Evropski sovereign cloud i nerešeno pitanje američkih procesora
The Register analizira slabije vidljiv sloj evropske digitalne suverenosti: čak i cloud platforme građene da izbegnu američku pravnu kontrolu uglavnom rade na Intel i AMD procesorima. U tekstu se posebno razmatraju Intel Management Engine i AMD Platform Security Processor, upravljački podsistemi koji rade ispod operativnog sistema i koje standardni bezbednosni alati ne vide. Sagovornici ukazuju da evropski okviri poput SecNumCloud proveravaju operativnu kontrolu, pravnu strukturu i organizacione mere, ali ne daju direktnu garanciju za silicon-layer rizike. Zaključak nije da su sovereign cloud inicijative beskorisne, već da njihova stvarna vrednost zavisi od jasno definisanog threat modela i prihvatanja preostalog rizika.
Digitalna suverenost ne završava se na tome ko upravlja cloud servisom i gde se podaci formalno nalaze. Ako se najniži hardverski sloj oslanja na procesore i firmware koje Evropa ne kontroliše, onda se deo rizika samo pomera u sloj koji je teže videti, teže dokazati i gotovo nemoguće potpuno ukloniti u sadašnjem lancu snabdevanja.
- Pri izboru sovereign cloud provajdera tražiti jasan odgovor kako tretiraju Intel ME, AMD PSP i BMC rizike
- U threat model posebno uneti firmware, supply-chain i hardverske upravljačke komponente, ne samo cloud operatera
- Proveriti da li provajder segmentira, nadgleda i ograničava administrativne i management mreže ispod nivoa operativnog sistema
- Za posebno osetljive podatke razlikovati pravnu suverenost, operativnu kontrolu i hardversku zavisnost
- Ne tretirati sertifikaciju kao potpunu garanciju, već kao deo šire procene rizika i poverenja