What Is a Sovereign Cloud?

A sovereign cloud is a cloud computing environment that helps the customer ensure that all digital information—including stored data and software as well as data in transit across networks—is compliant with data sovereignty laws and regulations.

What is data sovereignty?

Governments continually pass laws and regulations about how critical digital information must be stored, where it must be stored, and who is allowed to access it. Data sovereignty encompasses compliance with those laws and regulations by organizations and individuals.

What is an example of a data sovereignty law?

The General Data Protection Regulation (GDPR), enacted by the European Union in 2016, has comprehensive requirements for organizations that collect and process the personal information of individuals in the EU.

Who can access information in a sovereign cloud?

Data sovereignty laws may restrict data access to software, services, and users within a specific geography, to companies owned locally, or to those that have specific security clearances or other permissions.

Are sovereign clouds connected to the internet?

For many users, sovereign clouds are connected to the internet via encrypted links with strong access controls. For some government users and highly secure applications, however, the sovereign cloud may be air-gapped and totally disconnected from the internet.

Are cloud backups and disaster recovery scenarios subject to data sovereignty rules?

Yes. Backups and disaster recovery sites must be fully compliant with data sovereignty rules; for cloud sovereignty, that means secondary cloud regions must be within the same geography or regulatory domain.

Why is location important for cloud sovereignty?

Having the ability to choose the geographic regions where they store their data is important for organizations that need to retain control over their data to comply with data sovereignty laws and regulations.

Menü Kontaktieren Sie uns Bei Oracle Cloud anmelden

Was versteht man unter einer Sovereign Cloud? Warum ist sie so wichtig?

Alan Zeichick | Content Strategist | 13. Oktober 2023

In diesem Artikel

Was versteht man unter einer Sovereign Cloud?
Erklärung zur Sovereign Cloud
Vorteile der Cloud-Souveränität
5 Herausforderungen der Cloud-Souveränität
5 wichtige Features von Sovereign Clouds
Souveränität und Verschlüsselung von Daten
Die Zukunft der Souveränität
Auswahl eines Sovereign Cloud-Providers
Souveränitätsanforderungen mit Oracle Cloud erfüllen
Einen Schritt weiter: Oracle Sovereign Cloud für die nationale Sicherheit
Häufig gestellte Fragen zur Sovereign Cloud

Beginnen Sie mit einer Vorgabe: Einige oder alle Daten Ihres Unternehmens müssen innerhalb einer bestimmten nationalen oder regionalen geografischen Grenze bleiben, sei es ein Staat bzw. ein Land oder eine größere Region wie die Europäische Union. Die Gründe für diese Forderung sind unterschiedlich. Vielleicht gibt es staatliche Vorschriften für Ihre Branche, oder Sie verwalten bestimmte Arten von regulierten Daten, wie z. B. personenbezogene Daten (PII). Möglicherweise gibt es unternehmensspezifische oder wettbewerbsspezifische Bedenken. Was auch immer der Grund sein mag, die Anforderung wird digitale Souveränität oder Datensouveränität genannt.

Der letztgenannte Begriff ist jedoch etwas irreführend. In vielen Fällen gehen die Anforderungen an die Souveränität über die Speicherung von Datenbanktabellen hinaus. Alle Computer, die regulierte Daten verarbeiten, müssen sich in einem bestimmten Gebiet befinden, ebenso wie alle Netze, Datenflüsse, Sicherungen und Disaster Recovery-Systeme. Manchmal müssen sogar die Personen, die Zugang zu regulierten Systemen haben, Staatsbürger des betreffenden Landes sein oder über eine Sicherheitsgenehmigung verfügen.

Eine Möglichkeit für Unternehmen, die Anforderungen an die digitale Souveränität zu erfüllen, besteht darin, alles in einem lokalen Data Center zu speichern. Eine andere Möglichkeit ist die Nutzung der Cloud, insbesondere einer Sovereign Cloud, die alle Vorteile des Cloud-Computing bietet und gleichzeitig dazu beiträgt, einige Anforderungen an die digitale Souveränität zu erfüllen.

Lassen Sie uns die Anforderungen an die digitale Souveränität untersuchen und herausfinden, wie eine souveräne Cloud einem Unternehmen helfen kann, konform zu bleiben.

Was versteht man unter einer Sovereign Cloud?

Eine Souveräne Cloud ist eine Cloud-Umgebung, die einem Unternehmen dabei hilft, seine Anforderungen an die digitale Souveränität zu erfüllen. Im Rahmen der meisten Souveränitätsregelungen sind Organisationen bestrebt, persönliche Informationen über Einzelpersonen zu schützen. Manchmal ist der Anwendungsbereich jedoch weiter gefasst und umfasst geistiges Eigentum, Software, Geschäftsmethoden, Finanzdaten, Informationen über die IT-Infrastruktur und sogar Metadaten, die beschreiben, wie groß ein Datensatz ist und wie schnell er wächst. Eine Sovereign Cloud kann in einer Einrichtung untergebracht sein, die einem Cloud-Computing-Provider gehört, und auf die die Benutzer und IT-Systeme eines Unternehmens, die nicht in der Cloud untergebracht sind, über das Internet oder über spezielle Kommunikationsverbindungen, die nicht mit dem Internet verbunden sind, zugreifen.

Außerdem kann eine Sovereign Cloud als separate „cloudähnliche“ Installation im eigenen Data Center einer großen Organisation konfiguriert werden. Hier verhält sich die Installation wie eine Cloud-Umgebung und wird vom Cloud-Serviceprovider verwaltet, ist jedoch physisch von der Außenwelt isoliert.

Eine Sovereign Cloud wird in gewissem Umfang über eine oder mehrere der folgenden sechs Fähigkeiten verfügen, wobei die Einzelheiten hier von geografischen, regionalen und anderen Anforderungen abhängen.

Zugriffsbeschränkungen, die die Nutzung der Sovereign Cloud auf Benutzer, Software, Systeme und Services eines bestimmten Unternehmens und seiner Partner, Kunden und Lieferanten, auf bestimmte geografische Regionen oder sogar auf Einzelpersonen innerhalb einer Organisation beschränken, die über eine bestimmte Staatsbürgerschaft oder Sicherheitsfreigabe verfügen.
Organisatorische Kontrolle darüber, wo sich die Sovereign Cloud befindet, z. B. in einem bestimmten Land oder einer bestimmten Region, oder ob sich die Cloud im Data Center eines Serviceanbieters oder im Data Center des Kunden befindet, das oft als Data Residency bezeichnet wird.
Einhaltung spezifischer staatlicher, behördlicher oder branchenspezifischer Anforderungen, einschließlich technischer Spezifikationen, sowie spezifischer gesetzlicher, vertraglicher und geschäftlicher Praktiken zur Einhaltung relevanter Gesetze und Vorschriften.
Betriebliche Unterstützung durch den Cloud-Serviceprovider, der die hohen Kundenerwartungen und die gesetzlichen Anforderungen an die Sicherheitsüberprüfungen, die Staatsangehörigkeit und den Wohnsitz seiner Mitarbeiter erfüllt.
Zweckgebundene Netzwerkkapazität, was alles bedeuten kann, von sicheren VPNs über das öffentliche Internet bis hin zu Air-gapped-Regionen, die vollständig vom Internet und den anderen Kunden des Cloud-Providers getrennt sind.
Ausgeklügelte Verschlüsselung, bei der der Cloud-Serviceprovider die Verschlüsselungsschlüssel verwaltet oder der Kunde seine eigenen Schlüssel mitbringt, die der Cloud-Serviceprovider niemals sehen oder darauf zugreifen kann.

Wichtige Erkenntnisse

Die Implementierung digitaler Souveränität über eine Sovereign Cloud hilft bei der Einhaltung von Daten, technischer Expertise, bei der Sicherstellung von Geschäft und Kontinuität, Lieferketteneffizienz und geopolitischer Resilienz.
Zu den Herausforderungen für die Cloud-Souveränität gehört es, einen Serviceprovider zu finden, der alle Regeln kennt, bei der Bestimmung des erforderlichen Schutzniveaus helfen kann und über die entsprechenden Zertifizierungen und die richtigen Mandanten für die Einhaltung verfügt.
Sovereign Clouds sind im Allgemeinen mit dem Internet verbunden und der Zugriff erfolgt über sichere, verschlüsselte Links und Protokolle. In einigen Fällen kann eine Air-gapped-Cloud erforderlich sein.
Die Datensouveränität erfordert, dass Daten mit einem genehmigten Satz von Protokollen verschlüsselt werden, unabhängig davon, ob sie in einer Datenbank oder einem Dateisystem gespeichert oder über ein Netzwerk übertragen werden.
Gehen Sie davon aus, dass die Zahl und Komplexität der Gesetze und Vorschriften zur digitalen Souveränität zunehmen wird und dass die finanziellen und strafrechtlichen Strafen für das Nichtbestehen von Compliance-Prüfungen oder Datenverstöße, bei denen regulierte Daten offengelegt werden, hart ausfallen werden.

Erklärung zur Sovereign Cloud

Um zu verstehen, was eine Sovereign Cloud bewirken kann, stellen Sie sich vor, Sie betreiben ein Unternehmen, das in der Europäischen Union (EU) tätig ist. Die EU ist ein idealer Testfall, weil sie nicht nur allgemeine Anforderungen hat, sondern auch jedes ihrer Mitgliedsstaaten. Daher muss jede Organisation, die mit der Wahrung der digitalen Souveränität innerhalb der EU beauftragt ist, sowohl die EU- als auch die nationalen Anforderungen erfüllen.

Innerhalb der EU werden die Cloud-Souveränitätsgesetze von einem ineinandergreifenden Netz von Regulierungsbehörden geleitet, und die Vorschriften werden ständig geändert – im Allgemeinen, um strenger zu werden. Ein Großteil dieser regulatorischen Entwicklung wird von den nationalen Parlamenten und dem Europäischen Parlament in Brüssel als Reaktion auf die Forderungen der Bürger und den ständigen politischen Druck zum Schutz vor ausländischen Geschäftsinteressen, Strafverfolgungsbehörden und Gerichten vorangetrieben. Hier kommen Gesetze wie die Datenschutz-Grundverordnung (DSGVO) der EU ins Spiel.

Stellen Sie sich vor, dass eine Organisation Tochtergesellschaften mit Niederlassungen, Mitarbeitern und Kunden sowohl in Deutschland als auch in Frankreich hat. Es kann sein, dass einige Daten unter Einhaltung der EU-Anforderungen zwischen den beiden Ländern ausgetauscht werden können, während andere Daten möglicherweise durch deutsche oder französische Gesetze eingeschränkt sind und nur innerhalb des jeweiligen Landes verbleiben dürfen. Sowohl die Kundenorganisation als auch der Cloud-Serviceprovider tragen gemeinsam die Verantwortung dafür, sicherzustellen, dass die Sovereign Cloud alle diese Anforderungen erfüllen kann und – was ebenso wichtig ist – dass sie so konfiguriert ist, dass dies für alle Parteien nachweisbar ist.

Eine angemessene EU-konforme Sovereign Cloud wird EU-weite Souveränität umfassen, um Kunden die Kontrolle über Daten- und Datenflüsse in Übereinstimmung mit den EU-Vorschriften zu geben, den Schutz des Zugangs außerhalb der EU zur Erkennung, Herausforderung und Sperrung des Zugangs von außerhalb der EU zu umfassen und gegebenenfalls Stakeholder-Benachrichtigungen und zulässige Ausnahmen zu behandeln.

Vorteile der Cloud-Souveränität

Die Einrichtung einer Sovereign Cloud kann ein komplexes Unterfangen sein, selbst mit einem fähigen Provider. Es zahlt sich jedoch in vielerlei Hinsicht aus. An erster Stelle steht die Einhaltung der Vorschriften. Die Cloud-Souveränität bezieht sich auf geografische, politische und branchenspezifische Vorschriften, Datenübertragbarkeit und vorschriftsmäßige Datenübertragungen innerhalb und zwischen Regulierungsbereichen.

Darüber hinaus bietet eine Sovereign Cloud die folgenden Vorteile:

Technische Lösungen und Fachwissen, über die Unternehmen möglicherweise nicht intern verfügen
Die digitale Souveränität kann schwierige technische Veränderungen mit sich bringen, insbesondere wenn eine Organisation Interoperabilität und Portabilität aufrechterhalten möchte. Eine gut gestaltete Sovereign Cloud bietet sowohl regulatorische Compliance als auch offene Standards.
Best Practices für den Betrieb
Ein Sovereign Cloud-Provider verfügt über strenge Betriebskontrollen, z. B. einen autorisierten Schlüsselzugang für Kunden oder die Möglichkeit, eigene Schlüssel mitzubringen, sowie über Verwaltung, Protokollierung und technischen Support.
Sicherstellung von Geschäft und Kontinuität
Eine Sovereign Cloud, die von einem erstklassigen Provider installiert und gewartet wird, bietet die gesamte Skalierbarkeit, Geschäftskontinuität und Disaster Recovery, Redundanz, Portabilität und Leistung einer erstklassigen Cloud – auch mit digitaler Souveränität.
Ausreichende Lieferkette
Ein Cloud-Serviceprovider, der eine Sovereign Cloud anbietet, kann oft über die Möglichkeiten eines einzelnen Kundenunternehmens hinausgehen, Server, Netzwerke, Chips, Verkabelung, Energie, Einrichtungen, Personal und Schulungen zu beschaffen, die für eine Verfügbarkeit rund um die Uhr erforderlich sind.
Geopolitische Resilienz
Ein Sovereign Cloud-Provider mit globaler Reichweite kann Unternehmen dabei helfen, Herausforderungen zu meistern, die durch militärische Konflikte, wirtschaftliche Schwierigkeiten, den Klimawandel und andere Katastrophen großen Ausmaßes entstehen, und so ihre Zukunftsfähigkeit sichern.

5 Faktoren, die bei der Einführung einer Sovereign Cloud zu berücksichtigen sind

Für Unternehmen in stark regulierten Branchen war der Betrieb einer Sovereign Cloud in einem eigenen Data Center bisher möglicherweise die einzige Option. Heutzutage können Cloud-Provider einen Großteil dieser Last abnehmen. Es gibt jedoch fünf Schlüsselfaktoren, die bei der Entscheidung für ein weiteres Vorgehen zu berücksichtigen sind.

Skalieren
Mit einer Sovereign Cloud kann ein Unternehmen die Flexibilität, Skalierbarkeit, Performance und Kostenvorteile von Cloud-Computing nutzen und gleichzeitig die Vorschriften zur digitalen Souveränität einhalten.
Kontrolle
Cloud-Souveränität gibt einem Unternehmen erhebliche Kontrolle über seine Daten- und IT-Infrastruktur und ermöglicht, nicht nur die Vorschriften zur Datensouveränität einzuhalten, sondern auch strenge interne Praktiken und Richtlinien umzusetzen.
Expertise
Sovereign Cloud-Serviceprovider haben ein Interesse daran, Kunden bei der Erfüllung ihrer regulatorischen, rechtlichen und technischen Anforderungen zu unterstützen. Informieren Sie sich daher, welche Expertise und Tools verfügbar sind, die den Wechsel in die Cloud effizienter gestalten können.
Flexibilität
Ein Unternehmen kann sowohl seine internen IT-Ressourcen als auch eine Sovereign Cloud nutzen, um eine gesetzeskonforme Hybridumgebung aufzubauen, die das Beste aus traditionellem Computing und Cloud-Computing bietet.
Pünktlichkeit
Sowohl der Kunde als auch der Cloud-Serviceprovider müssen über die neuesten regulatorischen Trends und Frameworks auf dem Laufenden bleiben. Diese Arbeit kann sich zu einer Partnerschaft entwickeln, in der sowohl das Unternehmen als auch der Provider hart daran arbeiten, die Compliance sicherzustellen, und so das Risiko fehlender regulatorischer Änderungen reduzieren.

5 Herausforderungen der Cloud-Souveränität

Trotz der Vorteile muss das IT-Team eines Unternehmens bei der Einführung der Cloud-Souveränität einige Hindernisse überwinden:

1. Suche nach einem Serviceprovider, der die Regeln kennt

Die Gesetze und Vorschriften zur digitalen Souveränität sind komplex und werden immer komplexer. Unabhängig davon, ob Unternehmen eine Sovereign Cloud oder ein herkömmliches Data Center nutzen, ist es aufgrund der gesetzlichen Bestimmungen schwierig zu wissen, was konform ist und was nicht. Ein umfassender, Sovereign Cloud-Provider verfügt sowohl über das Fachwissen als auch über die Verfahren, um sein Angebot bei Änderungen der Vorschriften auf dem neuesten Stand zu halten.

2. Bestimmung des erforderlichen Schutzniveaus

Muss eine Organisation lediglich sicherstellen, dass personenbezogene Daten (PII) ordnungsgemäß verschlüsselt und innerhalb der nationalen Grenzen gespeichert werden, oder erstreckt sich die Einhaltung von Vorschriften auch auf die Server, auf denen ein Dokumentenspeicher untergebracht ist, auf die Kontrollsysteme sowie auf die Staatsangehörigkeit und die Sicherheitsüberprüfung aller Mitarbeiter mit physischem Zugang zur Hardware? Solange Sie nicht wissen, was verlangt wird, können Sie die Vorschriften nicht einhalten.

3. Entwurf einer Architektur für die Disaster Recovery

Die Cloud-Souveränität kann nicht nur für das primäre Data Center, sondern auch für alle Backup-Recovery-Sites und -Einrichtungen gelten. Das bedeutet, dass der Cloud-Serviceprovider über ausreichende Ressourcen verfügen muss, um solche Einrichtungen innerhalb der definierten Gerichtsbarkeit anzubieten.

4. Robustheit und Vollständigkeit der Sovereign Cloud

Einige Serviceprovider haben spezialisierte Cloud-Angebote entwickelt. Daher sind die Anwendungen, Features und Services, die sie in ihren Public Clouds anbieten, möglicherweise nicht in ihrer Sovereign Cloud verfügbar bzw. vollständig verfügbar.

5. Erwerb einer vollständigen Gruppe von Zertifizierungen und Mandanten

Einige Regulierungssysteme erfordern, dass die Sovereign Cloud Eigentum eines Serviceproviders ist und von diesem betrieben wird, dessen Hauptsitz und Eigentümer in der jeweiligen geografischen Region liegt. Stellen Sie sicher, dass ein globaler Cloud-Serviceprovider über die richtigen Partnerschaften, Lizenzen und rechtlichen Rahmenbedingungen verfügt, um diese Anforderungen zu erfüllen.

5 wichtige Features von Sovereign Clouds

Unternehmen, die Sovereign Clouds einrichten wollen, müssen neben branchenspezifischen und wettbewerbsrelevanten Faktoren auch ihre Anforderungen an diese fünf wichtigen Features berücksichtigen.

1. Standort

Wählen Sie den Standort Ihres Sovereign Cloud-Data-Centers und die Standorte für die Datensicherung sorgfältig aus, und zwar sowohl basierend auf Compliance-Vorschriften als auch geschäftlichen Erwägungen. Zu den zu erfassenden Daten gehören die Standorte der Cloud-Data-Center des Providers, die Standorte anderer Data Center, die sich im Besitz von Partnern befinden, und ob eine dedizierte Sovereign Cloud innerhalb der eigenen Einrichtung des Kunden möglich ist.

2. Zugriffskontrolle

Eine Organisation sollte immer in der Lage sein, selbst zu entscheiden, welche Unternehmen, Partner und Kunden – und welche Software und Services – auf ihre Cloud-Umgebung zugreifen können. In manchen Fällen, beispielsweise wenn die nationale Sicherheit auf dem Spiel steht, kann sich der Kunde für eine vollständig dedizierte Einrichtung entscheiden.

3. Betrieb und Support

Eine Organisation sollte kontrollieren, welche administrativen und technischen Mitarbeiter sowohl des Cloud-Providers als auch seiner Partner Zugang zu ihren Systemen sowie zu den Metadaten über diese Systeme haben, wie z. B. Performance- und Nutzungsmetriken.

4. Einhaltung von Vorschriften

Sovereign Cloud-Bereitstellungen müssen flexibel sein und die Einhaltung von Vorschriften und Sicherheitsstandards ermöglichen, um der Möglichkeit sich überschneidender Gerichtsbarkeiten mit jeweils eigenen Anforderungen Rechnung zu tragen. In manchen Fällen kann ein Kunde besondere Anforderungen an spezifische behördliche Kontrollen und Akkreditierungen haben.

5. Internetverbindung oder Air-gapped

Für viele oder die meisten Kunden kann eine verschlüsselte Verbindung zum öffentlichen Internet die beste, günstigste und vollständig konforme Netzverbindung sein. Einige Kunden oder Anwendungen benötigen jedoch Regionen, die völlig vom Internet oder anderen Netzen abgeschirmt sind.

Datensouveränität und Verschlüsselung

Ohne Verschlüsselung gibt es keine Datensouveränität. Dies gilt sowohl für die in Datenbanken gespeicherten Daten als auch für die APIs und andere Services, die den Zugriff auf diese Datenbanken und Anwendungen sowie Benutzeroberflächen ermöglichen. Die Verschlüsselung ist aufgrund der Anzahl und Versionen häufig verwendeter Algorithmen, der Größe der Schlüssel und der Vorschriften hinsichtlich der Speicherung und des Zugriffs auf die Verschlüsselungsschlüssel ein komplexes Thema. Dies gilt unabhängig davon, ob die Datensouveränität in einem herkömmlichen Data Center oder in einer Sovereign Cloud ermöglicht wird – allerdings müssen im Fall der Cloud Fragen zur Speicherung von und zum Zugriff auf Verschlüsselungsschlüssel auf eine Weise gelöst werden, die sowohl konform ist als auch den Geschäftsanforderungen entspricht.

Wenn ein Cloud-Serviceprovider die Schlüssel verwaltet, wird der Master-Verschlüsselungsschlüssel von der Sovereign Cloud-Software generiert. Und wenn der Kunde die Schlüssel verwaltet, wird der Master-Verschlüsselungsschlüssel in einem sicheren Key Vault gespeichert, auf den der Provider nicht zugreifen kann. Das Hardware-Sicherheitsmodul (HSM), zu dem diese Key Vaults gehören, sollte sowohl manipulationssicher als auch fälschungssicher sein und auf Angriffe reagieren können.

In einer Datenbank oder in einem Dokument gespeicherte Daten – manchmal auch „Daten im Ruhezustand“ genannt – sollten standardmäßig verschlüsselt werden. Dazu gehören Daten in traditionellen relationalen Datenbanken, Docker/Kubernetes-Containern, Objektdatenbanken, Dateisystemen, Blockdatenbanken und sogar Boot-Records.

Informationen, die über ein Netzwerk übertragen werden – manchmal auch „Daten während der Übertragung“ genannt – sollten mindestens aktuelle Protokolle verwenden, die Standards wie Transport Layer Security (TLS) 1.2 oder höher und digitalen X.509-Zertifikaten entsprechen. Lokale Vorschriften erfordern möglicherweise eine noch strengere Verschlüsselung, beispielsweise MACsec (IEEE 802.1AE) für Ethernet-Netzwerke. Eine solche Verschlüsselung sollte standardmäßig aktiviert sein und niemals eine Datenübertragung im Klartext zulassen.

Die Zukunft der Souveränität

Die Datensouveränität mag mit der Verabschiedung der EU-Datenschutzgrundverordnung (DSGVO) im Jahr 2016 ins Licht der Öffentlichkeit gerückt sein, aber das war erst der Anfang. Jedes Jahr überarbeiten Länder auf der ganzen Welt sowie Regionen wie die Europäische Union ihre Anforderungen an die Datensouveränität. Sie verschärfen die Normen, um Unklarheiten zu beseitigen, Schwächen zu verringern, das Vertrauen der Verbraucher und der Politik zu stärken, Unternehmen zu schützen und auf geopolitische Situationen wie wirtschaftliche und militärische Konflikte, Terrorismus und Cyberkriminalität zu reagieren.

Hier ist eine Vorhersage: Die Gesetze und Vorschriften zur digitalen Souveränität werden an Zahl und Komplexität zunehmen.

Und hier ist eine weitere: Finanzielle und strafrechtliche Strafen für nicht erfolgreiche Compliance-Audits oder Datenschutzverletzungen, die regulierte Daten enthüllen, sind hart.

Laut IDC sind mindestens 75 % der Unternehmen weltweit der Ansicht, dass die digitale Souveränität aufgrund der jüngsten wirtschaftlichen und geopolitischen Ereignisse als Geschäfts- und Technologieproblem an Bedeutung gewinnt. Die Verbesserung und Umsetzung von Datenschutzmaßnahmen hat für multinationale Unternehmen nun oberste Priorität.

Darüber hinaus berichtet IDC, dass mindestens die Hälfte der Unternehmen mehr als 25 % ihres Gesamtbudgets für die Public Cloud ausgeben wird, wobei 56 % Infrastruktur-as-a-Service (IaaS) nutzen. Dies führt zu einer verstärkten Konzentration auf die Cloud-Komponente der Anforderungen an die digitale Souveränität.

Zu den Befürchtungen, die die Provider von Sovereign Clouds antreiben, gehören laut IDC der Schutz von Kundendaten vor dem Zugriff von Administratoren und Supportmitarbeitern sowie die Aufrechterhaltung der Geschäftskontinuität und die Einhaltung von Vorschriften hinsichtlich der Disaster Recovery.

Resilienz ist eindeutig das Gebot der Stunde.

Insgesamt ist die Cloud-Souveränität ein relativ neues Konzept. Unternehmen beginnen gerade erst, alle Auswirkungen auf ihre Cloud-Strategien zu verstehen. Die Implementierung einer Sovereign Cloud bedeutet, sich mit neuen IT-Anforderungen an Infrastruktur, Strategie, Governance-Framework und Fähigkeiten auseinanderzusetzen. Da die Sovereign Cloud ein langfristiges Vorhaben ist, konzentrieren sich die Unternehmen auf die Bereiche und das regulatorische Umfeld mit den strengsten Vorschriften und investieren in die Überwachung neuer Gesetze und Änderungen der Branchenvorschriften. Denn wenn die Vorschriften einmal verschärft sind, werden sie nie wieder gelockert – das ist eine Einbahnstraße.

Auswahl eines Sovereign Cloud-Providers

Bei der Auswahl eines Providers für Sovereign Cloud-Lösungen sollten Sie sich nach dem Anbieter umsehen, der die beste Cloud-Gesamtlösung anbietet, die auch Ihren Anforderungen an die digitale Souveränität gerecht wird. Im Idealfall sind die in der Sovereign Cloud verfügbaren Services die gleichen wie in der Public Cloud des Providers, mit den gleichen Service Level Agreements (SLAs) für Performance, Management und Verfügbarkeit.

Im Idealfall sind die in der Sovereign Cloud verfügbaren Services die gleichen wie in der Public Cloud des Providers, mit den gleichen Service Level Agreements (SLAs) für Performance, Management und Verfügbarkeit.

Ein wichtiger Faktor, der zu berücksichtigen ist, ist, ob Sie eine Lösung eines einzelnen Anbieters verwenden können, die Eigentum einer genehmigten juristischen Person innerhalb der regulierten Region ist und von dieser betrieben wird. Joint Ventures und Partnerschaften können zu Schuldzuweisungen in Bezug auf Supportprobleme, Integrationsprobleme, langsamere Produktfreigaben und in einigen Fällen zu weniger verfügbaren Features führen.

Ein Sovereign Cloud-Provider sollte Datensouveränität als wesentliches Feature seiner Cloud anbieten und nicht als Zusatzpaket oder Teilmenge seiner öffentlichen Angebote. Dadurch wird die Bereitstellung einfacher, da die Sovereign Cloud dieselbe Hardware, Software und dieselben Services wie die Public Cloud verwendet, nur mit einer besseren Zugriffskontrolle und anderen Compliance-Einschränkungen.

Die Disaster Recovery ist für eine Sovereign Cloud-Planung und -Bereitstellung von entscheidender Bedeutung. Suchen Sie nach Cloud-Regionen innerhalb der Region, die so konfiguriert werden können, dass die Wiederherstellung und Ausfallsicherung innerhalb des Compliance-Bereichs bleibt.

Außerdem sollte ein Sovereign Cloud-Provider über das nötige Fachwissen verfügen, um bei der Navigation durch das komplexe, sich ständig ändernde Netz von Vorschriften zu helfen. Der Provider und der Kunde sollten in der Lage sein, die Verantwortung für die Einhaltung der Vorschriften, einschließlich der erforderlichen Akkreditierungen, nahtlos zu teilen.

Souveränitätsanforderungen mit Oracle Cloud erfüllen

Mit Oracle Cloud-Lösungen für Souveränität können Kunden ihre Anforderungen an Cloud-Computing erfüllen. Dabei werden Daten und Anwendungen berücksichtigt, die sensibel, reguliert oder von strategischer regionaler Bedeutung sind, sowie Workloads, die den Anforderungen an Souveränität und Datenschutz unterliegen.

Die Sovereign Cloud-Lösungen von Oracle werden in immer mehr Ländern und Regionen auf der ganzen Welt angeboten und bieten die Services und Funktionen von Oracle Cloud Infrastructure (OCI) und helfen Kunden, ihre Anforderungen an die digitale Souveränität zu erfüllen.

Mit Oracle EU Sovereign Cloud können Kunden beispielsweise dieselben 100 Services nutzen, die in den Public Cloud-Regionen von Oracle verfügbar sind, und das zu denselben Tarifen, mit demselben Support, denselben Workloads und SLAs für Performance, Verwaltung und Verfügbarkeit wie das Standard-OCI-Angebot – jedoch mit einer physisch getrennten Infrastruktur und zusätzlichen Schutzmaßnahmen, um Kundendaten vor Gerichtsbarkeiten außerhalb der EU zu schützen.

Die Oracle EU Sovereign Cloud, die ab Juni 2023 zur Verfügung steht, ist vollständig in der Europäischen Union angesiedelt, wird von in der EU ansässigen Mitarbeitern unterstützt und von separaten juristischen Personen mit Sitz in der EU betrieben. Zusätzlich zu den mehr als 100 bereits angebotenen Cloud-Services werden auch Oracle Applications wie die Oracle Fusion Cloud Applications Suite verfügbar sein.

Die auf Datenresidenz und -sicherheit ausgelegte Oracle EU Sovereign Cloud befindet sich in einem physisch isolierten Data-Center-Bereich und verfügt über keine Backbone-Netzwerkverbindung zu den anderen Cloud-Regionen von Oracle. Der Kundenzugriff auf die Oracle EU Sovereign Cloud wird separat vom Zugriff auf die kommerziellen Regionen von Oracle Cloud verwaltet.

Bereitstellungsdiagramm für Oracle Cloud-Regionen — Kunden kontrollieren den Zugriff auf ihre Cloud-Umgebungen, den Ort, an dem ihre Daten gehostet werden, und andere Optionen, um ihre Sicherheitsanforderungen zu erfüllen.

Darüber hinaus wurde Oracle Cloud für High Availability in jeder Cloud-Region entwickelt, um Disaster Recovery innerhalb nationaler oder regionaler Grenzen zu unterstützen. Beispielsweise verfügt Oracle über duale Government Cloud-Regionen und kommerzielle Cloud-Regionen in Wales. Oracles Sovereign-Cloud-Lösungen bieten Unternehmen Betriebsabläufe, Support und Richtlinien, die sich von kommerziellen Cloud-Regionen unterscheiden, um die Einhaltung von Datenschutz- und Souveränitätsrichtlinien und -anforderungen zu rationalisieren und zu vereinfachen, selbst für sensible Kunden wie solche aus der Intelligence Community oder der Geodatenbranche.

Für Organisationen, die ihre eigenen Verschlüsselungsschlüssel verwalten müssen oder sich aus geschäftlichen Gründen dafür entscheiden, ist ein neuer OCI External Key Management Service jetzt allgemein in Oracle Cloud verfügbar. Mit diesem Service bleiben die Verschlüsselungsschlüssel immer im Besitz des Kunden und werden nie in OCI importiert. So können Kunden regulierte Workloads zu OCI verlagern und gleichzeitig die Anforderung erfüllen, Schlüssel außerhalb der Cloud zu speichern.

Oracle bietet ein umfassendes und konsistentes Set an Cloud-Infrastrukturservices in 46 kommerziellen, Sovereign- und Government Cloud-Regionen in 23 Ländern an, um den wachsenden globalen Kundenstamm zu bedienen. Seit Oktober 2023 betreibt Oracle 36 kommerzielle Regionen, 2 souveräne EU-Regionen und 8 Regierungsregionen, zusätzlich zu mehreren speziellen und nationalen Sicherheitsregionen.

Ein weiteres Oracle Cloud-Angebot, das für die Bereitstellung von Cloud-Services genutzt werden kann, ist Oracle Alloy, eine komplette Cloud-Infrastrukturplattform, die es Partnern ermöglicht, Cloud-Provider zu werden und eine vollständige Palette von Cloud-Services anzubieten. Partner können Oracle Alloy unabhängig in ihren eigenen Data Centern betreiben und den Betrieb vollständig kontrollieren, um die Anforderungen an die digitale Souveränität besser zu erfüllen.

Darüber hinaus erweitert Oracle Roving Edge Infrastructure die Leistungsfähigkeit der Cloud über das Data Center hinaus und ermöglicht Unternehmen, ausgewählte Cloud-Funktionen in abgelegenen und schwierigen Umgebungen auszuführen.

Einen Schritt weiter: Oracle Sovereign Cloud für die nationale Sicherheit

Regierungsnetzwerke und hochgradig klassifizierte Workloads erfordern möglicherweise Kundenakkreditierungen und Complianceanforderungen, die über die Anforderungen von mit dem Internet verbundenen Sovereign Cloud-Regionen hinausgehen. In solchen Fällen bieten die Oracle National Security Regions zusätzlichen Schutz, einschließlich der folgenden:

Regierungsakkreditierung: Oracle National Security-Regionen können nach den höchsten staatlichen Klassifizierungen und Standards zertifiziert werden und bieten gleichzeitig die gleichen Services wie die Sovereign Cloud- und Public Cloud-Regionen von Oracle.
Air-Gapped-Data-Center: Sie werden in Einrichtungen eingesetzt, die nach behördlichen Vorgaben gebaut wurden, die behördlichen Standards erfüllen und übertreffen, und sind nicht mit dem Internet verbunden.
Sicherer Betrieb: Sie werden von einheimischen Bürgern betrieben und unterstützt, die kundenspezifische Sicherheitsfreigaben einhalten.

IDC definiert „Souveränität“ als die Fähigkeit zur digitalen Selbstbestimmung von Nationen, Unternehmen oder Einzelpersonen. Sovereign Clouds ermöglichen es Unternehmen, Cloud-Computing zu nutzen und gleichzeitig die strengen Anforderungen ihrer nationalen, regionalen und branchenspezifischen Vorschriften zur Datensouveränität zu erfüllen. Mit einer Sovereign Cloud können Unternehmen den Standort, die Erreichbarkeit, den Betrieb, den Support, die gesetzlichen Anforderungen und sogar die Internetverbindung ihrer Bereitstellung kontrollieren.

Die digitale Souveränität betrifft nicht nur die Geheimhaltung von Daten über Personen, sondern auch technische und betriebliche Kontrollen, Richtlinien zur Datensicherheit und sogar Technologie-Lieferketten.

Oracle Sovereign Cloud: Zugriffsverwaltung

Verwalten Sie den Zugriff auf Ihre Daten und die zugrunde liegende Infrastruktur, indem Sie den Zugriff beschränken und die Verfügbarkeit und Übertragbarkeit der Daten für die von Ihnen autorisierten Personen sicherstellen.

Weitere Informationen zu Oracle Sovereign Cloud

Häufig gestellte Fragen zur Sovereign Cloud

Was versteht man unter Datensouveränität?

Die Regierungen erlassen ständig Gesetze und Vorschriften darüber, wie kritische digitale Informationen gespeichert werden müssen, wo sie gespeichert werden müssen und wer darauf zugreifen darf. Die Datensouveränität umfasst die Einhaltung dieser Gesetze und Vorschriften durch Organisationen und Einzelpersonen.

Was ist eine Sovereign Cloud?

Eine Sovereign Cloud ist eine Cloud-Computing-Umgebung, die den Kunden dabei unterstützt, sicherzustellen, dass alle digitalen Informationen (einschließlich gespeicherter Daten und Software sowie Daten, die über Netzwerke übertragen werden) mit den Gesetzen und Vorschriften zur Datensouveränität konform sind.

Was ist ein Beispiel für ein Gesetz zur Datensouveränität?

Die Allgemeine Datenschutzverordnung (GDPR), die 2016 von der Europäischen Union erlassen wurde, enthält umfassende Anforderungen für Organisationen, die personenbezogene Daten von Einzelpersonen in der EU erfassen und verarbeiten.

Wer kann auf Informationen in einer Sovereign Cloud zugreifen?

Gesetze zur Datensouveränität können den Datenzugriff auf Software, Services und Benutzer innerhalb einer bestimmten Region, auf lokal ansässige Unternehmen oder auf Organisationen mit bestimmten Sicherheitsfreigaben oder anderen Berechtigungen beschränken.

Sind Sovereign Clouds mit dem Internet verbunden?

Für viele Nutzer sind Sovereign Clouds über verschlüsselte Verbindungen mit starken Zugangskontrollen mit dem Internet verbunden. Für einige Regierungsbenutzer und hochsichere Anwendungen kann es jedoch sein, dass die Sovereign Cloud in einer nicht vernetzten Umgebung betrieben wird und völlig vom Internet getrennt ist.

Unterliegen Cloud-Backups und Disaster-Recovery-Szenarien den Regeln der Datensouveränität?

Ja. Backups und Disaster-Recovery-Sites müssen vollständig mit den Regeln zur Datensouveränität konform sein. Für die Cloud-Souveränität bedeutet dies, dass sekundäre Cloud-Regionen sich innerhalb derselben geografischen oder regulatorischen Domäne befinden müssen.

Warum ist der Standort für die Cloud-Souveränität wichtig?

Die Möglichkeit, die geografischen Regionen auszuwählen, in denen sie ihre Daten speichern, ist für Unternehmen wichtig, die die Kontrolle über ihre Daten behalten müssen, um Gesetze und Vorschriften zur Datensouveränität einzuhalten.