DNS Belgium neemt afscheid van AWS. In deze serie volgen we de Belgische registry in hun migratietraject naar een Europese cloudprovider. Van het strategische besluit tot de technische implementatie: wat komt er kijken bij zo’n exit? Dit eerste artikel gaat over de keuze om te vertrekken.
DNS Belgium vertrekt bij Amazon Web Services. Niet omdat AWS technisch tekortschiet – de dienstverlening is prima – maar omdat de Belgische registry voor een fundamentele keuze stond. Met hun maatschappelijke functie als beheerder van .be en de geografische domeinen .vlaanderen en .brussels kunnen ze niet langer volhouden dat lokale digitale identiteit belangrijk is, terwijl hun eigen infrastructuur onder Amerikaanse controle staat. Eind 2027 moet de migratie naar een Europese dienstverlener zijn afgerond. “We vinden het met de rol die wij opnemen belangrijk dat we zelf ervoor zorgen dat de infrastructuursoevereiniteit gewaarborgd wordt,” zegt Kristof Tuyteleers, Chief Information Security Officer bij DNS Belgium. “Dat geen derde partij ineens dingen kan afschakelen zonder dat wij dat gevraagd hebben of buiten onze wil om.”
Ongeveer tien jaar geleden ging DNS Belgium juist de andere kant op. De organisatie migreerde toen van eigen datacenters naar AWS. De redenering was rationeel: laat engineers focussen op waar DNS Belgium onderscheidend vermogen heeft – het DNS-protocol en registratiesystemen – en besteed de infrastructuurlaag uit. Hardware, storage, virtualisatie: dat kan een cloudprovider sneller, efficiënter en schaalbaarder.
De DNS-dienst zelf bleef overigens altijd in eigen beheer. Dat zijn de nameservers die ervoor zorgen dat iemand die ‘ictmagazine.be‘ intikt ook daadwerkelijk op de juiste server uitkomt. Die servers staan verspreid over datacenters in België en bij grote telecomproviders, vaak dicht bij internet-exchanges. Te kritiek om ooit uit te besteden. Als nameservers offline gaan, ligt een deel van het internet plat. Geven ze verkeerde antwoorden, dan leiden ze mensen in realtime naar malafide websites zonder dat dit achteraf nog te corrigeren is.
Voor het registratieplatform – de backoffice waar domeinnamen worden aangemaakt, overgedragen en beheerd – is dat anders. De service levels zijn minder kritisch. Als het registratieplatform een dag offline is, moet je registraties herstellen uit een back-up. Vervelend, maar herstelbaar. Als nameservers een dag offline zijn, ligt een deel van het internet plat. DNS Belgium beheert twee registratieplatformen: één voor .be met 1,7 miljoen domeinnamen, en één voor de geografische top-level domains .vlaanderen en .brussels met samen zo’n 15.000 namen. Dit registratieplatform draait inmiddels al een decennium probleemloos op AWS.
Controle cruciaal
Die keuze hield stand zolang de voordelen opwogen tegen de risico’s. Maar onder meer door geopolitieke veranderingen begon die balans te kantelen. DNS Belgium voert elk jaar een enterprise risk management-oefening uit waarbij alle categorieën risico’s worden doorgelicht. “We kijken dan niet alleen naar cybersecurity, maar ook naar geopolitiek, commerciële risico’s en ecologische risico’s”, zegt Tuyteleers. De dominantie van Amerikaanse big tech stond al jaren op de radar, maar werd nooit als acuut probleem gezien. Tot meerdere mensen binnen de organisatie – van general manager tot head of legal tot Tuyteleers zelf – tegelijk tot de conclusie kwamen dat het risiconiveau te hoog was geworden. “Het onvoorspelbare gedrag van de Amerikaanse president speelde daar zeker een rol in,” erkent Tuyteleers. “Maar belangrijker is de structurele onevenwichtigheid. De grote macht die Amerikaanse big tech op dit moment heeft, zorgt voor een onbalans van het internet. Ze hebben een te groot deel van de internetresources in handen.”
De zorgen spitsen zich toe op twee gebieden. Amerikaanse wetgeving als de Cloud Act maakt het mogelijk dat overheden toegang kunnen eisen tot data bij Amerikaanse bedrijven, ook als die data fysiek in Europa staat. Maar voor DNS Belgium weegt een ander risico zwaarder: niet wie bij de data kan, maar wie de infrastructuur kan uitschakelen. DNS Belgium maakt daarom onderscheid tussen data-soevereiniteit en infrastructuur-soevereiniteit. Bij data-soevereiniteit gaat het om wie toegang kan krijgen tot persoonsgegevens. DNS Belgium collecteert bewust zo min mogelijk data, alleen wat nodig is om de dienst te verlenen en te verifiëren dat de registrant is wie hij zegt te zijn.
“De inschatting is in alle eerlijkheid dat dat bij een registry nogal meevalt,” zegt Tuyteleers. infrastructuursoevereiniteit gaat over iets anders: wie kan je dienst uitschakelen? Wie heeft de controle? Het registratieplatform draaide technisch wel in Europa, maar AWS blijft een Amerikaans bedrijf. De data van DNS Belgium heeft overigens altijd in Europa gedraaid, benadrukt Tuyteleers, maar “de huidige discussie over soevereine clouds heeft aangetoond dat er geen garanties zijn. Het feit dat je op een Europese service van AWS draait betekent niet automatisch dat je voldoende waarborgen hebt dat die data veilig genoeg draait en niet alsnog onder niet-Europese wetgeving kan worden opgevraagd.”
Het voorstel om een migratieproject op te starten stuitte op geen enkele weerstand bij het bestuur van de organisatie en de beslissing werd breed gedragen. Sterker nog: het bestuur steunde het besluit volledig omdat DNS Belgium moet waarmaken wat het predikt. “We promoten .be-domeinen juist omdat lokaal belangrijk is voor digitale identiteit. Dan kunnen we niet tegelijk onze eigen infrastructuur op een Amerikaanse speler laten draaien,” zegt Tuyteleers.
Migratieplan
Nadat het besluit was genomen, trad DNS Belgium direct naar buiten met zijn plannen. Die transparantie past bij de voorbeeldfunctie die de organisatie wil vervullen. De aankondiging leverde onverwacht veel respons op, vertelt Tuyteleers. “Er is ongelooflijk veel belangstelling. Niet alleen van Europese cloudaanbieders, maar ook van andere bedrijven die ermee worstelen,” zegt Tuyteleers. Ook de Belgische overheid kijkt mee. “Ze hebben dit niet gevraagd, maar ze vinden het wel knap dat we op eigen initiatief die reflectie hebben gedaan en die kant uitgaan.”
Voor het migratietraject heeft DNS Belgium een uitgebreide Request for Proposal opgesteld waarin niet alleen techniek, maar ook security, privacy en duurzaamheid zijn meegenomen. “We zijn dat project opgestart met een heel duidelijk gedocumenteerde RFP waar heel veel afdelingen aan hebben meegewerkt,” zegt Tuyteleers. “Dat was een traject waarbij we de tijd hebben genomen om de juiste vragen te stellen en ervoor te zorgen dat alle aspecten zijn afgedekt.” De organisatie beoordeelt nu de ingediende voorstellen en verwacht met een handvol partijen verder in gesprek te gaan. Een van de belangrijkste eisen: DNS Belgium wil af van gedeelde infrastructuur. In plaats van shared hardware bij AWS, gaat de organisatie voor dedicated hardware bij een Europese partij. Dat maakt een directe prijsvergelijking lastig. “Je kunt de abonnementsprijs van AWS moeilijk vergelijken met wat je betaalt aan een partij die dedicated hardware voor je opzet,” zegt Tuyteleers. “Maar de prijs is net zoals duurzaamheid en security, een component die we meewegen.” Tot nu toe zijn er geen rode vlaggen tegengekomen in de ingediende voorstellen. “We zijn ons ervan bewust dat het waarschijnlijk iets duurder wordt, maar daar staat tegenover dat we zelf veel meer controle krijgen.”
De migratie wordt gefaseerd aangepakt. Eerst wordt het kleinere platform voor .vlaanderen en .brussel gemigreerd en daarna het grote .be-platform. “We zijn een heel risico-averse organisatie,” zegt Tuyteleers. “We willen onze tijd nemen en het heel gefaseerd doen. Het kleinere platform gebruiken we als lakmoesproef om zeker te zijn dat alles werkt zoals het moet werken.” Dat betekent niet dat .vlaanderen en .brussel als testomgeving worden behandeld, benadrukt hij. “We behandelen dat op dezelfde kwaliteitsvolle manier als .be. Maar de impact is wel kleiner als er iets misgaat. Het is minder complex, dus het helpt ons om het proces te valideren voordat we het op grotere schaal uitrollen.”
Volledig Europese hardware is geen eis. Tuyteleers is daar realistisch over. “Als we daarop moeten wachten, dan vrees ik dat we in 2035 nog niet gemigreerd zijn. De afhankelijkheid op het vlak van hardware is veel groter dan de afhankelijkheid op het vlak van software en dienstverlening.” Ook dat is een risicoafweging: wat weegt zwaarder, het risico dat een dienst wordt uitgezet of dat er een hardware-killswitch wordt gebruikt? “Kan allebei waarschijnlijk, maar dat is een risico-inschatting.”
Europees alternatief bestaat
Wat Tuyteleers vooral opvalt bij de ingediende voorstellen: het niveau van security en compliance bij Europese partijen is sterk verbeterd. “Vijf jaar geleden kwam je met bepaalde vragen, en dan was het antwoord vaag. Vandaag hebben ze dat allemaal klaar, is dat aantoonbaar, investeren ze ook in technische security testing en compliance.” Hij wijt dat mede aan wetgeving als NIS2. “Voor commerciële bedrijven heeft wet- en regelgeving in Europa een prijs. Maar het wordt wel van ons gevraagd, dus moet het aangeboden worden.” Die verbetering bevestigt wat DNS Belgium vanaf het begin dacht: een waardig Europees alternatief bestaat.
Andere organisaties kijken intussen mee. “We krijgen vragen, niet alleen commercieel, maar ook over het plan van aanpak,” zegt Tuyteleers. “Je merkt dat bedrijven willen leren van onze successen, maar ook van fouten die we maken.” Die aandacht maakt de voorbeeldfunctie concreet, ook al was dat niet het doel. Tuyteleers verwacht dat de échte uitdagingen zich pas later zullen aandienen, wanneer de architectuur moet worden gemapt op het aanbod van de gekozen partij. “Nu zijn we vooral aan het kijken of de voorstellen volwaardig zijn. De spannende zaken komen waarschijnlijk in de volgende fase.”
Het einddoel in 2027 is een omgeving die naadloos draait bij een Europese partij, met dedicated hardware en volledige controle bij DNS Belgium. “Als de rest van de wereld niet merkt dat er iets veranderd is, hebben we het goed gedaan,” zegt Tuyteleers.
Dit is het eerste artikel in de serie ‘Exit AWS: De DNS Belgium migratie’. In de volgende afleveringen volgen we de organisatie bij de vendorselectie, de technische migratie en de uiteindelijke implementatie.