Dopo la rapida implementazione delle strategie multi-cloud, le organizzazioni si ritrovano a prestare una maggior attenzione nei confronti della sicurezza dei dati sensibili e della privacy, oltre a tutti gli aspetti legati al perimetro economico, che hanno portato il cloud sovrano (sovereign cloud) ad essere un argomento di primaria importanza in ambito IT.

Nonostante il cloud di seconda generazione costituisca la scelta ad hoc per il trattamento dei dati, molte organizzazioni lo ignorano o esitano ad adottarlo, senza rendersi probabilmente conto dei rischi che ogni giorno corrono nel mantenere i propri dati in ambienti non sufficientemente sicuri rispetto alle loro esigenze.

Per focalizzare le principali barriere all’adozione del cloud sovrano, Guy Bartram, Sovereign Cloud Evangelist di VMware EMEA, ha scritto un prezioso contribuito, in cui sintetizza i dubbi e le preoccupazioni delle organizzazioni, proponendo una serie di punti di vista che ci aiutano a comprendere meglio anche le opportunità che lo stesso cloud sovrano offre in termini di performance, oltre che di sicurezza e conformità alle normative vigenti.

A seguire riportiamo i principali estratti del contributo di Guy Bartram: Sovereign Cloud: vogliamo accettare i rischi che comporta il non utilizzarlo? Un testo che tutti i CIO dovrebbero in qualche modo almeno prendere in seria considerazione nel contesto di valutare le proprie strategie in ambito cloud.

Sovereign Cloud: vogliamo accettare i rischi che comporta il non utilizzarlo?

Guy Bartram

Contenuto originale a cura di Guy Bartram, Sovereign Cloud Evangelist, VMware EMEA

La crescente adozione di strategie multi-cloud da parte delle organizzazioni comporta la necessità di una maggiore attenzione alla sicurezza, in particolare per quanto riguarda i dati sensibili, la classificazione dei dati, la privacy e i Sovereign Cloud.

Questi ultimi sono gestiti e operati privatamente o tramite provider di Sovereign Cloud di terze parti, spesso utilizzati per dati e applicazioni sensibili.

I dati sensibili possono avere una portata più ampia di quanto si pensi e variare a seconda del contesto e del settore di riferimento dell’azienda.

Ad esempio, nel settore sanitario, i dati sensibili possono includere le cartelle cliniche, mentre nel settore finanziario i dati finanziari e i punteggi di credito. In ambito governativo, invece, possono includere informazioni relative alla sicurezza nazionale.

Sovereign Cloud: le barriere all’adozione

Purtroppo, molte organizzazioni devono ancora aprirsi all’utilizzo di Sovereign Cloud, nonostante i rischi che si corrono nel non utilizzarli. Le ragioni di questa incertezza possono essere molteplici:

  • Consapevolezza: la necessità di una maggiore consapevolezza o comprensione del concetto di Sovereign Cloud e dei suoi vantaggi.
  • Confronto: preoccupazioni circa la disponibilità, le prestazioni e i costi delle soluzioni di Sovereign Cloud rispetto alle offerte di cloud pubblico “hyperscale”.
  • Ostacoli legali e normativi: la sovranità dei dati e i requisiti di compliance possono impedire alle organizzazioni di adottare i Sovereign Cloud.
  • Status quo: rimanere con i fornitori di cloud che già si conoscono e su cui si è investito invece che esplorare nuove opzioni

Tuttavia, evitare i Sovereign Cloud e utilizzare i cloud pubblici può comportare diversi rischi per la sicurezza e la privacy di un’organizzazione.

I limiti e i rischi del cloud pubblico per la sicurezza e la privacy dei dati

In primo luogo, i cloud pubblici sono in genere detenuti e gestiti da fornitori terzi che possono avere controlli e protocolli di sicurezza diversi da quelli della propria organizzazione. Ciò significa che i dati potrebbero essere vulnerabili ad accessi non autorizzati, furti o usi impropri da parte di hacker, insider o altri soggetti malintenzionati.

[…]

 I cloud pubblici, inoltre, si basano spesso su un’infrastruttura condivisa: i dati e le risorse di più organizzazioni vengono archiviati ed elaborati sugli stessi server e reti. Questo aumenta il rischio di data leakage o cross-contamination, in cui i dati sensibili potrebbero essere accidentalmente o intenzionalmente accessibili o esposti ad altri utenti sulla stessa piattaforma.

[…] 

Inoltre, i cloud pubblici sono soggetti a requisiti legali e normativi che potrebbero non essere in linea con le esigenze di sicurezza e conformità di un’organizzazione. Ad esempio, i fornitori di cloud pubblici possono essere soggetti a leggi straniere come la legge statunitense sul cloud o alla sorveglianza governativa come la FISA, che potrebbero compromettere la riservatezza e l’integrità dei dati classificati.

In Europa, ad esempio, il Cloud Act statunitense solleva preoccupazioni in merito alla privacy e alla protezione dei dati dei cittadini dell’UE, in quanto consente potenzialmente alle autorità statunitensi di accedere ai loro dati personali senza sufficienti garanzie o controlli In sintesi, è in conflitto con il Regolamento generale sulla protezione dei dati (GDPR) dell’UE, che impone alle aziende di ottenere il consenso esplicito delle persone per il trattamento dei loro dati personali e di garantire misure adeguate in materia di protezione dei dati.

[…]

L’organizzazione deve verificare la gestione e la visibilità dei propri dati quando vengono archiviati ed elaborati in un ambiente di terze parti. Il cloud pubblico necessita di una maggiore standardizzazione tra i (multi) cloud pubblici per consentire all’organizzazione di verificare, monitorare e applicare le politiche e le procedure di sicurezza.

I cloud pubblici sono altamente distribuiti e complessi, il che rende quasi impossibile una visione globale. A ciò si aggiunge un modello di responsabilità condivisa per la sicurezza, in cui i clienti sono responsabili dell’utilizzo delle funzionalità del cloud pubblico per proteggere i propri dati. Il cloud pubblico è in grado di scalare rapidamente, il che può rendere difficile tenere traccia dei criteri di sicurezza su più risorse.

Infine, tutti i cloud pubblici hanno capacità e set di strumenti diversi, che creano problemi per quanto riguarda i livelli di sicurezza possibili, ma anche per la loro applicazione.

Sovereign Cloud: la tutela e le opportunità

Le preoccupazioni delle organizzazioni riguardo ai Sovereign Cloud spaziano dalla disponibilità, alle prestazioni e ai costi delle soluzioni rispetto alle tradizionali offerte di cloud pubblico. Ma fino a che punto sono legittime? Bisogna approfondire maggiormente la questione per scoprirlo.

La disponibilità del cloud sovrano

In primo luogo, occorre iniziare con la disponibilità. Le soluzioni di Sovereign Cloud possono avere una portata e una disponibilità globali diverse rispetto alle offerte di cloud pubblico tradizionale; si potrebbe pensare che questo limiti la loro capacità di supportare carichi di lavoro e utenti geograficamente dispersi. 

La sovranità non è una questione globale, ma nazionale o di una regione condivisa nell’UE, ad esempio. Le soluzioni cloud sovrane garantiscono un’elevata disponibilità all’interno delle geografie nazionali e dei data center della regione sovrana; andare oltre i confini significherebbe avere giurisdizioni e leggi diverse su tutti gli aspetti dei dati e del cloud.

Garantire la disponibilità di dati e servizi è fondamentale per le operazioni gestite dai provider di Sovereign Cloud, come le operazioni di interesse nazionale.

Le prestazioni del cloud sovrano

È poi importante considerare le performance. Le soluzioni di Sovereign Cloud, come tutte le soluzioni di cloud, avranno livelli diversi di prestazioni e scalabilità rispetto alle offerte di cloud pubblico. Questo potrebbe essere considerato un limite alla loro capacità di gestire carichi di lavoro ad alto volume e intensità di risorse.

I Sovereign Cloud sono costruiti e progettati per soddisfare le esigenze dei “sovereign customers”; molti Sovereign Cloud operano a livelli di disponibilità molto elevati, superando le capacità delle offerte pubbliche. Le operazioni di interesse nazionale e i settori verticali specifici hanno requisiti applicativi unici.

I costi del cloud sovrano

Un altro fattore da considerare è il costo. Le soluzioni di Sovereign Cloud possono essere più costose delle offerte di cloud tradizionale a causa dei maggiori costi operativi, delle minori economie di scala e della necessità di disporre di infrastrutture e personale specializzato. Il costo è una componente critica del cloud e partner come i provider di VMware Cloud lavorano su un modello puramente a consumo.

I Sovereign Cloud operano in sicurezza e conformità; i partner per i Sovereign Cloud investono in modo significativo nel controllo del personale, dell’infrastruttura e dei sistemi in linea con la classificazione dei dati e il settore verticale, che non sono disponibili nei cloud pubblici.

Certo, i fornitori di cloud locali non hanno economie di scala come i fornitori di cloud pubblici, ma, in termini di volume, molti partner per il Sovereign Cloud hanno parchi cloud molto consistenti. Ad esempio, OVH Cloud in Francia realizza il proprio hardware e ha 100.000 carichi di lavoro in esecuzione nei suoi ambienti.

Sovereign Cloud e innovazione

L’ultimo punto da considerare è l’innovazione. Le soluzioni cloud sovrane possono avere un livello di innovazione e di sviluppo di funzionalità diverso rispetto alle offerte cloud tradizionali, limitando la loro capacità di stare al passo con l’evoluzione delle esigenze aziendali e delle tendenze tecnologiche.

Pensando a questo aspetto in modo diverso, i cloud pubblici, per essere residenti, devono limitare i loro portafogli solo a coloro che possono essere residenti, separandoli dai piani di controllo SaaS, e questo limita l’innovazione.

L’innovazione può essere vista in due modi: quella fuori dagli schemi (SaaS e PaaS) e quella che deve essere costruita utilizzando nuove infrastrutture e servizi.  Una soluzione “out-of-the-box”, come una soluzione cloud industrializzata, può essere ottima per partire rapidamente.

Tuttavia, è potenzialmente un problema notevole per quanto riguarda la conformità e la sicurezza. La creazione di una soluzione che soddisfi le proprie esigenze offre invece l’opportunità di considerare la conformità e la sicurezza fin dall’inizio (cosa che dovrebbe essere una best practice).

Con la conformità dei dati, la regolamentazione e la governance della privacy e dei dati industrializzati ancora in evoluzione, è meglio innovare e coinvolgere tutte le linee di business per costruire la soluzione giusta.

LEGGI ANCHE: VMware Partner Connect, tutte le anticipazioni «lo strumento perfetto nell’era del canale»

Sovereign Cloud, cosa si rischia e perché è importante ultima modifica: 2023-05-25T11:27:42+02:00 da Francesco La Trofa

LEAVE A REPLY

Please enter your comment!
Please enter your name here