Hoofdstuk 5

Google Disconnected Cloud Hosted

In dit hoofdstuk gaan we dieper in op Google Disconnected Cloud hosted (hierna GDCH genoemd). Zoals we eerder al hebben uitgelegd, is GDCH een oplossing uit onze sovereign portfolio, die wordt aangeboden vanuit TIER IV-datacenters in Luxemburg. Maar welke beveiligingsmaatregelen zijn er van kracht voor dit platform? En welke diensten levert het? Proximus en Luxconnect hebben een joint venture opgericht onder de naam 'Clarence', een combinatie van 'Clarity' en 'Transparency', om de soevereine cloud in een disconnected modus te hosten.

Doe de test en ontdek welke cloudstrategie het best bij uw bedrijf past.

Fysieke isolatie en versleuteling

GDCH houdt zich strikt aan de drie pijlers van cloudsoevereiniteit, zoals geïdentificeerd in hoofdstuk 4: datasoevereiniteit, operationele soevereiniteit en technologische soevereiniteit. GDCH is dus volledig gescheiden van het internet en van Google. Er is alleen een beveiligde verbinding nodig tussen de infrastructuur van de klant en het GDCH-platform. Het platform is met andere woorden volledig afgesloten (air-gap) van Google en het internet. Het wordt uitsluitend beheerd en geëxploiteerd door Proximus NXT vanuit ons ‘out of band'-beheernetwerk via ons operationele centrum. Dat garandeert de uptime van het platform. Nogmaals, Google heeft geen toegang tot de omgeving van de klant, zelfs niet voor ondersteuning. Meer nog: Google weet zelfs niet welke klanten GDCH gebruiken.

Proximus NXT heeft evenmin toegang tot de klantenomgeving of hun klantgegevens. Versleuteling is een kernelement bij GDCH. De sleutels worden opgeslagen bij de klant en zijn niet toegankelijk voor Proximus NXT. Indien de klant de hulp van Proximus NXT inroept bij een incident of probleem binnen zijn omgeving, zal er tijdelijk toegang worden gevraagd aan de klant. Zo zorgen we ervoor dat wat er binnen zijn omgeving gebeurt, alleen toegankelijk is voor de mensen die toegang moeten hebben. Elke toegang wordt volledig en automatisch gecontroleerd en gedocumenteerd, zodat de klant precies weet wat er gedaan wordt/werd.

GDCH is volledig gescheiden van het internet en van Google.

Vincent Dock,
Senior strategy manager
at Proximus NXT

Elke klant is fysiek geïsoleerd op zijneigen gerichte compute-stack om ervoor te zorgen dat de host alleen wordtgebruikt voor de applicaties en omgeving van deze klant. Er is geen interactiemet andere klanten die het GDCH-platform gebruiken. De verschillende klantenzijn logisch geïsoleerd op een gedeelde opslag waarvoor Proximus NXT hetcapaciteitsbeheer uitvoert. us NXT performs capacity management.
 
Aangezien het om ‘dedicated compute nodes’ gaat, is een initiële scoping erg belangrijk om vanaf het begin de juiste grootte van het platform te garanderen. Proximus NXT beschikt over reservecapaciteit op het GDCH-platform om onze klanten zowel op verzoek als automatisch de nodige schaalbaarheid te bieden.

Veilig updatebeheer

Wanneer er een nieuwe GDCH-versie beschikbaar is bij Google, zal Proximus NXT de update downloaden in een afgescheiden omgeving. Proximus NXT zal de software vooraf testen op beveiligingsrisico's en compatibiliteit. Zodra de versie de testfase heeft doorstaan, zal Proximus NXT de update naar de klant sturen via GDCH. Op deze manier kan de klant de update in zijn eigen tempo installeren. Naast zijn rol van cloudserviceprovider kan Proximus NXT de klant end-to-end bijstaan in zijn reis op het GDCH-platform, maar ook voor governance- en beveiligingsdiensten.

GDCH-diensten

Op de GDCH-hardware wordt een subset van ‘Google cloud hyperscaler’-services aangeboden. Deze subset bestaat uit de volgende functies:

  • Compute-diensten om virtuele machines en Kubernetes-clusters uit te voeren
  • Blok- en objectopslag met back-updiensten
  • Privénetwerken, load balancing (intern en extern), netwerkbeveiligingsbeleid en NAT
  • Identiteits- en toegangsbeheer, resourcebeheer, sleutelbeheer (HSM) en perimeterbeveiliging (IDS/IDP.FW)
  • Omni Database-diensten voor Postgres en Oracle
  • De Vertex AI-suite met voorgetrainde modellen voor OCR, spraak-naar-tekst, vertalen en een werkbank om uw eigen AI-modellen aan te maken
  • Operaties door middel van logging en monitoring
  • Marktplaats voor ISV's van derden

Google werkt voortdurend om deze functies verder uit te breiden en de klantervaring van het platform te verrijken.

Hoe migreert u succesvol naar de sovereign cloud?