Суверенна хмара для оборони: альтернативи ЄС американським гіперскейлерам

Європейські оборонні організації, що покладаються на американських хмарних гіперскейлерів — Amazon Web Services, Microsoft Azure, Google Cloud Platform — стикаються з ризиком суверенітету, який до недавнього часу був здебільшого теоретичним: можливість уряду США примушувати цих провайдерів розкривати дані, що зберігаються іноземними урядами та збройними силами, або обмежувати доступ до послуг відповідно до режимів американського експортного контролю чи санкцій.

Закон CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) дозволяє федеральним правоохоронним органам США примушувати хмарних провайдерів із штаб-квартирою в США надавати дані, що зберігаються будь-де у світі, незалежно від місцевих законів про захист даних. Для європейських оборонних даних — навіть незасекречених оперативних даних — це створює правовий шлях для доступу уряду США, несумісний з вимогами суверенітету даних. Ризик не теоретичний: судові системи ЄС неодноразово ставили під сумнів правову основу трансатлантичних передач даних ЄС-США саме через ризик CLOUD Act.

Проблема суверенітету для європейської оборони

Проблема суверенітету для європейських оборонних організацій, що працюють на інфраструктурі американських гіперскейлерів, має три виміри: примусове розкриття (CLOUD Act та подібні правові інструменти дозволяють уряду США доступ до даних), одностороннє обмеження послуг (режими санкцій або політичні рішення можуть призвести до обмеження або припинення обслуговування конкретних європейських організацій американськими провайдерами) та технологічна залежність (глибока технічна інтеграція з пропрієтарними американськими хмарними сервісами створює витрати переходу та стратегічні залежності, що є геополітично проблематичними для оборонних організацій).

Перший вимір є правовим і постійним — він властивий американській корпоративній структурі провайдерів-гіперскейлерів і не може бути пом'якшений лише договірними положеннями про зберігання даних. Другий вимір наразі є гіпотетичним для європейських союзників, але геополітичне середовище змінилося достатньо, щоб оборонні організації, відповідальні за довгострокові інфраструктурні рішення, розглядали сценарії погіршення американсько-европейських політичних відносин. Третій вимір є керованим за допомогою продуманих архітектурних рішень, але потребує дисципліни з самого початку.

Ландшафт суверенних хмар ЄС

OVHcloud з сертифікацією SecNumCloud є провідним французьким хмарним провайдером з найвищою хмарною сертифікацією безпеки ANSSI (SecNumCloud, qualifié niveau élevé). SecNumCloud вимагає, щоб провайдер контролювався суб'єктами ЄС, обробка даних залишалася під юрисдикцією européen, а інфраструктура та операції провайдера підлягали аудиту з боку французьких та європейських органів влади. OVHcloud керує центрами обробки даних по всій Європі та надає послуги IaaS, PaaS та керований Kubernetes. Його сертифікація SecNumCloud робить його найбільш надійним суверенним варіантом ЄС для французьких оборонних та урядових навантажень і дедалі більше — для загальноєвропейських оборонних програм, що визначають суверенітет пріоритетом.

DELOS Cloud (партнерство T-Systems/Deutsche Telekom з Microsoft) — це німецька суверенна хмарна пропозиція, що запускає сервіси Azure на інфраструктурі, якою володіє та управляє T-Systems (дочірня компанія Deutsche Telekom) відповідно до німецького законодавства, з механізмом технічного опікуна, призначеним для запобігання доступу уряду США відповідно до CLOUD Act. Модель DELOS забезпечує доступ до портфоліо хмарних сервісів Microsoft — включаючи Entra ID, Azure Kubernetes Service та Azure Monitor — з вирішенням проблеми суверенітету даних через структуру опікуна. BSI (Bundesamt für Sicherheit in der Informationstechnik) брало участь в оцінці безпеки архітектури DELOS.

Hetzner та IONOS — це німецькі хмарні провайдери, що пропонують прямолінійний IaaS під юрисдикцією ЄС без американських корпоративних материнських структур. Їм бракує широти керованих сервісів основних гіперскейлерів і вони не мають глибини сертифікації безпеки OVHcloud SecNumCloud або DELOS, але для оборонних навантажень з помірними вимогами до хмарних сервісів та жорсткими обмеженнями суверенітету вони забезпечують чисту правову позицію. Обидва мають сертифікацію ISO 27001 та прагнуть до додаткових схем сертифікації ЄС.

GAIA-X: що насправді надається

GAIA-X, запущений у 2019 році як франко-німецька ініціатива та розширений до ширшої ініціативи ЄС, спрямований на створення федеративної, сумісної екосистеми європейської хмарної інфраструктури. Важливо точно розуміти, чим GAIA-X є і чим не є.

GAIA-X не є хмарним провайдером — він не управляє обчислювальною інфраструктурою. Це система управління та стандартів: набір специфікацій щодо того, як хмарні провайдери та сервіси даних можуть реєструвати свої пропозиції, сертифікувати відповідність вимогам управління даними та брати участь у федеративному ринку. Trust Framework GAIA-X визначає вимоги до суверенітету даних, портативності, прозорості та сумісності, яким повинні відповідати провайдери для отримання міток відповідності GAIA-X.

Для оборонних закупівель відповідність GAIA-X є індикатором — а не гарантією — позиції суверенітету, орієнтованого на ЄС. Провайдер, що досяг відповідності GAIA-X, підпорядкувався визначеній системі управління, але відповідність GAIA-X не замінює національні сертифікати безпеки, такі як SecNumCloud або BSI C5. Оборонні організації повинні розглядати статус GAIA-X як один з показників у ширшій оцінці постачальника, а не як достатній критерій кваліфікації сам по собі.

EUCS: Схема сертифікації кібербезпеки ЄС для хмари

Схема сертифікації кібербезпеки ЄС для хмарних сервісів (EUCS) розробляється ENISA (Агентством ЄС з кібербезпеки) відповідно до Закону ЄС про кібербезпеку. EUCS створить гармонізовану схему сертифікації хмарної безпеки в державах-членах ЄС, замінюючи поточну мозаїку національних сертифікацій (французький SecNumCloud, німецький C5 тощо).

EUCS визначає три рівні гарантій: Базовий, Суттєвий та Високий. Рівень Високих гарантій є актуальним для оборонних навантажень: він вимагає правового контролю провайдера в ЄС, обробки даних, обмеженої ЄС, технічних та організаційних заходів, що запобігають доступу урядів не-ЄС, та аудиту органом з оцінки відповідності, акредитованим національним акредитаційним органом держави-члена ЄС.

EUCS High ще доопрацьовується станом на 2026 рік, з тривають політичними дискусіями щодо того, чи повинні американські гіперскейлери з дочірніми компаніями в ЄС мати право на рівень Високих гарантій. Для європейських оборонних організацій практична рекомендація: надавати перевагу провайдерам, що наразі мають національні сертифікації Високих гарантій (SecNumCloud qualifié élevé, BSI C5 з атестацією суверенітету) і матимуть хорошу позицію для сертифікації EUCS High, коли вона буде завершена.

Критерії відбору для оборони ЄС

Вибір хмарного провайдера для оборонних навантажень ЄС вимагає оцінки за п'ятьма критеріями: юрисдикція (провайдер повинен контролюватися суб'єктами ЄС без правового шляху доступу іноземного уряду); резидентність даних (дані повинні залишатися на території ЄС, що є договірно та технічно забезпеченим); контроль ключів шифрування (оборонна організація повинна зберігати виключний контроль над ключами шифрування, запобігаючи доступу провайдера до вмісту даних навіть у разі примусу); права аудиту (оборонна організація повинна мати можливість незалежно або через акредитовану третю сторону перевіряти інфраструктуру, операції та журнали доступу провайдера); та сертифікація безпеки (провайдер повинен мати відповідну національну або ЄС-сертифікацію на відповідному рівні гарантій для класифікації навантаження).

Контроль ключів шифрування є особливо важливим і часто недостатньо специфікованим при закупівлях. Провайдер, що зберігає дані, зашифровані ключами, якими він керує, не забезпечує реального захисту від примусового розкриття — розшифрування даних є тривіальним для провайдера під юридичним примусом. Оборонна організація повинна управляти власним HSM (апаратним модулем безпеки) або використовувати сервіс ключів, що управляється клієнтом, де провайдер явно не може отримати доступ до ключів, та перевіряти за допомогою технічного та правового огляду, що ця архітектура дійсно реалізована наскрізно.