Guy Bartram, Sovereign Cloud Evangelist, VMware EMEA, esamina i dubbi e le preoccupazioni delle organizzazioni riguardo ai Sovereign Cloud, come la disponibilità, le prestazioni, i costi e l’innovazione e propone nuovi punti di vista che evidenziano come i Sovereign Cloud possano offrire soluzioni altamente disponibili e scalabili, garantendo un’elevata sicurezza e conformità
La crescente adozione di strategie multi-cloud da parte delle organizzazioni comporta la necessità di una maggiore attenzione alla sicurezza, in particolare per quanto riguarda i dati sensibili, la classificazione dei dati, la privacy e i Sovereign Cloud. Questi ultimi sono gestiti e operati privatamente o tramite provider di Sovereign Cloud di terze parti, spesso utilizzati per dati e applicazioni sensibili. I dati sensibili possono avere una portata più ampia di quanto si pensi e variare a seconda del contesto e del settore di riferimento dell’azienda. Ad esempio, nel settore sanitario, i dati sensibili possono includere le cartelle cliniche, mentre nel settore finanziario i dati finanziari e i punteggi di credito. In ambito governativo, invece, possono includere informazioni relative alla sicurezza nazionale.
Purtroppo, molte organizzazioni devono ancora aprirsi all’utilizzo di Sovereign Cloud, nonostante i rischi che si corrono nel non utilizzarli. Le ragioni di questa incertezza possono essere molteplici:
- Consapevolezza: la necessità di una maggiore consapevolezza o comprensione del concetto di Sovereign Cloud e dei suoi vantaggi.
- Confronto: preoccupazioni circa la disponibilità, le prestazioni e i costi delle soluzioni di Sovereign Cloud rispetto alle offerte di cloud pubblico “hyperscale”.
- Ostacoli legali e normativi: la sovranità dei dati e i requisiti di compliance possono impedire alle organizzazioni di adottare i Sovereign Cloud.
- Status quo: rimanere con i fornitori di cloud che già si conoscono e su cui si è investito invece che esplorare nuove opzioni.
Tuttavia, evitare i Sovereign Cloud e utilizzare i cloud pubblici può comportare diversi rischi per la sicurezza e la privacy di un’organizzazione.
In primo luogo, i cloud pubblici sono in genere detenuti e gestiti da fornitori terzi che possono avere controlli e protocolli di sicurezza diversi da quelli della propria organizzazione. Ciò significa che i dati potrebbero essere vulnerabili ad accessi non autorizzati, furti o usi impropri da parte di hacker, insider o altri soggetti malintenzionati. Il Presidente degli Stati Uniti, Joe Biden, ha recentemente sottolineato la necessità di regolamentare le pratiche di sicurezza nel cloud pubblico, che rappresenta un rischio considerevole per i dati sensibili.
I cloud pubblici, inoltre, si basano spesso su un’infrastruttura condivisa: i dati e le risorse di più organizzazioni vengono archiviati ed elaborati sugli stessi server e reti. Questo aumenta il rischio di data leakage o cross-contamination, in cui i dati sensibili potrebbero essere accidentalmente o intenzionalmente accessibili o esposti ad altri utenti sulla stessa piattaforma. Le piattaforme condivise comportano un costo in termini di funzionalità, in genere di sicurezza e prestazioni. La limitazione delle risorse e la perdita di prestazioni possono dipendere dall’hypervisor adottato per il cloud pubblico. I cloud pubblici spesso limitano le risorse di calcolo, di rete e di storage che i clienti possono utilizzare per ovviare a questo problema, con conseguenti costi elevati in rapporto alle loro prestazioni e il conseguente spostamento dei carichi di lavoro fuori dal cloud da parte di molti clienti. Esempi recenti sono basecamp e 37Signals.
Inoltre, i cloud pubblici sono soggetti a requisiti legali e normativi che potrebbero non essere in linea con le esigenze di sicurezza e conformità di un’organizzazione. Ad esempio, i fornitori di cloud pubblici possono essere soggetti a leggi straniere come la legge statunitense sul cloud o alla sorveglianza governativa come la FISA, che potrebbero compromettere la riservatezza e l’integrità dei dati classificati. In Europa, ad esempio, il Cloud Act statunitense solleva preoccupazioni in merito alla privacy e alla protezione dei dati dei cittadini dell’UE, in quanto consente potenzialmente alle autorità statunitensi di accedere ai loro dati personali senza sufficienti garanzie o controlli In sintesi, è in conflitto con il Regolamento generale sulla protezione dei dati (GDPR) dell’UE, che impone alle aziende di ottenere il consenso esplicito delle persone per il trattamento dei loro dati personali e di garantire misure adeguate in materia di protezione dei dati. Se si considerano i dati in tutte le loro forme, compresi i metadati, i dati di telemetria, quelli contabili e quelli di supporto, la sfera di influenza da considerare è molto più ampia di quanto si pensi. L’esposizione è stata documentata più volte dalla stampa.
L’organizzazione deve verificare la gestione e la visibilità dei propri dati quando vengono archiviati ed elaborati in un ambiente di terze parti. Il cloud pubblico necessita di una maggiore standardizzazione tra i (multi) cloud pubblici per consentire all’organizzazione di verificare, monitorare e applicare le politiche e le procedure di sicurezza. I cloud pubblici sono altamente distribuiti e complessi, il che rende quasi impossibile una visione globale. A ciò si aggiunge un modello di responsabilità condivisa per la sicurezza, in cui i clienti sono responsabili dell’utilizzo delle funzionalità del cloud pubblico per proteggere i propri dati. Il cloud pubblico è in grado di scalare rapidamente, il che può rendere difficile tenere traccia dei criteri di sicurezza su più risorse.
Infine, tutti i cloud pubblici hanno capacità e set di strumenti diversi, che creano problemi per quanto riguarda i livelli di sicurezza possibili, ma anche per la loro applicazione.
Le preoccupazioni delle organizzazioni riguardo ai Sovereign Cloud spaziano dalla disponibilità, alle prestazioni e ai costi delle soluzioni rispetto alle tradizionali offerte di cloud pubblico. Ma fino a che punto sono legittime? Bisogna approfondire maggiormente la questione per scoprirlo.
In primo luogo, occorre iniziare con la disponibilità. Le soluzioni di Sovereign Cloud possono avere una portata e una disponibilità globali diverse rispetto alle offerte di cloud pubblico tradizionale; si potrebbe pensare che questo limiti la loro capacità di supportare carichi di lavoro e utenti geograficamente dispersi. La sovranità non è una questione globale, ma nazionale o di una regione condivisa nell’UE, ad esempio. Le soluzioni cloud sovrane garantiscono un’elevata disponibilità all’interno delle geografie nazionali e dei data center della regione sovrana; andare oltre i confini significherebbe avere giurisdizioni e leggi diverse su tutti gli aspetti dei dati e del cloud. Garantire la disponibilità di dati e servizi è fondamentale per le operazioni gestite dai provider di Sovereign Cloud, come le operazioni di interesse nazionale.
È poi importante considerare le performance. Le soluzioni di Sovereign Cloud, come tutte le soluzioni di cloud, avranno livelli diversi di prestazioni e scalabilità rispetto alle offerte di cloud pubblico. Questo potrebbe essere considerato un limite alla loro capacità di gestire carichi di lavoro ad alto volume e intensità di risorse. I Sovereign Cloud sono costruiti e progettati per soddisfare le esigenze dei “sovereign customers”; molti Sovereign Cloud operano a livelli di disponibilità molto elevati, superando le capacità delle offerte pubbliche. Le operazioni di interesse nazionale e i settori verticali specifici hanno requisiti applicativi unici.
Un altro fattore da considerare è il costo. Le soluzioni di Sovereign Cloud possono essere più costose delle offerte di cloud tradizionale a causa dei maggiori costi operativi, delle minori economie di scala e della necessità di disporre di infrastrutture e personale specializzato. Il costo è una componente critica del cloud e partner come i provider di VMware Cloud lavorano su un modello puramente a consumo.
I Sovereign Cloud operano in sicurezza e conformità; i partner per i Sovereign Cloud investono in modo significativo nel controllo del personale, dell’infrastruttura e dei sistemi in linea con la classificazione dei dati e il settore verticale, che non sono disponibili nei cloud pubblici.
Certo, i fornitori di cloud locali non hanno economie di scala come i fornitori di cloud pubblici, ma, in termini di volume, molti partner per il Sovereign Cloud hanno parchi cloud molto consistenti. Ad esempio, OVH Cloud in Francia realizza il proprio hardware e ha 100.000 carichi di lavoro in esecuzione nei suoi ambienti.
L’ultimo punto da considerare è l’innovazione. Le soluzioni cloud sovrane possono avere un livello di innovazione e di sviluppo di funzionalità diverso rispetto alle offerte cloud tradizionali, limitando la loro capacità di stare al passo con l’evoluzione delle esigenze aziendali e delle tendenze tecnologiche.
Pensando a questo aspetto in modo diverso, i cloud pubblici, per essere residenti, devono limitare i loro portafogli solo a coloro che possono essere residenti, separandoli dai piani di controllo SaaS, e questo limita l’innovazione.
L’innovazione può essere vista in due modi: quella fuori dagli schemi (SaaS e PaaS) e quella che deve essere costruita utilizzando nuove infrastrutture e servizi. Una soluzione “out-of-the-box”, come una soluzione cloud industrializzata, può essere ottima per partire rapidamente. Tuttavia, è potenzialmente un problema notevole per quanto riguarda la conformità e la sicurezza. La creazione di una soluzione che soddisfi le proprie esigenze offre invece l’opportunità di considerare la conformità e la sicurezza fin dall’inizio (cosa che dovrebbe essere una best practice). Con la conformità dei dati, la regolamentazione e la governance della privacy e dei dati industrializzati ancora in evoluzione, è meglio innovare e coinvolgere tutte le linee di business per costruire la soluzione giusta.
Il Sovereign Cloud ha un ruolo fondamentale in una strategia multi-cloud. La domanda è: si vogliono accettare i rischi che comporta il non utilizzarlo?
