Avrupa’da son yıllarda “sovereign cloud” yaklaşımı, kamu kurumları ve kritik sektörler için ABD merkezli teknoloji sağlayıcılarına bağımlılığı azaltmanın ana yollarından biri olarak öne çıktı. Bu çerçevede veri egemenliği, yerel mevzuata uyum, bulut hizmetlerinin Avrupa sınırları içinde işletilmesi ve hassas iş yüklerinin bölgesel kontrol altında tutulması gibi başlıklara güçlü vurgu yapıldı. Ancak tartışmanın büyük kısmı yazılım, operasyon ve veri konumlandırması çevresinde dönerken, altyapının en alt katmanındaki işlemciler ve bunların içine gömülü yönetim mekanizmaları çoğu zaman aynı dikkatle ele alınmadı.
Buradaki temel sorun, modern x86 platformlarının yalnızca CPU çekirdeklerinden ibaret olmaması. Kurumsal sunucularda ve istemci sistemlerde kullanılan işlemciler, sistem yönetimi, uzaktan erişim, güvenli önyükleme ve donanım seviyesinde çeşitli görevler için ek bileşenler barındırıyor. Intel tarafında Intel Management Engine, AMD tarafında ise Platform Security Processor bu sınıfa giriyor. Bu yapılar, ana işletim sisteminden bağımsız çalışabilen, düşük seviyede yetkilere sahip ve çoğu kullanıcı ya da kurum tarafından doğrudan denetlenemeyen kapalı bileşenler olarak değerlendiriliyor.
Avrupa’nın egemen bulut hedefi, genel olarak verinin nerede tutulduğuna, hangi şirketin hizmet verdiğine ve hangi hukuk düzeninin geçerli olduğuna odaklanıyor. Bu bakış açısı elbette önemli, çünkü verinin işlenme yeri ve hizmeti sağlayan şirketin tabi olduğu yasalar, özellikle kamu ve savunma benzeri alanlarda kritik önem taşıyor. Ne var ki donanımın kendisi, özellikle de işlemci seviyesinde çalışan kapalı yönetim katmanları, bu egemenlik iddiasını teknik açıdan daha karmaşık hale getiriyor. Bulut tamamen Avrupa sınırları içinde kurulmuş olsa bile, temel işlem platformu başka ülkelerde geliştirilen ve iç işleyişi tam olarak doğrulanamayan bileşenlere dayanabiliyor.
Bu durum sadece teorik bir güven tartışması da değil. Çünkü söz konusu alt sistemler, sistem açılışından önce devreye girebiliyor, bellek ve çeşitli donanım kaynaklarına erişebiliyor ve bazı senaryolarda uzaktan yönetim özelliklerinin bir parçası olarak görev yapabiliyor. Kurumsal BT ekipleri için bunlar yönetilebilirlik ve bakım kolaylığı sağlayan unsurlar olabilir. Ancak aynı özellikler, egemenlik ve doğrulanabilirlik perspektifinden bakıldığında soru işaretleri yaratıyor. Bir platformun üst katmanları ne kadar açık, yerel veya bağımsız olursa olsun, en alt seviyede kapalı ve dışarıdan tam olarak denetlenemeyen bir bileşen bulunması bazı kurumlar için kabul edilmesi zor bir risk profili oluşturabiliyor.
Asıl dikkat çeken nokta, bulut sertifikasyonları ve kamu alım kriterlerinin çoğunda bu silikon katmanın yeterince görünür olmaması. Bir hizmetin Avrupa’da barındırılması, verinin yerel yasalar altında korunması ya da operatörün belirli güvenlik standartlarını karşılaması değerlendiriliyor; fakat işlemcideki yönetim alt sistemlerinin nasıl denetlendiği, hangi yetkilere sahip olduğu veya bağımsız biçimde sertifiye edilip edilmediği aynı ağırlıkla masaya gelmeyebiliyor. Sonuç olarak egemenlik hedefi, yazılım ve veri düzeyinde güçlü görünürken, donanım kök güveni tarafında eksik kalabiliyor.
Özellikle kamu bulutları, savunma projeleri ve kritik altyapılar söz konusu olduğunda bu boşluk daha belirgin hale geliyor. Çünkü bu alanlarda tehdit modeli yalnızca sıradan siber saldırılardan ibaret değil; tedarik zinciri, donanım güveni ve platformun tüm yaşam döngüsü boyunca denetlenebilir olması da hesaba katılıyor. Avrupa’nın ABD teknoloji etkisini azaltma yönündeki çabası, eğer işlemci mimarileri ve düşük seviyeli kontrol mekanizmaları konusunda aynı ölçüde stratejik bir yaklaşım geliştirmezse, yarım kalmış bir egemenlik projesine dönüşebilir.
Bu tartışma aynı zamanda Avrupa teknoloji stratejisinin sınırlarını da gösteriyor. Yerel bulut sağlayıcıları inşa etmek, veri merkezlerini bölgesel olarak işletmek ve mevzuat uyumunu sıkılaştırmak önemli adımlar. Fakat işlemci, bellenim ve platform güvenlik katmanlarında alternatif oluşturmak çok daha zor, maliyetli ve uzun vadeli bir süreç. Güncel pazar yapısında x86 ekosistemindeki baskın oyuncular nedeniyle birçok kurumun pratikte Intel ve AMD tabanlı sistemlerden vazgeçmesi kolay değil. Dolayısıyla kısa vadede tamamen bağımsız bir donanım zinciri kurmak yerine, en azından bu kapalı bileşenlerin sertifikasyon kapsamına daha açık biçimde dahil edilmesi ve risk değerlendirmelerinde görünür hale getirilmesi gerekecek.
Sonuçta Avrupa’nın “sovereign cloud” söylemi, yalnızca verinin coğrafi konumundan ya da hizmet sağlayıcının merkez ülkesinden ibaret değil. Gerçek egemenlik iddiası, altyapının en alt katmanına kadar uzanan bir güven modelini gerektiriyor. Intel ME ve AMD PSP gibi bileşenler bu nedenle sadece teknik ayrıntı değil, doğrudan stratejik bir mesele haline geliyor. Avrupa’nın teknoloji bağımsızlığını gerçekten güçlendirmek istemesi halinde, gözünü yalnızca buluta değil, bulutu taşıyan silikonun içine de çevirmesi gerekecek.
