Come cambia la sicurezza sulla nuvola dopo l’uragano Snowden? In molti paesi, i timori connessi alla pervasività dei programmi di spionaggio – non solo americani – hanno scatenato vere e proprie campagne d’opinione contro il cloud e in generale i fornitori extraeuropei di questi servizi. In questo scenario, come si stanno muovendo i fornitori di servizi cloud per riconquistare la fiducia di imprese e organizzazioni?
L’appuntamento è fissato per il prossimo 16 giugno. A Cornaredo, hinterland milanese, il nuovo data center di Big Blue apre i battenti: 50 milioni di dollari investiti e un nuovo posto di lavoro per 40 giovani informatici, che lavoreranno all’interno dell’impianto a disposizione dei clienti IBM per immagazzinare, mettere in sicurezza e condividere i loro dati. E in pratica, toccare con mano le numerose soluzioni as a Service della controllata SoftLayer, l’infrastruttura cloud del gigante americano. Una rete di centri per il cloud computing estesa in tutto il mondo e con sedi in Europa ad Amsterdam e Parigi, acquisita da IBM nel 2013 per due miliardi di dollari. Uno sforzo titanico al quale si sono aggiunti lo scorso anno investimenti per altri 1,2 miliardi destinati all’apertura di altri centri: uno ancora in Europa, a Francoforte. E che proseguiranno per tutto il 2015 andando a finanziare l’espansione di IBM in Australia, Canada, India e appunto Italia. Un piano progettato per avvicinare il cloud alle aziende europee senza rinunciare ai vantaggi dell’apertura verso il mondo che la nuvola garantisce, riducendo i tempi di latenza e rendendo al contempo più agevole il conformarsi alle normative. Ogni nuovo data center, non solo permette di aggiungere ulteriore capacità di calcolo, ma aiuta i clienti a risolvere i problemi di resilienza dei dati, a gestire ed espandere applicazioni per i Big Data su server fisici e molto altro ancora, come dichiara lo stesso Jim Comfort, general manager di IBM Cloud Services. Una risposta alle esigenze del mercato locale, oltre che un segnale di fiducia nei confronti del nostro Paese e del suo potenziale di innovazione.
La nuova corsa all’oro
Il programma di espansione di IBM in Europa coincide con l’apertura del secondo data center da parte di Amazon. Inaugurata nell’ottobre 2014, la nuova struttura di Francoforte affianca quella di Dublino e consolida la presenza nel Vecchio Continente di AWS, come ha dichiarato nel discorso inaugurale Andy Jassy, vicepresidente di AWS, ammettendo che molti dei clienti business chiedono non solo di poter mantenere i loro dati e le loro applicazioni all’interno del perimetro dell’Unione europea, ma anche di disporre di un data center locale su cui migrare dati sensibili, e workload mission-critical. Una esigenza, non solo tedesca, intercettata però alla grande da Amazon, visto il numero di contratti firmati negli ultimi mesi. Una ulteriore prova di come anche grandi aziende, appartenenti ai settori maggiormente regolamentati – dal finance alle utility – abbiano rotto gli indugi passando al cloud pubblico. «Nonostante la scarsa fiducia da parte dei consumatori, verso i servizi cloud, il loro uso da parte delle aziende è in forte crescita» – concorda Morten Lehn, managing director di Kaspersky Lab Italia. Il “mood” positivo nei confronti del cloud si conferma anche per quanto riguarda il nostro Paese, dove – secondo un sondaggio condotto da Eurostat all’inizio del 2014 – il 40% delle aziende ha adottato almeno una soluzione cloud. Non solo. I dati certificano che l’Italia, per tasso d’adozione, si piazza al secondo posto tra i 26 paesi che compongono l’Eurozona, nettamente al di sopra della media europea (19%) e dietro solo alla Finlandia (dove il 51% delle imprese utilizza servizi cloud). Per necessità o virtù, è verso il cloud che ci stiamo muovendo. E nell’ultimo anno, «i nuovi clienti Zucchetti che hanno scelto “la nuvola” sono aumentati di oltre il 50%» – conferma Giovanni Mocchi, vicepresidente di Zucchetti Group.
La nuova frontiera
La richiesta di servizi cloud aumenta in tutto il mondo. E con essa quella di connessioni veloci, che oggi passano quasi tutte attraverso i collegamenti sottomarini. Un business in grande espansione. Builtvisible, società di consulenza specializzata nel content marketing, stima che, alla fine del 2015, saranno attivi circa 300 progetti di posa di cavi sottomarini (oggi, se ne contano 230) per un’estensione a livello globale di circa 680.000 miglia. Uno snodo vitale, anche per la sicurezza dei dati. Un teatro nel quale si giocherà una partita importante per determinare gli assetti dei big dell’IT nei prossimi anni. Anche Microsoft non vuole mancare, tanto che nei giorni scorsi, ha reso noto che collaborerà con Aqua Comms, azienda specializzata nella posa di cavi sottomarini, per sviluppare un sistema di trasmissioni che collegherà l’Europa al continente americano (AEConnect). Questo accordo consentirà a Microsoft di connettere i data center di Regno Unito e Irlanda con la casa madre, fornendo – si legge nel comunicato – collegamenti più veloci ai dati e tassi di latenza più bassi ai propri clienti. Una mossa piena di conseguenze che permetterà di incidere sulla capacità di garantire la sicurezza nella trasmissione dei dati, la cui protezione passa attraverso il controllo dei punti di snodo della rete Internet. Quei luoghi cioè, in cui avvengono gli scambi di dati più importanti in termini di volumi tra reti geografiche, sfruttati in passato (ma è probabile che continuino ancora oggi) dallo spionaggio per intercettare i dati. «La costruzione di data center in Italia/EU copre solo parzialmente l’aspetto della difesa dallo spionaggio “direttamente sui cavi”, che ha sempre coinvolto gli operatori di telecomunicazioni senza che nessuno si scandalizzasse troppo» – osserva Carlo Baffé, business development manager di SUSE. Con la posa di questi nuovi cavi sottomarini, Microsoft ribadisce la volontà di rafforzare i collegamenti attraverso l’Atlantico e il Pacifico grazie a nuovi investimenti, accreditandosi come attore di rilievo in un teatro nel quale molto probabilmente si costruirà il vantaggio competitivo del futuro. Una mossa che rappresenta inoltre una cesura fondamentale in direzione dell’integrazione verticale della presenza di Microsoft sul cloud. Un settore nel quale, lo stesso Satya Nadella, CEO di Microsoft, ha più volte dichiarato di credere molto. Confortato peraltro dagli ottimi risultati che questa voce gioca nel fatturato Microsoft.
Protezione dei dati
IBM e Amazon non sono gli unici a costruire nuovi data center in Europa. Altri operatori si stanno muovendo nella stessa direzione. Google, secondo quanto riportano alcune fonti, avrebbe investito circa 600 milioni di euro per la realizzazione di un data center da 120 megawatt in Olanda, che andrà ad aggiungersi agli altri già posseduti da Google in Belgio, Finlandia e Irlanda. Oltre a un quarto più piccolo, localizzato a Eemshaven, sempre in Olanda. E non poteva mancare all’appello un altro dei big dell’IT come Apple che all’inizio dell’anno ha annunciato un piano per la costruzione di due nuovi data center che saranno operativi nel 2017. Alimentati esclusivamente da energie rinnovabili, sorgeranno in Danimarca e Irlanda e forniranno supporto a tutti i servizi della Mela: App Store, iMessage, Maps e Siri compresi. Un investimento importante che per Apple rappresenta il più grande progetto in Europa come recentemente ha dichiarato Tim Cook, CEO del Gruppo. Anche VMware ha di recente aperto il suo secondo data center per l’erogazione di servizi IaaS in Gran Bretagna, oltre che per garantire supporto on-site alla clientela locale. Un’esigenza questa, comune a tutte le aziende e mappata da decine di ricerche condotte in tema di cloud e sicurezza, dalle quali emerge la richiesta da parte dei clienti enterprise di effettuare lo storage dei propri dati mission-critical su server del vendor cloud residenti nel proprio paese. Questi studi certificano come per una quota sempre più ampia di organizzazioni – per le quali il cloud rappresenta ormai una modalità irrinunciabile di integrazione o addirittura sostituzione completa della propria infrastruttura IT – si tratti di un bisogno sempre meno negoziabile. «Vogliamo il cloud. Ma il più possibile vicino a casa» – è il mantra ricorrente. Che poi è un altro modo di reiterare vecchi timori mai completamente sopiti. «Le aziende fronteggiano infrastrutture ICT sempre più complesse e il volume di dati sensibili da proteggere è sempre più elevato» – spiega Walter Narisoni, sales engineer manager di Sophos Italia. In questo quadro, «molte aziende hanno ancora timore del cloud. La mancanza di certezza sull’archiviazione e sulle metodologie di protezione dei dati spesso non incentiva ad adottare tecnologie basate sulla “nuvola”» – afferma Alessandro Peruzzo, amministratore unico di Panda Security Italia. «Una nostra ricerca, condotta nell’ottica della nuova normativa UE per la protezione dati, ha rivelato che il 71% dei clienti chiede più trasparenza in merito a ubicazione e trattamento dei suoi dati privati» – rileva Gastone Nencini, country manager di Trend Micro Italia. Obiezioni che da sempre accompagnano ogni discussione sul cloud computing e che negli ultimi due anni sono aumentate per colpa della politica e del suo braccio armato, lo spionaggio.
Privacy e sicurezza
Le preoccupazioni europee per la privacy e la sicurezza dei dati sul cloud non derivano solo dai timori legati alle vulnerabilità dell’infrastruttura. Il livello di fiducia nel cloud è precipitato dopo le rivelazioni di Edward Snowden su PRISM, il programma di spionaggio ideato dalla NSA per conto del governo USA. Con PRISM, milioni di persone hanno scoperto un livello di sorveglianza che non ha eguali in altre epoche della storia: mail, telefonate, dati vengono senza sosta passati al setaccio da un “grande fratello” in grado di tracciare e spiare qualsiasi movimento elettronico. Un gran brutto risveglio. Che ha generato rabbia e preoccupazione. In molti paesi europei, i timori connessi alla pervasività dei programmi di spionaggio – non solo statunitensi – hanno scatenato vere e proprie campagne d’opinione contro il cloud in generale e i fornitori extraeuropei di questi servizi. Un clima di sfiducia che ha fatto crescere molto in fretta la consapevolezza circa la natura e il livello di esposizione dei dati di privati cittadini e aziende all’intrusione della politica, forte di una legislazione che consente ai giudici di ottenere dalle aziende USA, fornitori di servizi cloud compresi, i dati dei loro clienti, indipendentemente dalla regione geografica in cui sono salvati. Il Patriot Act oggi è ridimensionato dalla riforma del sistema di sorveglianza approvata dal Senato americano, ma alcune questioni restano irrisolte. Con il Freedom Act vengono posti dei limiti alla possibilità del governo degli Stati Uniti di avere accesso ai dati. Il Grande Fratello resta, ma dovrà agire con qualche vincolo in più nel rispetto della privacy. In seguito alle rivelazioni di Edward Snowden, secondo uno studio redatto dall’Open Technology Institute, le perdite potenziali per i fornitori di servizi cloud si stimavano superiori ai venti miliardi di dollari entro il 2016. Senza contare i danni all’immagine degli USA. E in particolare alla credibilità dell’infrastruttura tecnologica che loro stessi hanno in gran parte contribuito a costruire e che ha consentito all’economia mondiale di continuare a crescere negli ultimi vent’anni. Montagne di denaro in fumo. Perdite non solo per i fornitori di servizi cloud, ma per tutti i big dell’IT. Una situazione potenzialmente esplosiva, che ha dettato il ripensamento radicale della strategia dei vendor cloud. Infatti, il primo effetto è stata la localizzazione di infrastrutture più vicine ai sistemi IT delle aziende europee.
E questo è stato il primo passo per rispondere alle critiche emerse in merito al rischio di spionaggio industriale dopo lo scandalo PRISM, come conferma Giancarlo Vercellino, research & consulting manager di IDC Italia. Poi i vendor si sono mossi sul piano politico e nelle aule di tribunale. Microsoft ha intentato causa al governo USA per rivendicare la libertà di opporsi di fronte all’obbligo di mettere a disposizione i dati dei propri clienti residenti nei data center europei. Una battaglia legale e di civiltà, ma dagli esiti incerti. Altri invece hanno scelto di consorziarsi per cambiare le leggi attuali. Una mossa portata avanti dai livelli corporate dei grandi operatori del settore per cercare di riformare le politiche di controllo delle agenzie governative. Per tutti, un cammino lungo e difficile, che richiederà l’impiego di mezzi e risorse ingenti. E anche l’adozione di misure concrete per riconquistare la fiducia di aziende e organizzazioni. «Una corretta e completa informazione è la base necessaria per iniziare qualsiasi discorso legato alle esternalizzazioni di servizi» – osserva Davide Del Vecchio, comitato direttivo di CLUSIT e responsabile del SOC di Fastweb. «Si tratta di lavorare sulla trasparenza, mettendo a disposizione dei propri clienti quante più informazioni possibili riguardo l’affidabilità e le modalità di protezione delle infrastrutture utilizzate per erogare i servizi cloud based». Una correzione di rotta necessaria per continuare a operare in un settore nel quale il monopolio USA è sempre di più in discussione per l’arrivo di nuovi attori, Cina in testa. Un settore strategico la cui composizione potrebbe cambiare profondamente nei prossimi anni. In questo contesto, la sicurezza dei vendor contribuirà a operare una selezione tra gli attori. «Mettere in campo soluzioni di sicurezza avanzate può essere un valore aggiunto per il fornitore di servizi cloud, che si garantisce così un posizionamento più vantaggioso sul mercato, proprio nel momento in cui la sicurezza diventa un elemento di differenziazione» – spiega David Gubiani, technical manager Italy di Check Point Software Technologies. Un paio d’anni fa, Gartner prevedeva che il settore avrebbe conosciuto una radicale ristrutturazione in seguito a fusioni, acquisizioni e nuovi arrivi. Una ricomposizione della struttura dell’offerta che potrebbe generare problematiche nuove e nuovi interrogativi. Che cosa succede se fallisce un cloud provider? E soprattutto che fine fanno i dati del cliente? Quali possono essere le conseguenze nel caso in cui il vendor non ha pensato a un disaster recovery plan? Sono preparato ad affrontare il rischio di una migrazione di dati e infrastrutture in seguito a una fusione del mio fornitore di servizi cloud? Si tratta di scenari da contestualizzare e da valutare attentamente. È improbabile che nei prossimi mesi IBM fallisca, ma lo è molto meno che salti un piccolo vendor. Se non ho pensato ad adeguare/potenziare la mia infrastruttura per fare posto al cloud è un problema mio e non del vendor. Resta un mio problema se il vendor non ha pensato a mettere un piano di disaster recovery. Ed è ancora un mio problema se il fornitore cloud non ha messo in piedi un sistema di sicurezza adeguato o la normativa non viene rispettata. Mettere in guardia chi si accinge a passare al cloud non è un esercizio sterile. In questo quadro, non è azzardato ipotizzare che le preoccupazioni che possono sorgere a fronte di questi rischi possano portare le aziende a spostarsi verso i giganti del cloud. A svantaggio dei vendor più piccoli che offrono però in genere servizi personalizzabili e prezzi più competitivi.
Conclusioni
Non è reato affermare che uno degli effetti positivi delle rivelazioni di Snowden è stato quello di innescare nuovi investimenti nel settore dell’IT e della sicurezza. Anche se va detto che alcuni erano stati pianificati prima che scoppiasse il bubbone su scala planetaria. Ma è innegabile che la situazione abbia dato una spinta considerevole alla loro realizzazione. Questo fiume di denaro ha portato una boccata di ossigeno a un settore messo a dura prova dalla crisi, trasferendo fiducia e speranza di ripresa in paesi che più di altri avevano bisogno di una scossa per rianimare le loro economie ferme. Tutto questo però non autorizza a perdere di vista il quadro complessivo, sottovalutando la portata di quanto è accaduto. Gli investimenti nel settore cloud rappresentano sicuramente una certificazione di affidabilità nei riguardi del paese che li ospita. Ma lasciano molti altri a bocca asciutta. Tuttavia, siamo lontani dall’aver risolto i problemi di sicurezza che affliggono il cloud. Aziende, organizzazioni e cittadini europei reclamano una normativa più uniforme in Europa che costringa gli operatori cloud di tutti paesi a garantire una sicurezza e una privacy dei dati più stringente di quella esistente. E una regolamentazione del mercato all’altezza della sfida innescata dallo spionaggio di massa. Sollecitazioni queste raccolte anche in sede europea dove oggi senza dubbio si respira un clima più favorevole alla realizzazione di un quadro legislativo aggiornato e più in generale al rafforzamento dell’offerta cloud autoctona. Solo quando l’ambiente cloud viene percepito come sicuro conquista la fiducia del mercato. Diversamente, rimangono sul terreno dubbi e timori, che prima o poi ritorneranno a galla. Con buona pace di tutta la retorica del costruire business “sopra la nuvola”.
BT: al via l’era del Cloud of Clouds
Una vision globale per l’integrazione dei servizi cloud
Nell’era della trasformazione digitale, nessuna impresa avrà pieno successo se non sfrutterà al meglio il cloud e il suo potenziale di scelta e flessibilità; avere un partner in grado di ridurre la complessità diventa fondamentale. BT ha lanciato il “Cloud of Clouds”, una vision network-centrica per l’integrazione dei servizi cloud a livello globale, annunciando una nuova generazione di servizi cloud volti a permettere alle organizzazioni di tutto il mondo di connettersi facilmente e in modo sicuro alle applicazioni e ai dati di cui necessitano, indipendentemente dal luogo in cui essi sono fisicamente collocati. Gli utilizzatori dei servizi avranno la possibilità di integrare e gestire in modo autonomo le risorse IT ospitate nei loro ambienti cloud privati, nella piattaforma cloud globale di BT o nelle piattaforme degli altri principali cloud provider. Oltre a sfruttare l’infrastruttura di rete e data center globale di BT, i nuovi servizi si avvalgono dell’esperienza di BT nel fornire soluzioni cloud alle aziende e delle innovative tecnologie sviluppate da BT e dai suoi partner.
FortiGate Virtual Domains
Semplicità e sicurezza per dare valore ai dati nel cloud
Portare i dati aziendali nel cloud è come depositare denaro in banca: «Lo si fa solo in sicurezza e con la fiducia di poterne usufruire in ogni momento» – dichiara Antonio Madoglio, SE manager di Fortinet Italia. «I CSP devono quindi dimostrare che la propria infrastruttura offra tutte le garanzie in termini tecnologici, contrattuali e di sicurezza. Anche sul fronte della privacy il discorso non cambia. Occorre che dati confidenziali e informazioni relative a eventuali transazioni siano sempre al sicuro, anche in ottemperanza alle legislazioni vigenti e alle clausole previste dai contratti stipulati con il cliente. È altresì importante che le soluzioni adottate non abbiano un impatto negativo sulle attività di business del CSP dato che l’ulteriore sfida associata all’ambiente cloud è la natura multi-tenant del traffico. Fortinet è in grado di garantire la sicurezza di questa tipologia di architettura, applicando policy distinte a seconda di origine o destinazione dei dati e semplificandone l’amministrazione grazie alla tecnologia FortiGate Virtual Domains (VDOM)».