Nel contributo che vi proponiamo qui di seguito, Guy Bartram (nella foto), Sovereign Cloud Evangelist, VMware EMEA, si chiede se le aziende conoscono e vogliono davvero accettare i rischi che comporta il non utilizzare i Sovereign Cloud.
Buona lettura.
La crescente adozione di strategie multi-cloud da parte delle organizzazioni comporta la necessità di una maggiore attenzione alla sicurezza, in particolare per quanto riguarda i dati sensibili, la classificazione dei dati, la privacy e i Sovereign Cloud. Questi ultimi sono gestiti e operati privatamente o tramite provider di Sovereign Cloud di terze parti, spesso utilizzati per dati e applicazioni sensibili.
I dati sensibili possono avere una portata più ampia di quanto si pensi e variare a seconda del contesto e del settore di riferimento dell’azienda. Ad esempio, nel settore sanitario, i dati sensibili possono includere le cartelle cliniche, mentre nel settore finanziario i dati finanziari e i punteggi di credito. In ambito governativo, invece, possono includere informazioni relative alla sicurezza nazionale.
Sono ancora troppe le organizzazioni “chiuse” ai Sovereign Cloud
Purtroppo, molte organizzazioni devono ancora aprirsi all’utilizzo di Sovereign Cloud, nonostante i rischi che si corrono nel non utilizzarli. Le ragioni di questa incertezza possono essere molteplici:
- Consapevolezza: la necessità di una maggiore consapevolezza o comprensione del concetto di Sovereign Cloud e dei suoi vantaggi.
- Confronto: preoccupazioni circa la disponibilità, le prestazioni e i costi delle soluzioni di Sovereign Cloud rispetto alle offerte di cloud pubblico “hyperscale”.
- Ostacoli legali e normativi: la sovranità dei dati e i requisiti di compliance possono impedire alle organizzazioni di adottare i Sovereign Cloud.
- Status quo: rimanere con i fornitori di cloud che già si conoscono e su cui si è investito invece che esplorare nuove opzioni.
Tuttavia, evitare i Sovereign Cloud e utilizzare i cloud pubblici può comportare diversi rischi per la sicurezza e la privacy di un’organizzazione.
Davvero c’è da preferire i cloud pubblici?
In primo luogo, i cloud pubblici sono in genere detenuti e gestiti da fornitori terzi che possono avere controlli e protocolli di sicurezza diversi da quelli della propria organizzazione. Ciò significa che i dati potrebbero essere vulnerabili ad accessi non autorizzati, furti o usi impropri da parte di hacker, insider o altri soggetti malintenzionati. Il Presidente degli Stati Uniti, Joe Biden, ha recentemente sottolineato la necessità di regolamentare le pratiche di sicurezza nel cloud pubblico, che rappresenta un rischio considerevole per i dati sensibili.
I cloud pubblici, inoltre, si basano spesso su un’infrastruttura condivisa: i dati e le risorse di più organizzazioni vengono archiviati ed elaborati sugli stessi server e reti. Questo aumenta il rischio di data leakage o cross-contamination, in cui i dati sensibili potrebbero essere accidentalmente o intenzionalmente accessibili o esposti ad altri utenti sulla stessa piattaforma. Le piattaforme condivise comportano un costo in termini di funzionalità, in genere di sicurezza e prestazioni. La limitazione delle risorse e la perdita di prestazioni possono dipendere dall’hypervisor adottato per il cloud pubblico. I cloud pubblici spesso limitano le risorse di calcolo, di rete e di storage che i clienti possono utilizzare per ovviare a questo problema, con conseguenti costi elevati in rapporto alle loro prestazioni e il conseguente spostamento dei carichi di lavoro fuori dal cloud da parte di molti clienti. Esempi recenti sono basecamp e 37Signals.
La sfera di influenza da considerare è molto più ampia di quanto si pensi
Inoltre, i cloud pubblici sono soggetti a requisiti legali e normativi che potrebbero non essere in linea con le esigenze di sicurezza e conformità di un’organizzazione. Ad esempio, i fornitori di cloud pubblici possono essere soggetti a leggi straniere come la legge statunitense sul cloud o alla sorveglianza governativa come la FISA, che potrebbero compromettere la riservatezza e l’integrità dei dati classificati. In Europa, ad esempio, il Cloud Act statunitense solleva preoccupazioni in merito alla privacy e alla protezione dei dati dei cittadini dell’UE, in quanto consente potenzialmente alle autorità statunitensi di accedere ai loro dati personali senza sufficienti garanzie o controlli In sintesi, è in conflitto con il Regolamento generale sulla protezione dei dati (GDPR) dell’UE. Quest’ultimo impone alle aziende di ottenere il consenso esplicito delle persone per il trattamento dei loro dati personali e di garantire misure adeguate in materia di protezione dei dati.
Considerare i dati in tutte le loro forme
Se si considerano i dati in tutte le loro forme, compresi i metadati, i dati di telemetria, quelli contabili e quelli di supporto, la sfera di influenza da considerare è molto più ampia di quanto si pensi. L’esposizione è stata documentata più volte dalla stampa.
L’organizzazione deve verificare la gestione e la visibilità dei propri dati quando vengono archiviati ed elaborati in un ambiente di terze parti. Il cloud pubblico necessita di una maggiore standardizzazione tra i (multi) cloud pubblici per consentire all’organizzazione di verificare, monitorare e applicare le politiche e le procedure di sicurezza. I cloud pubblici sono altamente distribuiti e complessi, il che rende quasi impossibile una visione globale. A ciò si aggiunge un modello di responsabilità condivisa per la sicurezza, in cui i clienti sono responsabili dell’utilizzo delle funzionalità del cloud pubblico per proteggere i propri dati. Il cloud pubblico è in grado di scalare rapidamente, il che può rendere difficile tenere traccia dei criteri di sicurezza su più risorse.
Fino a che punto sono legittime le preoccupazioni riguardo ai Sovereign Cloud?
Infine, tutti i cloud pubblici hanno capacità e set di strumenti diversi, che creano problemi per quanto riguarda i livelli di sicurezza possibili, ma anche per la loro applicazione.
Le preoccupazioni delle organizzazioni riguardo ai Sovereign Cloud spaziano dalla disponibilità, alle prestazioni e ai costi delle soluzioni rispetto alle tradizionali offerte di cloud pubblico. Ma fino a che punto sono legittime? Bisogna approfondire maggiormente la questione per scoprirlo.
In primo luogo, occorre iniziare con la disponibilità. Le soluzioni di Sovereign Cloud possono avere una portata e una disponibilità globali diverse rispetto alle offerte di cloud pubblico tradizionale; si potrebbe pensare che questo limiti la loro capacità di supportare carichi di lavoro e utenti geograficamente dispersi. La sovranità non è una questione globale, ma nazionale o di una regione condivisa nell’UE, ad esempio. Le soluzioni cloud sovrane garantiscono un’elevata disponibilità all’interno delle geografie nazionali e dei data center della regione sovrana; andare oltre i confini significherebbe avere giurisdizioni e leggi diverse su tutti gli aspetti dei dati e del cloud. Garantire la disponibilità di dati e servizi è fondamentale per le operazioni gestite dai provider di Sovereign Cloud, come le operazioni di interesse nazionale.
È poi importante considerare le performance
Le soluzioni di Sovereign Cloud, come tutte le soluzioni di cloud, avranno livelli diversi di prestazioni e scalabilità rispetto alle offerte di cloud pubblico. Questo potrebbe essere considerato un limite alla loro capacità di gestire carichi di lavoro ad alto volume e intensità di risorse. I Sovereign Cloud sono costruiti e progettati per soddisfare le esigenze dei “sovereign customers”; molti Sovereign Cloud operano a livelli di disponibilità molto elevati, superando le capacità delle offerte pubbliche. Le operazioni di interesse nazionale e i settori verticali specifici hanno requisiti applicativi unici.
Un altro fattore da considerare è il costo. Le soluzioni di Sovereign Cloud possono essere più costose delle offerte di cloud tradizionale a causa dei maggiori costi operativi, delle minori economie di scala e della necessità di disporre di infrastrutture e personale specializzato. Il costo è una componente critica del cloud e partner come i provider di VMware Cloud lavorano su un modello puramente a consumo.
I Sovereign Cloud operano in sicurezza e conformità
I partner per i Sovereign Cloud investono in modo significativo nel controllo del personale, dell’infrastruttura e dei sistemi in linea con la classificazione dei dati e il settore verticale, che non sono disponibili nei cloud pubblici.
Certo, i fornitori di cloud locali non hanno economie di scala come i fornitori di cloud pubblici, ma, in termini di volume, molti partner per il Sovereign Cloud hanno parchi cloud molto consistenti. Ad esempio, OVH Cloud in Francia realizza il proprio hardware e ha 100.000 carichi di lavoro in esecuzione nei suoi ambienti.
L’ultimo punto da considerare è l’innovazione. Le soluzioni cloud sovrane possono avere un livello di innovazione e di sviluppo di funzionalità diverso rispetto alle offerte cloud tradizionali, limitando la loro capacità di stare al passo con l’evoluzione delle esigenze aziendali e delle tendenze tecnologiche.
Pensando a questo aspetto in modo diverso, i cloud pubblici, per essere residenti, devono limitare i loro portafogli solo a coloro che possono essere residenti, separandoli dai piani di controllo SaaS, e questo limita l’innovazione.
Considerate la conformità e la sicurezza fin dall’inizio
L’innovazione può essere vista in due modi: quella fuori dagli schemi (SaaS e PaaS) e quella che deve essere costruita utilizzando nuove infrastrutture e servizi. Una soluzione “out-of-the-box”, come una soluzione cloud industrializzata, può essere ottima per partire rapidamente. Tuttavia, è potenzialmente un problema notevole per quanto riguarda la conformità e la sicurezza. La creazione di una soluzione che soddisfi le proprie esigenze offre invece l’opportunità di considerare la conformità e la sicurezza fin dall’inizio (cosa che dovrebbe essere una best practice). Con la conformità dei dati, la regolamentazione e la governance della privacy e dei dati industrializzati ancora in evoluzione, è meglio innovare e coinvolgere tutte le linee di business per costruire la soluzione giusta.
I Sovereign Cloud hanno un ruolo fondamentale in una strategia multi-cloud. La domanda è: si vogliono accettare i rischi che comporta il non utilizzarli?