Il cloud ibrido che piace alle aziende

Sicurezza nel cloud sfida primaria per le organizzazioni

L’integrazione tra architetture cloud pubbliche e on premise dischiude allettanti prospettive di crescita per aziende e organizzazioni. A patto di rimuovere resistenze di tipo culturale e organizzative

Grande popolarità, poca comprensione. Si fa un gran parlare di cloud ibrido. Combinazione magica che dovrebbe spalancare ad aziende e organizzazioni le porte dell’altrettanto incantato mondo del cloud. Il regno dei risparmi, degli utili, dell’efficienza e della produttività del lavoro. In realtà, l’intelligenza del concetto, quando cioè una “nuvola” possa considerarsi davvero ibrida, sembra ancora lontana. Infatti, non basta servirsi del cloud pubblico e avere in casa qualche server dove far girare un’applicazione che proprio non si vuole mettere in cloud, per dire di aver implementato il cloud ibrido. «Infatti, a usarlo sono – e possono essere – pochissime aziende» – mette subito in chiaro Alessio Pennasilico, membro del comitato direttivo e del comitato tecnico scientifico di CLUSIT. «Possedere le necessarie risorse economiche, di competenza, di staff per una propria infrastruttura cloud privata è una possibilità che solo poche aziende, molto grandi e strutturate, possono permettersi. Molto più spesso si assiste invece a un mix di risorse on premise che interagiscono con servizi IaaS o SaaS cloud».

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

LE REGOLE E L’ORCHESTRATOR

Il cloud ibrido presuppone la fusione di due ambienti – da una parte un servizio di cloud pubblico e dall’altra un’infrastruttura di cloud privato – che condividono un orchestration layer. Affinché lavorino in sinergia, servono due ingredienti: una serie di regole stabilite a priori (policy) e lo strumento giusto (un software) in grado di interpretare e applicarle. Ma anche di gestire le interazioni tra sistemi cloud based e on premise, in modo che le diverse componenti raggiungano un certo risultato. «Questo layer deve permettere non solo di automatizzare task, ma di farlo secondo workflow complessi, seguendo tutte le regole fissate, su tutti gli aspetti di funzionamento dell’infrastruttura» – afferma Pennasilico. Gestire e distribuire i dati in modo da ottimizzare i carichi di lavoro, l’utilizzo dello storage e delle risorse di rete, i rischi operativi. Stiamo parlando di un sistema “intelligente”, che sulla base di alcune regole preimpostate è in grado di prendere alcune decisioni automatiche, avviare un certo numero di server nel cloud privato e in quello pubblico. Oppure: a fronte di un problema nel cloud privato, spostare un pool di macchine virtuali sul pubblico o viceversa. Automatizzazione che (quasi) non trova limiti alla sua applicabilità. L’orchestrator – infatti – dispone di una serie di feature tali da permettere una granularità estesa a un ampio spettro di possibilità. Naturalmente, a software diversi corrispondono funzionalità differenti e combinazioni diverse di possibilità. Ma tutti sono o dovrebbero essere in grado di interpretare ordini del tipo: se quel servizio non sta funzionando nel modo corretto – oppure – se il carico di lavoro supera una certa soglia – allora, comportati in un certo modo.

Facciamo un esempio. Prendiamo un sito web di commercio elettronico che nel periodo natalizio deve gestire molti più ordini rispetto al solito. Quando il carico di lavoro supererà – poniamo come soglia l’80 per cento – l’orchestration layer sarà in grado di avviare altri 10 server virtuali normalmente spenti, per far fronte ai picchi di lavoro. Ma con quali effetti? Sul piano pratico, dovrò sostenere costi maggiori per l’aumento nel consumo di CPU, memoria, energia, storage, in quanto svolgo più attività e con un grado d’intensità più elevato. Allo stesso tempo – però – il servizio di e-commerce continuerà a funzionare. Una volta diminuito il carico al di sotto di una soglia stabilita, potrò decidere di spegnere le macchine accese e tornare a consumare ai livelli precedenti. «Ogni soluzione virtuale ha un motore con queste caratteristiche e in grado di gestire gli eventi rispetto al contesto» – conferma Pennasilico. Ma occorre interfacciarsi attraverso apposite API con molti attori differenti, tanti quanti sono i cloud provider con i quali si opera e le loro tecnologie. Tutti i software più blasonati supportano Amazon, Azure, e le soluzioni on premise. Dal mondo Symantec, segnaliamo due soluzioni specifiche, come ci spiega Candid Wüest, threat researcher: «Symantec Cloud Workload Protection, la soluzione nativa con caratteristiche di automazione e flessibilità per i carichi di lavoro di AWS e Azure. E Symantec Data Center Security per la protezione sia del sistema operativo da exploit, buffer overflow e zero-day, sia delle applicazioni, permettendo l’esecuzione di software autorizzato in modalità sicura come sandbox e memory protection. Disponibile, quest’ultima, in modalità agentless per gli ambienti virtuali e integrata nativamente con NSX». Sarà dunque in questo layer che dovranno essere impostate molte delle regole di funzionamento che influiranno sulla gestione della riservatezza e della disponibilità dei servizi. Parliamo di un software funzionale alla creazione di un’architettura creata a tavolino. Un’“intelligenza superiore” in grado di gestire in modo coerente, uniforme, ottimizzato, secondo i criteri impostati tutte le risorse disponibili. Attività queste che in un ambiente cloud ibrido raggiungono un grado di complessità maggiore rispetto al cloud pubblico, e che sono il prodotto dell’interconnessione tra processi che si svolgono tra sistemi eterogenei ubicati in posti diversi.

ANALISI DEL RISCHIO E TRASPOSIZIONE IN POLICY

Naturalmente, affinché tutto questo avvenga al meglio, alle spalle deve esserci un lavoro importante di analisi del rischio e di trasposizione in policy delle decisioni prese per far fronte alle diverse possibilità che i rischi individuati si manifestino. «Per facilitare la gestione e ridurre i rischi, le policy devono essere stabilite in maniera centralizzata e agnostica dal punto di vista infrastrutturale. In modo da rendere più semplice mettere in campo nuovi processi, in totale sicurezza» – osserva Michele Guglielmo, regional sales director di Cloudera. Quando nulla di tutto questo esiste, allora accade semplicemente che i due ambienti vivano di vita propria. Le decisioni prese in un ambiente non influenzano quelle dell’altro. L’interazione in questo caso avviene attraverso l’intervento di un tecnico, ma con possibilità più limitate. «Lo scenario di due infrastrutture cloud comunicanti è molto diverso da un hybrid cloud. Perché non permette di gestire in modo automatico carichi di lavoro, necessità di risparmio energetico, ottimizzazioni geografiche, e così via. Per questo l’orchestrator layer è indispensabile per poter parlare di hybrid cloud» – mette in evidenza Pennasilico di CLUSIT. Accedere a una serie di servizi sul cloud pubblico e disporre di un cloud privato indipendente significherebbe in sostanza mantenere separati tutti i rischi associati a entrambe le soluzioni, ma senza in alcun modo sfruttare i vantaggi della loro fusione. L’hybrid cloud permette, in quegli ambienti dove la riservatezza è un requisito forte, di avere maggior controllo e segregazione sugli ambienti, non rinunciando alla disponibilità e alla potenza di infrastrutture esterne.

Leggi anche:  Protezione delle identità e degli accessi. Sfide e opportunità per CIO e CISO

CHI PUÒ TRARRE I MAGGIORI VANTAGGI DAL CLOUD IBRIDO?

Il settore – cloud privato e pubblico – in Europa sviluppa secondo IDC un giro d’affari pari a circa 3,6 miliardi di euro nel 2017, di cui 240 in Italia. «Come evidenziato dall’Osservatorio cloud & ICT as a Service della School of Management del Politecnico di Milano, in Italia il cloud continua a crescere, con un incremento pari al 18 per cento negli ultimi 12 mesi. Se si considera la sola componente di public & hybrid cloud – ovvero i servizi cloud forniti da provider esterni e gli “ibridi” tra provider pubblici e privati – si stima che il mercato valga 978 milioni, in crescita del 24 per cento» – come riferisce Walter Narisoni, sales engineer manager di Sophos Italia. I settori ad alta intensità di informazione sono quelli che mostrano gli investimenti più significativi su architetture ibride. «Basti pensare ai servizi, ai media, alle utility e al mondo finanziario. Molto spesso, gli ambienti ibridi coinvolgono soprattutto imprese di grandi e grandissime dimensioni, che riescono a fare efficienza scalando su grandi numeri. Migliorando in modo sostanziale la qualità dei servizi IT degli utenti interni» – rileva Giancarlo Vercellino, research & consulting manager di IDC Italia.

VERTICALI D’ELEZIONE

Ma quali sono i verticali che possono trarre maggiori vantaggi dal cloud ibrido? Secondo Pennasilico di CLUSIT, il cloud ibrido diventa «uno strumento essenziale per tutte quelle organizzazioni che hanno servizi mission critical, con esigenze di uptime altissime. E per chi ha bisogno di elaborare – quindi sia memorizzare che processare – enormi quantità di informazioni. Servizi con alto grado di riservatezza, gestiti su server on premise, con servizi cloud a contorno per gestire grandi volumi di operazioni o picchi». Pensiamo a un ospedale, a un Comune o a tutte quelle organizzazioni che devono dare un servizio importante in termini di continuità del servizio. Prendiamo un’infrastruttura semplice collegata a un sito web strategico come il portale di un’amministrazione pubblica che gestisce una serie di servizi ai cittadini. Oppure, il sito di una banca al quale ci si collega per fare home banking. È chiaro che se per qualche ragione i rispettivi siti si fermano, anche solo per due giorni, il problema è enorme. Per i clienti e per l’azienda.

Leggi anche:  Carriere depredate: Group-IB svela il furto di dati di ResumeLooters

GDPR E CLOUD IBRIDO

Forse, anche per questo è così diffusa l’opinione che il cloud ibrido non sia adatto per determinati settori. «Il GDPR stabilisce precise ripartizioni della responsabilità tra chi fruisce e chi fornisce il servizio. Inoltre aumenteranno i requisiti di conformità dei dati (data compliance) richiesti a entrambe le parti» – osserva Tullia Zanni, head of solution marketing, management & offering di Italtel. «Ma è anche vero che il GDPR – dopo aver stimato i rischi di una scelta e fornito tutte le necessarie informative a terzi – lascia ognuno libero di calibrare le proprie decisioni in base alle proprie esigenze» – fa notare Pennasilico di CLUSIT. «Prendiamo un servizio come l’home banking: la banca può decidere di metterlo su cloud pubblico perché comunque devono potervi accedere tutti i clienti. Mentre i servizi di riconciliazione dei dati e tutte le transazioni dei singoli passano sul cloud privato, perché la banca non vuole mettere in mano a terzi i propri dati. Non si è obbligati ad abbracciare un certo tipo di percorso né un altro. La legge lo consente». Perciò affermare che tutti i dati gestiti dalle aziende di taluni settori – come quello finanziario o sanitario per esempio – siano incompatibili con il cloud non è corretto. In realtà, non ci sono preclusioni. Anzi, per alcune aziende il cloud ibrido potrebbe essere la soluzione migliore. «I responsabili di un ospedale potrebbero decidere di non mettere su cloud i servizi di relazione con il pubblico. Né i servizi che fanno funzionare la TAC. Ma – dopo aver fatto tutte le verifiche del caso – possono decidere di mettere sul cloud pubblico i servizi al cittadino» – osserva Pennasilico. È vero che la gestione di taluni dati, e quelli sanitari dei pazienti rientrano sicuramente in questa categoria, richiede in genere un livello di sicurezza adeguato in termini di riservatezza, integrità e confidenzialità del dato. Tuttavia, i dati legati ad altri servizi come la lavanderia o i servizi di ristorazione non necessitano della stessa gestione. Per cui, si può decidere di affidarsi al cloud pubblico, evitando costi inutili.

IL RUOLO DEL CLOUD PROVIDER

È vero però che i cloud pubblici non sono tutti uguali. Ci sono cloud provider i cui data center sono ubicati in aree non soggette alla giurisdizione europea. In tema di sicurezza, alcuni provider sono in grado di offrire livelli di cifratura e sicurezza superiori a quelli presenti in una infrastruttura cloud privata. Altri possono essere meno attrezzati in termini di assistenza e supporto. Le casistiche sono le più disparate. Di certo, nella scelta del cloud provider, bisogna porsi una serie di domande. Per Luca Livrieri, manager sales engineering Italy & Iberia di Forcepoint, il consiglio è di «verificare nel dettaglio quali sono i data center che andranno a fornire i servizi offerti, dove sono collocati e quali certificazioni possono garantire. Forcepoint ha esteso il numero dei propri data center, il più recente aperto proprio a Milano, e ne garantisce la sicurezza con continue verifiche e certificazioni». E come mette in evidenza Roberto Cazzetta, marketing director Switzerland & Italy di Equinix, per ogni cloud provider la data compliance è una responsabilità a pieno titolo. «Il provider deve disporre di strutture professionali, a livello nazionale o internazionale, pubblicamente visibili. Deve possedere un business model di successo. Deve offrire soluzioni basate su standard pubblici.  Deve prevedere la possibilità per il cliente di pagare i servizi via carta di credito o di accedere ai servizi via applicazioni su smartphone e tablet. E deve essere in possesso delle certificazioni (ISO) di tutti i processi più importanti». Per Roberto Cazzetta, compliance significa «rispettare e vivere dal punto di vista operazionale tutte le regole e i processi richiesti dalla data compliance». Un tema quest’ultimo assieme alla gestione degli ambienti multi-datacenter su cui punta anche Dionigi Faccenda, sales and marketing director di OVH Italia: «Le risposte vanno ricercate nelle certificazioni relative ai diversi modelli e alle policy. Proprio per questo motivo OVH è uno dei partecipanti all’Open cloud Foundation, organizzazione a vocazione internazionale i cui valori ruotano attorno a quattro nozioni fondamentali. Una delle quali è la protezione dei dati da un punto di vista legislativo in base al paese in cui sono localizzati. Concetto al quale OVH presta particolare attenzione attenendosi alle normative stabilite dal Regolamento generale sulla protezione dei dati e vantando svariate certificazioni come ISO/IEC 27001, SOC 1 e SOC 2 Tipo II, PCI DSS e altre». Caratteristiche quelle elencate tutte importanti. Ma non sempre semplici da verificare né da gestire per via di alcuni vuoti legislativi. Aspetti che per poter essere valutati efficacemente, devono poggiare su una chiara strategia di gestione delle informazioni nel cloud.

IL CLOUD IBRIDO È IL FUTURO?

Senza dubbio, le aziende sono sempre di più disposte a rinunciare a un certo grado di controllo sui propri dati a favore di soluzioni in grado di assicurare un risparmio sui costi di gestione. «Per un’acciaieria l’obiettivo sarà di fondere l’acciaio» – spiega Pennasilico di CLUSIT. «Quanti e quali computer mi servono per farlo, al limite può anche non interessarmi. Mi doterò di tutto quello che serve, basta che riesca a risparmiare. Questo è il ragionamento che fanno tutti. Nel prossimo futuro, ci sarà una migrazione sempre maggiore verso il cloud. Se per cloud ibrido intendiamo servizi on premise più accesso a servizi esterni, è lì che stiamo andando. Se invece intendiamo cloud privato più cloud pubblico con l’orchestrator, allora sono convito che questa scelta sarà alla portata solo delle grandi organizzazioni. Oppure, per iniziative di categoria. Se domani Confindustria o il ministero della Salute approntassero un proprio cloud privato a disposizione di tutti gli ospedali e lo commistionassero con un cloud pubblico, le adesioni potrebbero essere massicce. Non solo sarebbe una scelta plausibile – io addirittura lo auspico – ma significherebbe ottimizzare, dare servizi migliori e risparmiare».

OSTACOLI CULTURALI E ORGANIZZATIVI

I più ottimisti sono certi che nel prossimo futuro la fusione tra i due ambienti sarà più semplice e la complessità ridotta. Secondo IDC, a ostacolare l’adozione del cloud sussistono essenzialmente due fattori: uno legato alla sicurezza dei dati e l’altro all’ownership dei processi. «Rispetto al primo – spiega Giancarlo Vercellino di IDC – gli operatori hanno lavorato molto negli ultimi anni sia dal punto di vista della certificazione sia della comunicazione per rappresentare al meglio la value proposition delle nuove piattaforme e mitigare al massimo le incertezze. L’approssimarsi di scadenze importanti per la compliance come la GDPR alzerà inevitabilmente l’asticella dei requisiti, rendendo certe incombenze potenzialmente molto onerose per le imprese, introducendo allo stesso tempo un filtro sempre più selettivo rispetto agli operatori. Soltanto i più qualificati, continua Vercellino, riusciranno a rimanere sul mercato fornendo tutte le garanzie». Il tema dell’ownership dei processi è invece un tema strettamente culturale, connesso con il rinnovamento del ruolo dei CIO e influenzato da diversi fattori, in primo luogo la cultura aziendale. «Alcuni CIO hanno capito in quale direzione scorre il futuro, altri no. Con il tempo, queste barriere si supereranno attraverso un inevitabile processo di rinnovamento delle figure aziendali». Nel momento in cui il perimetro dei sistemi informativi aziendali diventa sempre più sfumato, diventa una priorità dotarsi di strumenti sofisticati per esercitare un controllo granulare e trasparente di ciò che transita attraverso gli ambienti aziendali. «L’introduzione di tecnologie di sicurezza sempre più sofisticate come la microsegmentazione, l’impiego sistematico degli analytics per cogliere gli APT, la partnership con fornitori di servizi di sicurezza e l’accesso a servizi di sicurezza basati su architetture cloud rappresentano le principali sfide tecnologiche e di business per quanti stanno cercando di muoversi in ambienti hybrid» – conclude Vercellino di IDC Italia.

Leggi anche:  Zero-day di Microsoft Windows usato negli attacchi del ransomware Nokoyawa