Fuori dall’hype ma dentro le colonne d’Ercole di un “safe, secure online space”. Il cloud è molto più del fatto tecnologico in sé che non può essere compreso come fenomeno autonomo nel mercato IT, ma piuttosto come un ingrediente fondamentale di una più grande trasformazione del settore IT
Il “polso” della cloud adoption italiana ci arriva aggiornato grazie alla Digital Business Innovation Academy che, in collaborazione con l’Osservatorio cloud & ICT as a Service, ha redatto proprio in questi giorni uno studio avanzato sul tema del “cloud Journey” per accompagnare i responsabili delle principali realtà italiane pubbliche e private nella scelta delle nuove soluzioni teconologiche. Il cloud computing è ormai diventato realtà per le imprese: visti i benefici ottenuti in termini di innovazione e agilità, oggi non viene più messa in discussione l’introduzione di tale modello, tuttavia, è fondamentale comprendere “come” adottarlo. Il cloud, infatti, rappresenta oggi un elemento in grado di mettere in discussione la visione e il ruolo dei sistemi informativi aziendali. Secondo IDC, l’evoluzione del cloud guiderà la spesa IT in cinque categorie tecnologiche: applicazioni, system infrastructure software, platform as a service (PaaS), servers e servizi di base. Attraverso le analisi e le ricerche svolte, l’Osservatorio Cloud & ICT as a Service della School of Management del Politecnico di Milano ha rilevato come le direzioni IT più efficaci e mature stiano approcciando l’adozione del cloud nel quadro di una più generale trasformazione della propria architettura infrastrutturale e applicativa e della propria organizzazione e governance interna. L’adozione di questo tipo di servizi è caratterizzata da un processo evolutivo che coinvolge tutte le aree aziendali e che presuppone una pianificazione consapevole.
Di ritorno dal “cloud journey” gli “osservatori” raccontano
Il framework cloud Journey, modellizzato dall’Osservatorio Cloud & ICT as a Service, mette in evidenza variabili di diversa natura, non solo tecnologiche, ma anche organizzative e di business. Innanzitutto, è possibile identificare due differenti modelli di adozione del cloud. Nel caso di public cloud, l’industrializzazione dell’ICT avviene attraverso soggetti di mercato specializzati nell’offerta di servizi cloud, mentre nel caso di private cloud, il primo passo verso l’industrializzazione viene fatto internamente, lavorando sulla standardizzazione tecnologica e applicativa e sull’automazione dei servizi. Tra questi due modelli si pone l’hybrid cloud, che può essere visto come un modello in grado di integrare i fattori positivi del public e del private cloud. Il sistema informativo che ne risulta è composto da soluzioni interne ed esterne, e risulta quindi indispensabile capire come far convergere questi due percorsi in una visione d’insieme consistente. Partendo da questi presupposti, il modello della Cloud Journey identifica le tre componenti logiche di un sistema informativo aziendale: l’infrastruttura, le applicazioni e la gestione dei device.
Secondo la ricerca dell’Osservatorio condotta nel 2013 su un campione di oltre 700 responsabili dei sistemi informativi di organizzazioni italiane, le maggiori spinte evolutive riguardano l’ambito infrastrutturale, che sta portando le imprese a un progressivo abbandono dei server tradizionali (presenti oggi solo nel 23% delle organizzazioni del campione) e passa attraverso logiche di virtualizzazione (37%), razionalizzazione (32%) e automazione (8%). Il passaggio a un data center automatizzato è una fase delicata che comporta una forte discontinuità sul piano organizzativo in termini di procedure e di competenze interne, ma è al contempo uno step evolutivo necessario per perseguire il vero obiettivo finale, ossia l’ibridazione tra risorse interne e servizi esterni. Questo percorso interno è spinto prevalentemente da esigenze di riduzione dei costi e semplificazione di gestione, ma non porta a benefici significativi lato utente fino a quando non si ottiene l’automazione vera e propria dei sistemi, che porta vantaggi in termini di scalabilità e agilità. Questo percorso, seppur interno, non è privo di ostacoli: occorre innanzitutto introdurre una visione architetturale dell’infrastruttura al fine di poter effettuare interventi di razionalizzazione talvolta anche intervenendo sulle competenze e sul ruolo delle risorse della parte sistemistica, introducendo logiche di processo e standardizzazione di non facile accettazione. Tutto ciò richiede una governance più prescrittiva da parte della direzione IT. Un percorso più semplice sembra quello del public IaaS, ad oggi perseguito dal 13% delle imprese. Il percorso esterno è motivato principalmente dall’esigenza di migliorare il livello di servizio in termini di affidabilità e uptime e permette di ottenere “variabilizzazione” dei costi, elasticità e miglioramento delle performance. A completare i due percorsi, le architetture ibride sono in grado di garantire un incremento di affidabilità e agilità tali da giustificare già da sole l’investimento. Esse implicano significative sfide tecnologiche e organizzative, ma tali configurazioni oggi esistono e se ne rilevano alcuni casi evoluti anche in Italia (5%).
L’analisi della componente applicativa ha evidenziato la forte rilevanza dell’architettura a silos applicativi: isolati (presenti nel 25% delle aziende del campione) o integrati ad hoc (39%), a causa di una politica di salvaguardia degli investimenti e di una mancanza di competenze interne. Le organizzazioni che, invece, stanno intraprendendo un percorso di evoluzione del proprio portafoglio applicativo, si stanno muovendo principalmente lungo due vie: la prima prevede un importante lavoro di back end per la creazione di architetture orientate ai servizi (16%), la seconda prevede l’integrazione delle interfacce utente basata sulla progressiva portalizzazione delle applicazioni (20%). La motivazione principale alla base di questi progetti di cambiamento è la ricerca di una migliore reattività delle singole funzioni aziendali, una maggiore flessibilità del supporto ai processi e una semplificazione della gestione applicativa.
Infine, sul piano della gestione dei device, l’adozione di modalità di gestione evolute è ancora marginale: solo poche organizzazioni dimostrano di affidarsi a soluzioni esterne di Desktop as a Service (1%), e si riscontra un utilizzo molto limitato di Virtual Desktop Infrastructure (5%) e soluzioni BYOD (4%). Sebbene il management spinga per un ingresso in azienda di dispositivi personali e device preconfigurati, tali soluzioni sono ancora frenate da importanti barriere legate alla sicurezza e alla compliance normativa, oltre che a una diffidenza associata alla quantificazione dei reali costi e benefici di tali soluzioni rispetto a soluzioni tradizionali. In sintesi – rileva Alessandro Piva, responsabile dell’area di ricerca su big data analytics e cloud computing della School of Management del Politecnico di Milano – in Italia sta emergendo un forte scollamento fra due categorie di aziende: chi ha portato avanti negli ultimi anni un percorso progressivo di evoluzione sia della propria architettura applicativa e infrastrutturale sia delle competenze interne verso nuovi ruoli di gestione introducendo anche un confronto interno sulle tematiche della sicurezza e della privacy e chi, invece, si trova ancora impegnato nella risoluzione di storici problemi architetturali, frenato da dubbi su sicurezza e privacy che si ripercuote nella non completa affermazione di un ruolo centrale della direzione ICT nei confronti dei rappresentanti delle linee di business.
Il cloud computing non è più solo all’orizzonte?
Il Cloud Journey italiano testimonia come anche a livello nazionale l’evoluzione delle competenze interne vada di pari passo con l’avvento delle architetture innovative e con l’approccio alle tematiche cardine in materia di rischio – per esempio – per una adoption in grado di garantire reale efficacia e ritorno degli investimenti. Le ricerche in seno agli organismi tecnici che sono in prima linea nello sviluppo dei più avanzati e innovativi modelli tecnologici confermano che ormai «il cloud computing non è più soltanto all’orizzonte», ma rappresenta una realtà presente «in a big way». Lo ha spiegato recentemente Irena Bojanova (fra i massimi esperti mondiali, founding chair of IEEE CS cloud computing STC ed editor della nuova Encyclopedia of Cloud Computing in uscita a fine 2014). Governi, aziende, industrie e privati stanno utilizzando il cloud computing in modo sempre crescente per l’elaborazione delle proprie informazioni e per i fabbisogni di calcolo e sviluppo. Hanno già cominciato ad apprezzare i vantaggi offerti dal cloud fra cui il pay-per-use, il deployment rapido delle applicazioni, la varietà di offerta da parte dei molteplici cloud service provider, l’enhanced collaboration per non parlare di agility, scalability e availability. Il fatto di poter spostare applicazioni e storage capabilities, interi ambienti di sviluppo applicativo e perfino capabilities di infrastruttura e di security nella “nuvola”, offre un uso più efficiente delle risorse hardware e degli investimenti software.
Analizziamo allora il fenomeno cloud “in fieri” proprio attraverso le sue più attuali key focus areas così da capire meglio di cosa si parla oggi e perché certi fattori attraggano i principali effort su cui convergono ricerca e mercato.
Il focus aggiornato del cloud computing – se tentiamo di fissarlo in un solo paragrafo – oggi origina nella valutazione dei rischi iniziali, si articola attraverso l’attenta selection di soluzioni “cloud vere” (multi-tenancy based) e si estende ad assicurare l’integrazione e l’apertura alla possibile federazione.
Ma – andando con ordine – cosa intendiamo quando pensiamo alla valutazione iniziale dei rischi?
Per valutare i rischi iniziali del cloud e ispirare al meglio le decisioni relative alla sicurezza, organizzazioni e individui potrebbero considerare di utilizzare il Cloud Security Alliance’s Security Guidance Framework. Le considerazioni dovrebbero partire – per esempio – dall’importanza dei dati e applicazioni/funzioni/processi da spostare nella “nuvola” e considerare la tolerance ai rischi dell’organizzazione, le combinazioni accettabili di deployment and service model piuttosto che i punti di esposizione per operazioni e informazioni sensibili.
Ma perché poi si cerca nel multi-tenancy la declinazione di “true cloud” solution?
Perché il multi-tenancy è strettamente collegato al resource pooling. Quando lo si implementa nel modo corretto, esso restituisce significativi livelli di efficienza economica raggiungibili mediante un buon resource sharing lato provider (ma anche lato utilizzatore). Far girare tutti i clienti su un’unica istanza di software e hardware condiviso implica davvero grande risparmio. In aggiunta, gli investimenti riguardano le più recenti tecnologie e le più nuove versioni di software (così non c’è version lock). Di conseguenza, diventa importante comunicare che la separazione logica è un sostituto adeguato della separazione fisica e che i rischi maggiori (e peggiori) derivano dalla mancata o scarsa conoscenza dell’architettura. Ecco che una delle domande più importanti nella valutazione iniziale di cloud software è proprio relativa al multi-tenancy e potrebbe suonare così: «Parliamo di una soluzione hosted o true cloud»?
Considerati questi aspetti, diventa subito importante pensare all’aspetto integrazione.
Quando un’organizzazione ha esigenza di eseguire uno spostamento massivo di applicazioni nel cloud, proprio l’integrazione può rivelarsi un ostacolo pesante da superare. Possono emergere dei “silos” – i medesimi citati precedentemente anche nel Cloud Journey – tali da inibire le necessarie interazioni di applicazioni e dati con sistemi on-premise. Ma spostarsi nella “nuvola”, perdendo l’enterprise context potrebbe non essere un’opzione applicabile. Invece, le Integration Platforms as a Service (iPaaS) abilitano sviluppo, esecuzione e governance dei flussi di integrazione. Esigenza importante è anche la connessione di combinazioni fra on-premise e cloud-based di processi, servizi, applicazioni e dati entro una singola organizzazione o attraverso molteplici organizzazioni. Applicazioni cloud-based SaaS sono integrate con on-premise ERP e legacy applications, dove iPaaS supporti sviluppo cloud e on-premise e funzioni come i gateway EDI. Esistono già da tempo sul mercato soluzioni che permettono integrazione fra applicazioni SaaS e on-premise senza appliances, senza software e senza codice.
Verso la fine di questa rapida carrellata sulle aree cruciali di adozione del cloud, ne analizziamo ancora tre in tema rispettivamente di portabilità, interoperabilità e federazione.
Per portabilità intendiamo la facilità di spostamento dei dati e delle applicazioni fra piattaforme diverse e provider diversi. Quest’area include ambienti software e hardware (sia fisici sia virtuali).
L’interoperabilità fra una nuvola e terze parti è strettamente legata all’elasticità immediata e al multi-tenancy: essa consente di scalare un servizio fra provider differenti in modo per così dire “trasparente” ossia risultando e operando come se si trattasse di un unico sistema.
Quando si parla di cloud federation si fa riferimento alla pratica di interconnettere servizi cloud (SPI) di provider diversi e da reti diverse. La federazione è facilitata dai network gateways che collegano cloud pubbliche, private e community clouds in un ambiente cloud hybrid. Questo richiede a certi provider di cedere o affittare computing resources ad altri provider per bilanciare i workload e gestire i picchi di richieste. Da ciò deriva un insieme di contratti standard e pre-negoziati a riconoscimento delle identità assunte dalle organizzazioni. Un ambiente cloud elastico deve quindi avere fra i propri obiettivi di progetto l’interoperabilità e la portabilità e li deve realizzare in IaaS, PaaS e SaaS.
Nuove frontiere alla conquista dei dati
Ora che abbiamo ripercorso secondo un ordine logico il panorama delle “aree calde” del cloud, diventa interessante domandarci quali siano i nuovi trend e le nuove frontiere di questo fenomeno tecnologico in fantastica espansione.
A questo proposito, Leo Leung (www.techexpectations.org), tra gli specialisti più attenti, sottolinea la portata architetturale del cloud, perché proprio mentre ne parliamo, «una nuova computing architecture sta prendendo forma e tutto “gravita” attorno ai dati». Dalla prospettiva dei dati, vediamo che l’attenzione maggiore è nel rendere l’architettura cloud più veloce nell’accesso e nella memorizzazione dei dati.
Ma perché assistiamo a questo fenomeno? «Perché i dati hanno “gravità” e acquistano peso ogni giorno di più» – come ha spiegato Dave McCrory, pioniere del cloud computing. «Servizi e applicazioni avranno anche la loro “gravità” ma i dati sono la massa più critica e densa perciò hanno gravità preponderante». Se la massa dei dati è troppo grande, potrebbe essere virtualmente impossibile spostarli. Ma la buona notizia – per restare nella metafora spaziale – è che noi siamo già effettivamente sulla Luna o in procinto di andarci. E sulla Luna la gravità è meno di un quinto di quella terrestre. Sempre più aziende hanno organizzazioni pesantemente distribuite. Le persone fanno il proprio “ufficio” ovunque ne abbiano necessità. Device mobili, sensori e wearables raccolgono ormai dati da miliardi di ubicazioni diverse. Ecco perché il posto dove si memorizzano e organizzano i dati deve essere considerevolmente più veloce e più facilmente accessibile. Il cloud per certi aspetti costituisce un “mirroring” per la converged infrastructure. Come un’appliance fisica, il cloud richiede che i dati siano immagazzinati vicini alle risorse processing per poter ricevere servizi scalabili.
La nuova computing architecture sta frantumando di giorno in giorno molte delle tradizionali frontiere e raggiungendo traguardi sempre più ambiziosi richiesti dalla massiccia crescita dei dati da un lato e dalla esigenza di rilasciare applicazioni sempre più performanti “on top”. Centinaia di vendor stanno aggredendo da più parti ogni aspetto della Data Gravity per eliminare attriti e perdite nello spostamento dei dati dallo storage al processing e viceversa. E come se non bastasse, il cloud si va addirittura a estendere con paradigmi “Fog” per prevedere ecosistemi di archietetture e servizi portati oltre i tradizionali confini delle reti, fino a device ed end users.
In questo scenario, i CIO vivono un momento di adattamento critico. Dopo gli sforzi nella virtualizzazione delle infrastrutture, ora guardano al cloud proprio mentre sono già chiamati ad avviare progetti big data ed essere sempre un passo avanti anche nello sviluppo di mobile app che siano anche sicure. Tutto questo richiede ai CIO di essere protagonisti attivi e leader di un behavior change su scala enterprise. Il vecchio modo di fare IT non è più abbastanza competitivo e non è abbastanza innovativo. Il nuovo mondo dell’IT – l’IT Transformation – parla di agility, di progettazione “per il cloud” e di deployment ibrido “across public and private cloud”. Non si può parlare solo di hardware e software, ma bisogna confrontarsi in termini di infrastrutture, servizi e API.
In aggiunta a queste dimensioni infrastrutturali, la coordinata relativa al software open source per il cloud computing sta guadagnando in popolarità anche in ragione di fattori cost and control. Le aziende sono riluttanti al lock con un vendor singolo e ci sono una miriade di partner commerciali sul mercato, ciascuno con le proprie API. La maggior parte di queste API non sono ancora uniformate a degli standard e le aziende che producono soluzioni su tali API (non standard) probabilmente perderanno clienti a causa di questo lock in. Anche l’open source cloud è in forte espansione con un ulteriore dilemma per il business come effetto collaterale. Fra i plus, le aziende hanno sicuramente un maggior numero di opzioni per progettare e realizzare la propria cloud infrastructure. In negativo, le linee di demarcazione fra le possibili iniziative a disposizione si stanno sempre più confondendo. Questo aumenta la difficoltà di scelta per CIO e business.
L’importanza di uno standard
Il caso dell’Intercloud Testbed
In questa visione tecnologica testimoniata dalla vitalità della ricerca a livello globale sia che si parli di laboratori scientifici e università sia di sperimentazioni applicative nelle organizzazioni pubbliche e private oppure di soluzioni open o proprietarie – non si può prescindere dallo sviluppo di standard tecnico-scientifici dell’industry correlata al cloud. Allo scopo citiamo qui un progetto che negli Stati Uniti sta destando grande interesse nell’ambiente degli studiosi e operatori cloud, principalmente a causa delle novità nei paradigmi tecnologici di standardizzazione che sta sperimentando.
L’IEEE Intercloud Testbed – attivo dallo scorso anno a livello di organizzazione mondiale degli ingegneri – è un progetto di interoperabilità open e globale per definizione. L’idea trae spunto dall’osservazione che il cloud computing è un nuovo modello di progettazione per data center grandi e distribuiti che offre veramente agli utilizzatori finali un modello pay-as-you-go con una transizione del computing verso un modello a utility come quello dell’energia elettrica, del sistema telefonico e di Internet. Diversamente dalle utility, però, le nuvole attuali non riescono ancora a federarsi e a interoperare. Una tale federazione cui aspirare è proprio chiamata “intercloud”. Il concetto di un cloud gestito da un service provider è ritenuto un mezzo potentissimo con cui accrescere il valore dell’intero settore cloud computing, dell’industry a esso afferente e dei suoi utenti. L’architettura Testbed in un’immagine è analoga all’architettura di Internet architecture. Vi sono cloud pubbliche analoghe agli ISP e cloud private che un’organizzazione costruisce a proprio uso esclusivo. L’intercloud è concepita proprio allo scopo di connettere queste due tipologie di cloud: l’IEEE sta lavorando alla creazione di nuovi standard tecnici, noti con la sigla IEEE P2302, per definire e garantire questa interoperability.
Paure e adoption definitiva
Il ruolo delle riforme
A seguito degli avvenimenti in chiusura di 2013, proprio l’Europa sembra avviata a rimanere pesantemente indietro nei livelli di spesa e adozione perché bloccata da severe regole sulla protezione dati. Analizziamo a questo proposito dapprima il punto di vista sul cloud come definito all’inizio del secondo quadrimestre 2014 da Neelie Kroes, vice president della Commissione Europea, che sul proprio blog istituzionale ragiona in termini prioritari di «safe, secure online space» e rilegge tre eventi centrati sul tema “online trust and security” – il CEBIT di Hannover, il voto del Parlamento europeo per la “NIS” Directive e il decennale dell’ENISA – con specifico riferimento al cloud computing. Nell’insieme, questi sono stati passi da gigante. Hanno dimostrato ai cittadini dell’Europa e del mondo intero che la democrazia può occuparsi di tecnologia e che la tecnologia può e deve tenere conto dei principi base della democrazia.
Qualche volta, la reazione che viene più istintiva alla percezione di insicurezza è di innalzare muri. Ma questo non è l’approccio giusto. Può danneggiare i grandi benefici che possiamo avere da una rete Internet aperta e unita. E – cosa ancora più importante – innalzare barriere non risolverebbe i problemi. La vera protezione non può arrivare dal semplice isolamento o costruendo barriere ancora più alte – essa si persegue mediante una migliore conoscenza e consapevolezza dei rischi. Protezione senza protezionismo.
La linea della Commissione è perseguita dalla European Cloud Partnership (ECP) nell’emanare le proprie recommendations finalizzate alla costruzione di una alleanza per il cloud computing come un motore di crescita economica sostenibile, di innovazione e di servizio pubblico davvero efficiente.
I protagonisti che a diverso titolo (esecutivo, normativo, tecnico e commerciale) afferiscono al mercato europeo pensano che affinché il cloud computing abbia davvero successo in Europa è necessario mettere il potere nelle mani del cliente senza vincolarlo con obblighi di durata contrattuale sia minima sia di lungo termine. Non solo. L’abbassamento delle barriere di ingresso e dei costi di avvio dei progetti servirà sicuramente a favorire il decollo delle sperimentazioni e dell’adoption da parte delle aziende su una scala fino ad oggi impossibile. Più sperimentazione significa più invenzioni e alla fine il fiorire di sempre più poli di innovazione. Questa è anche una via per dare spunti nuovi a una nuova leadership europea nell’economia globale. Infine, le maggiori aziende mondiali di cloud computing hanno portato un messaggio all’ECP affinché la data protection, l’ownership e il controllo dei dati siano affidati nelle stesse mani dei cloud users. Il cloud può avere successo se si realizzerà appieno il proprio potenziale e se i clienti potranno avere il pieno possesso e il controllo diretto dei propri dati in ogni momento. Le cronache dei mesi appena passati hanno riportato questo aspetto in primo piano. Dare potere agli utenti ha permesso la rapida crescita di Internet. Nello stesso modo, potremo vedere crescere il cloud computing nei prossimi anni.