Il termine Cloud Computing rappresenta un’architettura di sistema informatico che prevede la decentralizzazione delle risorse di calcolo e di memorizzazione delle informazioni.
Definire in poche parole il Cloud Computing non è semplice, ma per comprenderlo in termini generali basta usare un esempio molto semplice mutuato da un altro settore: la distribuzione dell’energia elettrica. In una rete elettrica, essa viene generata, trasportata, immagazzinata ed infine utilizzata. Nessuno sa dove stia fisicamente l’energia che stiamo utilizzando, ma solo che in qualche modo ci arriva. Ovviamente dietro la presa elettrica si trova un complesso sistema tecnologico e una complessa organizzazione altamente specializzata per gestirlo e controllarlo, ma con un unico scopo: portare l’energia a casa degli utenti.
Obiettivo di un sistema informatico è gestire l’informazione. Anche l’informazione viene generata, trasportata, immagazzinata, utilizzata. Al giorno d’oggi, e in futuro sempre di più, è una risorsa critica e indispensabile per il funzionamento di una nazione, di un’azienda oppure di una famiglia. La diffusione sempre più capillare di Internet, ma soprattutto la disponibilità di tecnologie di comunicazione a larghissima banda e costo molto ridotto hanno contribuito a creare una enorme rete di distribuzione e trattamento dell’informazione, fortemente interconnessa su scala globale. In un certo senso, si è formata una “rete elettrica dell’informazione”.
Così come un utente della rete elettrica collega il suo elettrodomestico alla presa e si aspetta che questo si accenda, senza chiedersi da dove esattamente arrivi l’elettricità, anche nel caso del Cloud l’utente scarica la propria e-mail o aggiorna la propria galleria fotografica disinteressandosi di dove effettivamente sia l’e-mail o la fotografia digitale.
In questo contesto, per naturale evoluzione dei sistemi e dei servizi IT su scala globale, si è ampliata a dismisura la lista di servizi raggiungibili via Internet oppure tramite una qualsiasi rete di telecomunicazioni. Ciascuno di noi usa almeno due servizi di posta elettronica (uno per lavoro, uno per uso personale), magari fa amicizie su un social network, oppure telefona con Skype, lascia un messaggio su MSN, archivia le proprie fotografie in un servizio di stampa digitale, etc.. Il Cloud, la nuvola, è di fatto il sistema informatico globale che tutti utilizzano.
Perché chiamarlo Cloud? Il motivo è semplice: quando un informatico deve rappresentare in uno schema progettuale un pezzo del sistema IT (una rete, un gruppo di sistemi interconnessi, …) che non vuole dettagliare, lo raffigura come una nuvoletta a cui sono collegate le componenti di interesse. Non c’è descrizione migliore, quindi, per il sistema IT globale, di “nuvola”, dato che ciò che interessa in realtà non è il sistema, ma i flussi delle informazioni.
Così come accade per Internet su scala globale, anche i sistemi informatici aziendali, in scala più piccola, stanno recependo gradualmente questo nuovo modo di concepire i servizi e le infrastrutture. Utilizzando tecnologie che, come vedremo in questo articolo, consentono di decentralizzare e dematerializzare le risorse IT, si possono creare e utilizzare servizi informatici con il Cloud come base concettuale.
Che fine ha fatto l'infrastruttura IT?
Così come accade per un sistema di distribuzione dell’energia elettrica, i sistemi IT basati su approcci Cloud sono infrastrutture informatiche complesse dotate di tecnologie ed architetture sistemistiche in grado di abilitare molte delle funzioni e dei servizi propri del Cloud. Il nome completo per indicare questo insieme di tecnologie è Cloud Computing.
Alcuni dei principali produttori di tecnologie IT sostengono, a ragione, di produrre da tempo tecnologie di Cloud Computing, solo che nessuno le aveva mai chiamate così fino ad oggi. Questa affermazione è sicuramente vera, ma non è la singola tecnologia che fa il Cloud: è la connessione tra esse e soprattutto la volontà di chi realizza e gestisce sistemi informatici di utilizzarle per ottimizzare e semplificare l’uso delle risorse.
Possiamo raggruppare le tecnologie per il cloud computing in poche grandi aree, ciascuna a copertura di uno degli aspetti tipici di un servizio o di un’applicazione Cloud:
• Tecnologie per l’accesso remoto alle applicazioni. Il Web è sicuramente quella più nota, diffusa e con ampie prospettive di evoluzione future. Ne esistono altre, tra cui i servizi di accesso remoto alle postazioni di lavoro, a copertura delle applicazioni che ancora oggi per varie ragioni non sono idonee all’utilizzo via Web. Alcune di queste tecnologie esistevano prima della diffusione di Internet, tuttavia è solo grazie alla disponibilità di connessioni a banda larga e basso costo che si sono diffuse su scala globale.
• Tecnologie per la distribuzione del carico applicativo. Quando i produttori di hardware e software dicono di aver sviluppato da tempo tecnologie di Cloud Computing, parlano sicuramente di queste. Si tratta di tecniche per la dematerializzazione dell’infrastruttura IT, fatte in modo da poter distribuire il carico applicativo su gruppi di sistemi omogenei (cluster) o eterogenei (grid) e farli lavorare in sinergia, in modo tale da non rendere nessuno dei singoli sistemi indispensabile per il funzionamento dell’applicativo.
• Tecnologie per la virtualizzazione dell’infrastruttura hardware. Anche in questo caso non si tratta di novità: esistevano già quarant’anni fa quando i computer erano pochi e c’era bisogno di condividerli tra più servizi. Paradossalmente, si sono evolute sino ad oggi per ottenere invece l’effetto opposto di riunire le forze di più sistemi trasformandoli in un unico grande computer distribuito.
• Tecnologie di telecomunicazione e networking. Se ne parla poco, si danno per scontate, ma senza di loro il Cloud e tutte le altre interessanti tecnologie dei punti precedenti non potrebbero esistere. Il network è il sistema nervoso del Cloud.
Il modello complessivo del Cloud è usare l’insieme di tecnologie sopra indicate per permettere di rendere l’infrastruttura IT la più generica e trasversale possibile, in grado, così, di ospitare qualsiasi tipo di applicazione e di informazione e renderla accessibile da qualsiasi punto e terminale.
La dematerializzazione delle risorse IT
La dematerializzazione delle risorse IT è forse il fenomeno più evidente della rivoluzione/evoluzione generata dal Cloud Computing. Dematerializzare significa far sfumare il rapporto, fino ad oggi molto stretto, tra le applicazioni e le piattaforme hardware che le ospitano. L’obiettivo è impiegare tecnologie (come il clustering o il grid computing) per consentire l’eliminazione dei singoli punti di guasto, ovvero di quegli elementi nell’architettura IT il cui guasto causerebbe l’interruzione del servizio complessivo.
L’informatica di oggi, soprattutto nelle imprese, ha moltissimi sistemi ed applicazioni di tipo tradizionale (legacy), sviluppate o installate quando le tecnologie Cloud erano ancora in stato embrionale. In molti casi sono ancora presenti nelle infrastrutture i cosiddetti SPOF (Single Point Of Failure), ovvero sistemi in grado di far collassare l’intero servizio nel caso in cui diventino indisponibili per qualsivoglia motivo. Le tecnologie Cloud Computing, in questo ambito, sono sicuramente un passo avanti verso l’affidabilità dei sistemi.
Attenzione, però: dematerializzare non significa affatto far scomparire l’infrastruttura IT o farla diventare meno importante, significa solo slegare l’applicazione da essa ed incrementarne il livello di affidabilità. La responsabilità si sposta a questo punto sullo strato delle applicazioni, che devono avvantaggiarsi delle tecnologie Cloud per ottenere fattivamente questi vantaggi. Non sempre infatti il modello di sviluppo dei servizi IT prevede l’impiego di tecniche di bilanciamento del carico o di alta affidabilità. Questi modelli dovranno anch’essi evolvere per abbracciare l’approccio del Cloud.
La virtualizzazione
Virtualizzazione è sicuramente la parola più pronunciata nell’ambito della gestione dei sistemi informatici e rappresenta una delle tecnologie chiave alla base del Cloud Computing.
E’ però tanto pronunciata quanto relativamente sconosciuta, quindi è bene fare un po’ di chiarezza in materia. Innanzitutto una definizione: virtualizzare una risorsa hardware significa mascherare con un apposito software la vera risorsa hardware, in modo da poterla condividere tra più sistemi (detti, per l’appunto, macchine virtuali), ciascuno dei quali avrà la percezione di disporre interamente di un proprio hardware dedicato.
La virtualizzazione non è affatto una tecnologia nuova, anzi è stata sviluppata praticamente assieme alla comparsa dei computer. Nell’era dei dinosauri dell’informatica, quando i computer erano molto grandi e molto pochi, non ci si poteva certo permettere di dedicarne uno per ogni applicazione. Si doveva fare di necessità virtù; sono state sviluppate tecnologie che consentivano di “affettare” virtualmente l’hardware per ricavare più sistemi e ospitare più ambienti applicativi su una stessa macchina. Queste tecniche, note col nome di “partizionamento logico”, sono giunte fino ad oggi, anche se nel tempo sono cambiate per rispondere alle mutate esigenze dell’informatica.
Negli anni, infatti, la capacità di calcolo disponibile per unità di costo è aumentata considerevolmente, tanto da far sparire la necessità di condividere un sistema tra più applicazioni. Le tecnologie di virtualizzazione sono quindi state progressivamente relegate al segmento, pur sempre presente, dei grossi sistemi mainframe, mentre i server piccoli, economici e mono-applicazione riempivano le aziende. Tutto questo proliferare di server ha iniziato però a sfuggire di mano, finendo per creare centinaia, in alcuni casi migliaia, di sistemi verticali inscindibili “macchina-applicativo” e facendo perdere progressivamente le competenze nel lavorare con risorse scarse e condivise.
La percentuale d’uso delle risorse computazionali è sceso infatti drasticamente da oltre il 70% dei mainframe a meno del 10% medio dei sistemi distribuiti, uno spreco enorme. La parola chiave è diventata quindi “consolidamento”: bisogna riuscire a ridurre il numero di sistemi, ridurre i consumi, migliorare l’uso delle risorse. Sono quindi ricomparse le tecnologie di virtualizzazione per sciogliere il legame tra hardware e applicativi e mettere in esecuzione più sistemi su una stessa macchina, riportando il livello di utilizzo a valori accettabili.
Non è stato tuttavia un passo indietro, perché la virtualizzazione è rinata con una marcia in più: il Cloud Computing. Combinando la virtualizzazione con le tecniche di dematerializzazione delle risorse fisiche, si è infatti in grado di sfruttare il meglio dei due mondi: utilizzare al massimo le macchine condividendone le risorse, ma al contempo riunire tra loro più sistemi per metterli tra loro in sinergia. In questo modo, con i cosiddetti cluster di virtualizzazione, un certo numero di server piccoli ed economici possono essere aggregati per diventare un unico grande server con risorse potenzialmente infinite, utilizzabili da un numero anche molto grande di macchine virtuali.
Con la virtualizzazione la piattaforma hardware e la sua localizzazione fisica perdono di importanza: la stessa macchina virtuale può essere spostata su qualsiasi sistema virtualizzato, anche dall’altra parte del mondo, continuando a mantenere la sua dotazione di risorse dedicate. Inoltre, proprio grazie a questa separazione, è sempre possibile cambiare la quantità delle risorse dedicate a ciascuna macchina virtuale, a seconda di quelle che effettivamente richiede, ottenendo un eventuale spazio per altre macchine.
Esistono vari strumenti di virtualizzazione, in base al tipo di risorse hardware che si vuole considerare:
• Virtualizzazione della capacità di calcolo: si tratta di condividere i server e le loro risorse computazionali tra più macchine virtuali. Quando si parla di virtualizzazione nella quasi totalità dei casi si parla di questo.
• Virtualizzazione dello storage: in questo caso l’oggetto della condivisione è lo storage dei dati. Con queste tecniche si possono mettere in cooperazione tra loro più dispositivi di storage anche eterogenei (storage cloud o grid) e farli diventare un unico grande sistema sommando le singole capacità.
• Virtualizzazione della rete: è una tecnologia nuova e figlia dell’enorme diffusione della virtualizzazione dei sistemi. Permette di mascherare l’infrastruttura fisica di rete in modo da potervi creare “sopra” qualsiasi tipo di architettura, aggiungendo o togliendo apparati virtuali e collegamenti virtuali senza dover modificare la reale configurazione fisica.
Queste tecnologie, riunite insieme in un’unica infrastruttura, formano la base portante di qualsiasi sistema di Cloud Computing.
L'Information Technology come servizio
Una delle principali spinte evolutive nella gestione dei sistemi IT è la trasformazione dell’IT da mera tecnologia a piattaforma per la creazione di servizi. E’ ormai condiviso da tutti gli IT manager come l’informatica debba offrire un set di funzionalità in grado di semplificare, rendere più efficiente e rapida la gestione delle informazioni e delle interazioni tra le persone.
Da reparto IT a Service Factory
Lo spostamento del focus verso i servizi è l’evoluzione richiesta dal modello Cloud nella gestione dei sistemi IT. L’infrastruttura tecnologica di base, pur critica e complessa, viene mascherata presentando all’utente un insieme di risorse omogenee e standardizzate (come per l’acqua, l’energia elettrica o il gas). La nuova competenza chiave richiesta al personale dei reparti IT delle aziende è quella di individuare le esigenze degli utenti e trasformarle in un servizio informatico. Il Cloud Computing permette questa evoluzione e la facilita, ma il trasferimento di competenze va pianificato con attenzione per sganciarsi dalla pura gestione della tecnologia, pur mantenendo il necessario controllo e governo del sistema.
In sintesi, gli elementi più importanti dei nuovi sistemi IT aziendali sono tutti quelli che restano a tutti gli effetti fuori dalla nuvola:
• La centralità dell’utente: l’utente del sistema informatico è oggi immerso nella tecnologia, anche fuori dall’ambito lavorativo. Spesso, la tecnologia a cui ha accesso privatamente è molto più avanzata di quella messa a disposizione dall’azienda. Questo crea malcontento ed impressione di incapacità da parte del reparto IT di evolvere e di migliorare il sistema. L’impiego di tecnologie di Cloud Computing consente di accelerare l’adozione di nuovi servizi e applicazioni, allineandosi rapidamente con le offerte del mercato e dando all’utente l’impressione di disporre sempre dei migliori strumenti per lavorare.
• I servizi: creare un servizio IT non è un’operazione semplice, perché si tratta dell’integrazione di diverse tecnologie per rispondere in modo efficace ad un’esigenza degli utenti spesso espressa in maniera generica. In molti casi, è compito specifico del reparto IT anticipare le esigenze degli utenti fornendo soluzioni innovative che non solo sono in grado di risolvere problemi, ma anche di incrementare le opportunità di business.
• L’accesso ubiquo all’informazione: così come accade per molti dei servizi nel Cloud, gli utenti di un sistema IT aziendale non sono più disposti ad accettare che le informazioni di cui hanno bisogno siano raggiungibili solo dalla postazione di lavoro in ufficio. La disponibilità immediata di informazioni è la chiave della società moderna e deve essere messa a disposizione in modo efficace, efficiente e sicuro e da qualsiasi punto di accesso. Le tecnologie di Cloud Computing consentono di impostare questo tipo di evoluzione dei sistemi informativi aziendali e, unendosi con servizi reperibili nel Cloud pubblico, di allargare la sfera di copertura del sistema ovunque sia necessario.
Il reparto IT di un’azienda, per raggiungere questi obiettivi, deve trasformarsi in una Service Factory e liberarsi dal fardello di dover gestire l’operatività di un sistema informatico di stampo tradizionale fortemente verticalizzato. Il Cloud Computing sembra la chiave di volta di questo passaggio, che richiede però anche nuove competenze, un maggiore orientamento all’utente finale, capacità progettuali, comprensione del business e molta attenzione ai dettagli non strettamente tecnologici. Una cosa è certa: le persone sono l’unica componente del sistema che non si può virtualizzare.
X as a service: un nuovo modello per il procurement
La trasformazione dell’IT in servizio, unita all’utilizzo delle tecnologie Cloud, cambia il modo con cui si concepiscono le infrastrutture e, di riflesso, anche il modello con cui si acquisiscono e si gestiscono. Se prima l’oggetto di acquisto erano hardware e software, adesso l’offerta ha cominciato a strutturarsi per i cosiddetti pacchetti “X-as-a-service”, ovvero:
• Infrastructure as a service: si acquista un pezzo di infrastruttura virtualizzata. Si definisce un set di risorse di base (CPU, memoria, disco) rimodulabili a piacimento, collegate ad uno specifico livello di servizio. Non è noto, né di interesse per il cliente, con che tipo di hardware ed infrastruttura il fornitore realizzerà il servizio purché ne rispetti lo SLA (Service Level Agreement).
• Platform as a service: si acquista l’accesso ad una piattaforma applicativa dematerializzata. La piattaforma fisica sottostante è appoggiata su tecnologie di cluster ad elevata affidabilità. Ogni volta che si sviluppa un servizio basta quindi impiegare le funzionalità della piattaforma applicativa. Le risorse a disposizione sono potenzialmente infinite, disponibili su richiesta e soprattutto affidabili. Esempi lampanti di questo tipo di servizi sono gli innumerevoli utilizzi che vengono fatti oggi della piattaforma Google Maps. Di fatto, Google mette a disposizione la propria piattaforma con tutte le sue funzionalità, che può essere usata per realizzare servizi personalizzati. La piattaforma in questo caso è nel Cloud: nessuno tranne Google sa dove siano i sistemi che la erogano.
• Software as a service: si acquista l’utilizzo di un applicativo o di un set di applicativi, solitamente accessibili via Web. In questo caso l’unica operazione richiesta è una personalizzazione “light”, ad esempio per allinearsi ai template d’immagine aziendale.
Ultimamente sta cominciando a diffondersi anche un nuovo tipo di X-as-a-service, che completa il quadro del Cloud Computing e che possiamo definire come “workstation as a service”. L’unica parte del sistema IT che ancora resiste all’assimilazione nel Cloud è la postazione di lavoro. In realtà, già oggi le aziende di maggiori dimensioni hanno raggiunto il limite di complessità e di costi nella gestione delle postazioni e stanno iniziando il processo che porta all’eliminazione delle postazioni di lavoro gestite come piattaforma tecnologica. Già oggi sono disponibili tecnologie per la virtualizzazione applicativa, lato PC, degli utenti, ma i numeri in gioco sono molto più grandi rispetto ai server. Anche le problematiche sono molto più articolate e richiedono una maggiore attenzione e l’avvio di progetti specifici per la valutazione dei costi e dei rischi.
I rischi nell’utilizzo dei servizi di Cloud Computing
Abbiamo cercato di capire cosa significhi Cloud Computing, quali tecnologie si nascondano dietro questa parola e quali impatti possa avere sul sistema informatico di un’azienda. Vedremo ora come caratterizzare i vari tipi di offerte di servizi.
Innanzitutto è necessario fare una distinzione tra i due principali usi delle tecnologie di Cloud Computing:
• Public Cloud: ricadono sotto questo nome quei servizi di cloud computing che prevedono la gestione di applicazioni, sistemi e informazioni nell’infrastruttura di un provider e non nell’infrastruttura IT aziendale. Il Public Cloud, quando è declinato come infrastructure as a service (ovvero servizi di hosting di macchine virtuali o di spazio disco), è quello che tutti considerano come l’impersonificazione stessa del concetto di Cloud Computing. Come abbiamo visto, in realtà, è solo una delle possibili opzioni.
• Enterprise Cloud: le stesse tecnologie che sono alla base del Public Cloud possono essere utilizzate anche all’interno di un’azienda. Di fatto, quando si mette in campo una soluzione di virtualizzazione o un cluster, si sta realizzando un piccolo Cloud privato. Le applicazioni ed i servizi realizzati su questi Cloud privati possono essere anche spostati su servizi di Cloud pubblici, senza incontrare particolari problemi di migrazione. Le tecnologie Enterprise Cloud producono comunque grandi benefici nell’ottimizzazione delle risorse.
Il Cloud, quando è usato come evoluzione del sistema IT aziendale (Enterprise Cloud), ha enormi vantaggi rispetto all’approccio tradizionale di gestione dei sistemi IT. La virtualizzazione, ad esempio, è tra tutte le tecnologie di Cloud Compupting la più usata nei sistemi IT aziendali proprio per i notevoli vantaggi che offre in termini di ottimizzazione delle risorse.
Ovviamente, sebbene con le tecnologie di Cloud Computing si possa ottimizzare grandemente l’utilizzo delle risorse IT in azienda, il fatto stesso di mantenere in casa propria un sistema IT espone ai necessari costi di manutenzione e di gestione.
L’utilizzo dei servizi di Public Cloud avrebbe invece il vantaggio di consentire di ridurre fortemente la necessità di dotarsi di sistemi IT aziendali e di usufruire dei vantaggi tipici di un servizio esterno nel Cloud, ovvero scalabilità, possibilità di richiedere dinamicamente incrementi e riduzioni di risorse e, in generale, eliminazione dei costi di personale altamente specializzato per la gestione delle infrastrutture.
Ci sono quindi indubbi vantaggi nell’utilizzo dei servizi di Public Cloud (tra l’altro, con prezzi in continuo calo grazie alla concorrenza), magari in sinergia con un sistema IT aziendale già dotato di tecnologie di Cloud Computing. Ci sono però anche dei rischi, che vanno considerati e gestiti. Vale la pena, tuttavia, di considerare che molti di questi rischi non sono legati esclusivamente al Public Cloud, ma a qualsiasi tipo di servizio IT esternalizzato. Classifichiamo, quindi, i principali rischi in tre categorie:
• Delocalizzazione delle informazioni: in un servizio di Public Cloud non si sa dove esattamente finiscono le informazioni. Non è un difetto, ma una caratteristica della tecnologia che, anzi, può essere un notevole pregio perché permette di spostare le informazioni dinamicamente e gestire in modo flessibile lo spazio. Questo però richiede una maggiore attenzione perché le attività di auditing di sicurezza che vengono tipicamente effettuate sugli outsourcer non sono più possibili o sono comunque molto difficoltose. Immaginiamo infatti un outsourcer che disponga di svariati datacenter in cui ospita le proprie infrastrutture: non sarebbe possibile farsi indicare dove si trovano le informazioni ed i sistemi usati dall’utente e si dovrebbe, in conclusione, fare un audit su tutti i datacenter, con ovvio dispendio economico. La partita in questo caso si gioca soprattutto sulla capacità del fornitore di Cloud Computing di auto-certificarsi seguendo standard e best practice internazionali e fornendo prove evidenti del proprio operato.
• Deresponsabilizzazione dell’outsourcer: in un Public Cloud, se erogato come Infrastructure as a service, tutti i clienti sono uguali e tutte le macchine virtuali sono uguali, se non diversamente indicato. Per il gestore del servizio Cloud non c’è differenza tra una macchina e l’altra, perché non ne conosce i dettagli interni. In caso di guasto dell’infrastruttura Cloud (eventualità piuttosto remota, ma non impossibile), quindi, non si assumerà la responsabilità di danni economici derivanti dal fermo di un sistema critico. Per evitare questa situazione si devono valutare attentamente gli SLA, ma, soprattutto, bisogna adattare l’infrastruttura IT al Cloud, ad esempio avvalendosi di un fornitore secondario per le infrastrutture più critiche oppure sfruttando la possibilità propria del Cloud Computing di spostare le risorse dinamicamente.
• Allargamento del perimetro di sicurezza: i sistemi IT non sono più tra le mura del datacenter aziendale, quindi la sicurezza fisica non è più controllabile direttamente, anche se si possono chiedere al fornitore dettagliate indicazioni a proposito. Va però curata con estrema attenzione la sicurezza logica. Come per tutti i sistemi condivisi, anche le infrastrutture Cloud (o virtualizzate) sono soggette a rischio di compromissione e di scavalcamento delle misure di sicurezza tecnologiche. Un attacco fruttuoso ad una infrastruttura condivisa ha immediato impatto su tutti i sistemi in essa ospitati. Sebbene le possibilità che si producano danni gravi non sono moltissime, l’impatto potenziale è disastroso, quindi è bene comprendere nel dettaglio i possibili scenari di sicurezza, valutare attentamente le capacità e le competenze del fornitore rispetto a queste specifiche tematiche e mantenere più controllo sul sistema di gestione dei rischi informatici.
Questi rischi sono legati in larga misura alla perdita di controllo diretto sull’infrastruttura IT. In realtà, non va dimenticato che i fornitori qualificati di servizi Cloud dispongono di solito di notevoli competenze specialistiche, difficilmente disponibili nei reparti IT delle aziende. E’ quindi altamente probabile che i sistemi gestiti nel Public Cloud siano in realtà al sicuro tanto quanto quelli gestiti internamente, se non di più. Le contromisure per mitigare questi rischi, comunque, ci sono, ma non sono solo tecnologiche: è necessario porre estrema attenzione nella fase di selezione del fornitore e procurement dei servizi e realizzare specifiche di servizio e modelli di SLA con particolare attenzione alle tematiche di sicurezza.
Non va dimenticato, inoltre, che il sistema spostato nel Cloud rimane comunque gestito dall’azienda. Deve, quindi, essere prima di tutto sicuro al suo interno: un sistema debole, insicuro ed inaffidabile spostato su un’infrastruttura virtualizzata molto solida e affidabile rimane comunque debole e insicuro.
Un aspetto che invece non dipende in alcun modo dalle capacità del fornitore di Public Cloud è il comportamento degli utenti nell’accesso e utilizzo dei servizi in Cloud. Uno dei vantaggi fondamentali dell’approccio a servizi, non dimentichiamolo, è la possibilità di accedere da qualsiasi terminale alle applicazioni ed alle informazioni. Questo però amplia decisamente il perimetro di sicurezza del sistema informatico e sposta molte responsabilità nel mantenimento della riservatezza in capo agli utenti.
Gli utenti sono depositari di una buona parte degli asset informativi dell’azienda e sono soggetti ad un bombardamento continuo di minacce alla sicurezza delle informazioni. Ogni giorni ricevono e-mail di phishing, sono esposti a virus informatici, tentativi di truffa o frode online e, in generale, non sono specialisti IT e non sempre lavorano nell’ambiente aziendale iper-protetto. E’ noto che gli attacchi con danni più elevati al patrimonio informativo aziendale arrivano soprattutto da personale dell’azienda oppure dal furto di informazioni riservate ai dipendenti. Se il personale aziendale accede ai servizi IT solo dal proprio ufficio, il perimetro di sicurezza può essere controllato in modo rigido. Quando, però, i servizi vengono resi accessibili anche dal Cloud (ovvero da qualsiasi punto di accesso ad Internet), i vantaggi nell’accesso alle informazioni sono sicuramente notevoli, ma è evidente che il rischio legato al comportamento del personale si accentua.
La gestione degli aspetti comportamentali degli utenti nei confronti della sicurezza informatica, che possiamo chiamare “human factor security”, non è mai stata particolarmente curata, tant’è vero che alcuni studi mostrano come tentativi anche banali di phishing interno (ad esempio spacciarsi per un tecnico IT per ottenere credenziali di accesso) abbiano quasi sempre successo. Questi aspetti del sistema di sicurezza vanno quindi presi in considerazione con estrema attenzione, potenzialmente più ancora degli aspetti prettamente tecnologici. Vanno previste iniziative di formazione specifiche condotte con tecniche di persuasione efficaci, e campagne continue di test per mantenere alta l’attenzione degli utenti.
Un futuro già segnato
Riassumendo, il Cloud Computing è un cambiamento tecnologico in atto da tempo e destinato a coinvolgere tutti i sistemi informatici a livello globale.
Trasformare l’IT in un servizio e dematerializzare le risorse offre immense opportunità di ottimizzazione dei costi e di sviluppo di nuovi servizi e nuove modalità di trattamento ed accesso alle informazioni, ma i rischi legati alla sicurezza informatica, che pure esistono anche oggi, vengono in un certo senso amplificati e richiedono competenze, metodi e processi nuovi per la loro gestione.
In conclusione, il Cloud Computing molto probabilmente con il tempo sparirà completamente come definizione: adesso si chiama Cloud Computing, domani si chiamerà semplicemente Information Technology.
L'IT come servizio: novità o naturale evoluzione?
di Glauco Bigini
pubblicato su Beltel di maggio/giugno 2010
Leggi il nostro articolo in formato PDF...
