Claves 2024: Así funcionará la AWS European Soreveign Cloud
El senior security architect de Amazon Web Services, Tomás Clemente, explica cómo su nueva propuesta pretende convertirse en un punto más en la evolución de la tecnología cloud, con regionalización y acceso a los datos sólo para residentes
El senior security architect de AWS, Tomás Clemente, durante su intervención en Barcelona. / E. M.
Le corresponde a Tomás Clemente, senior security architect de Amazon Web Services (AWS), explicar en qué va a consistir la AWS European Sovereign Cloud. Y a la vista del nutrido grupo de asistentes que quiso abundar en el tema una vez terminada la charla, puede decirse que la expectación es máxima. Cada país con su canción, por supuesto.
“Proporcionamos el set más avanzado de controles de soberanía y prestaciones disponibles en el cloud”, comienza diciendo Tomás Clemente. Un inventario de herramientas que “permite el control sobre la localización del dato, un control verificable sobre el acceso al dato, la habilidad de encriptar todo en cualquier sitio y la resiliencia del cloud”. Y subraya: “No hay soberanía en la nube si no hay resiliencia”.
Los movimientos a los que estamos asistiendo por parte del gigante de la nube norteamericano se están realizando, según explica, “cumpliendo con el compromiso de soberanía digital”. En 2021, puso en marcha los controles de residencia del dato con AWS Control Tower; en noviembre de 2022, activó el compromiso de soberanía digital, que significa control sin comprometer, y el External Key Store (XKS) de AWS KMS (Key Management System), que introduce un modelo de a disponibilidad general.
Ya este año, en abril de 2023, AWS Nitro System consiguió la validación independiente de una tercera parte, una consultora de ciberseguridad, “el informe puede consultarse y está escrito de una forma accesible para cualquiera”, apunta el directivo español. AWS Nitro System brinda componentes de hardware y software para las instancias de Elastic Compute Cloud (EC2), lo que permite a los clientes seguir ejecutando las cargas de trabajo y las aplicaciones en las familias de instancias en las que las creó sin preocuparse por la duración del servicio.
Un mes después, los nuevos términos de servicio de AWS pasaron a incluir ya los compromisos en AWS Nitro System, en septiembre pasado se lanzaron las Dedicated Lozal Zones y en octubre se anunció el AWS European Soreveign Cloud.
“Las actuales Regiones AWS son soberanas por diseño: los clientes tienen el control sobre los datos”, explica Tomás Clemente, y eso incluye su localización. Hay 32 regiones en todo el mundo, ocho de ellas están disponibles en Europa, incluidas seis en la UE. AWS no tiene acceso al dato de los clientes en el AWS Nitro System.
“AWS puede encriptar datos almacenados, en tránsito o en memoria”, añade. “Los trabajadores de AWS no pueden acceder a las claves de encriptación basadas en texto sin formato. Se utiliza el estado del arte en encriptación, módulos de seguridad de hardware validado FIPS 140-2 Nivel 3 con AWS KMS y AWS CloudHSM (módulos de seguridad de hardware).
Se plantea, como se ha dicho, la opción de que las claves de encriptación puedan ubicarse y controlarse fuera de la nube de AWS (XKS). “El poseedor de las claves final se ubicará en el lugar que quieras, cubrimos todo el escenario de posibilidades”, enfatiza Tomás Clemente.
El modelo contempla opciones adicionales para necesidades específicas de los datos residentes en las Regiones AWS. En ese sentido, los outpost de AWS incluyen: infraestructura y servicios de AWS en instalaciones del cliente; procesar, almacenar, base de datos y otros servicios se pueden enviar virtualmente a cualquier instalación donde especifique el cliente o ubicación Edge; se contemplan aspectos como las aplicaciones sensibles a la latencia, el procesamiento local de datos y las necesidades residenciales.
Se contempla también la posibilidad de crear AWS Dedicated Local Zones, es decir, infraestructura de AWS dedicada para un solo cliente o una comunidad. “No podemos poner regiones en cada país, de ahí la extensión de conectividad mediante local zones, que son extensiones de las regiones y pueden estar en otras partes del país e incluso en otro país”, apunta el senior security architech de AWS.
“El objetivo es proporcionar una experiencia híbrida consistente con la misma infraestructura fiable, segura y de alto rendimiento”, lo que significa asegurar “los mismos servicios y APIs y el mismo ritmo de innovación”.
En última instancia, la AWS European Sovereign Cloud es una nueva nube independiente para Europa, “diseñada para ayudar a las organizaciones del sector público y a compañías de sectores altamente regulados a cubrir sus necesidades de soberanía cambiantes”. Estados Unidos tiene una cloud común, pero en la UE es separada y dedicada. “Son diferentes principios de nubes comerciales, en cualquier caso, garantizamos servicio 24/7 en todo el mundo”.
La AWS European Sovereign Cloud “actúa de forma separada e independiente de las otras AWS Regiones existentes. Ofrece la misma seguridad, disponibilidad y rendimiento que tienen sus clientes en las actuales Regiones AWS, potenciadas por el AWS Nitro System”, señala Tomás Clemente.
Se basa en su experiencia operando nubes independientes para las cargas de trabajo más críticas y restringidas y “ofrece el conjunto más avanzado de controles y características disponibles en la nube, sin compromiso”.
Se potenciará, por tanto, la autonomía operacional europea. Existen ya las Regiones AWS de París, Frankfurt e Irlanda. “La primera Región AWS de la AWS European Sovereign Cloud se ubicará en Alemania y estará disponible para todos los clientes”, explica el directivo. “Estará físicamente separada, será lógicamente independiente de las Regiones AWS existentes y contará con sistemas de medición de uso y facturación separados en la región”.
La autonomía operacional europea “beneficiará a residentes en Europa y empleados de AWS, con control total de operaciones y apoyo. Las operaciones diarias, incluidas el acceso a los data centers, el apoyo técnico y el customer service serán controlados por personal de AWS que son residentes en la UE y que se encuentran en la UE”.
Más opciones para la residencia del dato en la UE. La AWS European Soreveign Cloud asegura que los clientes pueden mantener los metadatos que creen dentro de la UE, tanto los roles y permisos como las fuentes de etiquetas o las configuraciones.