is, kan dit de ATO-tijd verkorten; voor IL6 en hoger concurreert het niet.

De harde beperking voor niet-Amerikaanse kopers: GovCloud, Azure Government en de IL5/IL6-niveaus zijn beveiligd door alleen-Amerikaanse-personen-toegang en Amerikaanse exportcontrole. Een Franse luchtmachteenheid kan geen GovCloud-capaciteit kopen. Dit is de structurele reden waarom de EU-soevereine cloudlaag bestaat.

3. EU-soevereine aanbiedingen

Bleu is de Franse soevereine cloud-joint venture tussen Capgemini en Orange. Het draait gelicentieerde Microsoft Azure-technologie in Franse datacentra, alleen beheerd door Franse nationals, met volledige zakelijke controle onder Frans recht — expliciet buiten het bereik van de CLOUD Act. SecNumCloud-kwalificatie is de hoofdaccreditatie. Bleu is het duidelijkste voorbeeld van het model "gelicentieerde hyperscaler onder soevereine operator" en is de voorkeurs plaatsing voor Franse defensie-, ministeriële en OIV-workloads.

Delos is de Duitse soevereine cloud gebouwd door SAP en Arvato Systems, opnieuw op gelicentieerde Microsoft-technologie, gericht op C5-accreditatie en bedoeld voor Bund (federale) en Länder (state) workloads. Delos en Bleu zijn verwant: hetzelfde technische patroon, verschillende nationale jurisdicties.

T-Systems Sovereign Cloud is het oudere Deutsche Telekom-aanbod — soevereine cloud gebouwd zonder een hyperscaler-licentielaag, bovenop OpenStack en propriëtaire Telekom-orkestratie. Het richt zich op dezelfde koperbasis als Delos maar met een lager functieplafond en een langere operationele staat van dienst. Voor workloads die het volledige hyperscaler-API-oppervlak niet nodig hebben, is T-Systems vaak goedkoper en sneller aan boord te nemen.

OVHcloud bezet een onderscheidende niche: een volledig Europees-eigendom hyperscale-alternatief met bare-metal pods, dedicated cloud en een publieke cloudlaag, allemaal onder Franse jurisdictie. OVH beweert geen AWS-functiepariteit te evenaren, maar voor compute-intensieve en opslag-intensieve workloads is het concurrerend qua prijs en levert het echte jurisdictionele soevereiniteit zonder een Amerikaanse licentieafhankelijkheid. Voor diepere EU-vs-VS plaatsingsanalyse zie onze EU vs VS soevereine cloudvergelijking.

4. NAVO- en nationale defensieclouds

Boven de commerciële soevereine laag zit een laag die niet in leveranciersprospectussen verschijnt: NAVO- en nationale MoD-clouds. Dit zijn de bestemmingen voor geclassificeerde workloads waarbij zelfs SecNumCloud of FedRAMP High onvoldoende is.

De NCIA Software Factory en het bredere cloudprogramma van de NAVO bieden het alliantieniveau platform voor geclassificeerde workloads tussen landen (NATO Secret en lager). Nationale MoD's exploiteren parallelle soevereine clouds — MODCloud in het VK, de BWI Bundeswehr-cloud in Duitsland, het Nederlandse CC-NDC, de Poolse MoD-cloud — elk geaccrediteerd op het nationale geclassificeerde niveau en geïntegreerd met geallieerde deelprotocollen.

Daaronder zit de eigenlijke air-gapped laag, voor TS/SCI-equivalente workloads. We hebben het architectuurpatroon behandeld in air-gapped implementatie voor defensie. Het relevante punt hier is dat workloadplaatsingsbeslissingen deze laag expliciet moeten omvatten — een workload van NATO Secret naar een commerciële soevereine cloud verplaatsen is zeldzaam, maar omhoog gaan is gebruikelijk, en de architectuur moet die overgang overleven zonder herontwerp.

5. Hybride en on-prem basis

Soevereine cloud is niet altijd het juiste antwoord. De on-prem private-cloud basis — VMware vSphere, OpenStack of Kubernetes op bare metal in een geaccrediteerd nationaal datacenter — wint nog steeds in drie scenario's.

Ten eerste, voor geclassificeerde of air-gapped workloads die geen externe netwerkafhankelijkheid kunnen tolereren. De soevereine hyperscalers bieden losgekoppelde modi (Azure Stack Hub, AWS Outposts, Google Distributed Cloud Air-Gapped) maar prijzen, ondersteuningsmodel en operator-toegangsbeperkingen duwen de berekening vaak terug naar private cloud.

Ten tweede, voor stabiele workloads waarbij capex-afschrijving de hyperscalermarkering verslaat. Een workload die 24/7 draait bij voorspelbare belasting gedurende vijf jaar is de slechtst mogelijke economische match voor elke cloud — soeverein of niet. De hyperscalermarkering over afgeschreven bare metal is doorgaans 3-5x op jaarbasis.

Ten derde, voor organisaties die al gecertificeerde datacentra exploiteren. De marginale kosten van nog een rack zijn laag. De marginale kosten van het opbouwen van hyperscaler-soevereine-cloud-operatiecapaciteit zijn hoog. Voor gevestigde MoD IT-organisaties is on-prem uitbreiding gewoonlijk het goedkopere overgangspad.

6. Workloadplaatsingsbeslissingen

Workloadplaatsing reduceert tot een kleine set classificatieniveaus en een kleine set kosten-en-controle-afwegingen. De praktische matrix:

Ongeclassificeerd, publiek gericht (websites, wervingsportals, publieke API's) hoort thuis in commerciële hyperscalerregio's in uw jurisdictie. Soevereiniteitscontroles voegen kosten en operationele wrijving toe zonder proportionele waarde.

Ongeclassificeerd, intern CUI (HR, financiën, interne samenwerking) hoort in soevereine cloud — Bleu/Delos/Azure Gov-klasse — voor jurisdictionele bescherming van personeels- en operationele gegevens, ook al is er geen formele geclassificeerde markering van toepassing. De CLOUD Act-blootstelling is de bepalende factor.

Beperkt en NATO Beperkt hoort in nationale MoD-cloud of het equivalente geallieerde niveau. Commerciële soevereine cloud is hier doorgaans onvoldoende om accreditatieredenen in plaats van technische.

Geheim en hoger hoort in air-gapped nationale of alliantie-infrastructuur. Geen commerciële cloudaccreditatie bereikt dit niveau in 2026.

De kosten die inkoopteams te laag budgetteren zijn cross-domain overdracht: elke keer dat gegevens niveaus oversteken, is een cross-domain oplossing (eenrichtingsdiode, inhoudsinspectiereleais of geaccrediteerd cross-domain apparaat) vereist. Dit is traag, duur en vormt de operationele knelpunt van multi-laag architecturen. Ontwerpen om vereiste overdrachten te minimaliseren is waardevoller dan optimaliseren binnen elk afzonderlijk niveau.

7. Architectuurpatronen

Drie patronen komen terug in goed ontworpen defensie-estates.

Besturingsvlak in soevereine cloud, gegevensvlak in missiecloud. Identiteit, beleid, monitoring en CI/CD leven in een soevereine cloudlaag waar operator-toegang en audit strak zijn. Missieworkloads — sensorverwerking, C2-diensten, geospatiale analyses — draaien waar de latentie en classificatie vereisen, vaak op edge- of missiecloud-infrastructuur. Het besturingsvlak beheert het missievlak via smalle, gecontroleerde interfaces. Dit is dezelfde scheiding die zero-trust militaire netwerken formaliseert op de netwerklaag.

Federatieve identiteit over lagen. Identiteit moet de hele estate overspannen — een analist moet niet drie afzonderlijke inloggegevens nodig hebben voor soevereine cloud, MoD-cloud en air-gapped enclave. Federatieve identiteit met op claims gebaseerde autorisatie, verankerd in een soevereine cloud-identiteitsprovider en geprojecteerd (via goedgekeurde cross-domain mechanismen) in de hogere classificatieniveaus, is het standaardpatroon. Het harde probleem is de referentiecyclus over de air-gap.

Regionale implementatietopologie. Soevereine cloudregio's zijn dunner dan commerciële regio's. Een multi-regio actief-actief implementatie die triviaal is in commercieel AWS wordt een zorgvuldige ontwerpexercitie in GovCloud (twee regio's) of Bleu (aanvankelijk één). De reken van foutdomeinen verandert: regionale veerkracht betekent vaak hybride veerkracht, waarbij een soevereine cloud-primaire omgegooid wordt naar een on-prem secundaire in dezelfde jurisdictie. Zie multi-clouddefensiestrategie voor de veerkrachtpatroondetails.

8. Leveranciersafhankelijkheid en exitplanning

Soevereine cloud lock-in is moeilijker dan commerciële cloud lock-in omdat de substitutieruimte kleiner is. Er zijn vijf levensvatbare EU-soevereine opties. Er zijn twee echte GovCloud-niveau VS-opties. De hefboom die een enkele provider heeft op een captieve defensieklant is dienovereenkomstig groter.

De beperking heeft drie lagen.

Infrastructuurabstracties. Terraform met provider-agnostische modules, of Crossplane bovenop Kubernetes, laat het implementatieartefact een providerwisseling overleven. De hardere discipline is om provider-propriëtaire diensten te vermijden waar een draagbaar alternatief bestaat — beheerde Kubernetes (EKS, AKS, OVH Managed Kubernetes) gebruiken in plaats van providerspecifieke PaaS, S3-compatibele objectopslag gebruiken in plaats van native blob-API's, PostgreSQL of open-source data-engines gebruiken in plaats van provider-propriëtaire databases. De kosten van portabiliteit zijn reëel maar begrensd; de kosten van late-stage migratie zijn onbegrensd.

De exit-oefening. De "GovCloud verlaten"-oefening — een deskundige of proefmigratie van een niet-kritieke workload uit de gekozen soevereine cloud uitvoeren, naar een andere soevereine provider of naar on-prem — brengt lock-in kosten concreet in kaart. Defensieorganisaties moeten deze oefening minimaal elke twee jaar uitvoeren per grote workload. De output is een gedocumenteerd migratiehandboek met timing- en kostenramingen, dat het inkooprisicoregister en het BCP/DR-plan voedt.

Contractclausules. Inkoop moet machineleesbare gegevensexport binnen een gedefinieerd venster verplichten, IP-rechten op de implementatieautomatisering, geen toeslag op uitvoer voor het doel van provideruittreding, en voorwaarden voor overgangsassistentie. Dit is waar ITAR-vrije softwaretoevoer en provider-exittaal samenkomen: het doel in beide gevallen is soevereine optionaliteit te bewaren onafhankelijk van de voortdurende samenwerking van een buitenlandse leverancier.

Soevereine cloud, goed gedaan, is geen enkelvoudige inkoopaankoop maar een portfoliohouding: expliciete per-workload plaatsing, bewust cross-laag overdrachtontwerp, infrastructuurabstracties die exit bewaren, en een terugkerende oefening om te verifiëren dat de exit daadwerkelijk werkt. De leveranciers zullen soevereine labels blijven toevoegen. De architectuur is wat bepaalt of die labels iets betekenen.