Questo articolo fa parte di una serie di mie riflessioni sull’innovazione technology-driven, cominciata qui.
Oltre ai diversi modelli di servizio (SaaS, PaaS, IaaS), il cloud computing offre diversi modelli di deployment, con diversi livelli di affidabilità potenziale e confidenzialità.
Se un computer (client) si affida per l’esecuzione di un programma software ad un altro computer in rete (server), appartenente ad un’altra organizzazione, allora i dati scambiati fra client e server devono attraversare l’internet pubblica (Public Cloud): in generale l’affidabilità della connessione e la confidenzialità non possono essere garantite a priori.
Se invece – all’estremo opposto – i due computer risiedono sulla stessa rete e quindi sotto il controllo della stessa organizzazione, che ne garantisce affidabilità e confidenzialità, si ha il Private Cloud.
Public Cloud e Private Cloud sono utili semplificazioni, ma ogni azienda può avere la possibilità di ibridare il modello per avere maggiore controllo o sfruttare al meglio le capacità del cloud provider.
Un Private Cloud può risiedere presso l’organizzazione consumer (on-premises), ed essere di conseguenza fisicamente segregata e non condivisa, totalmente sotto il controllo del cliente. Oppure può risiedere presso il fornitore (off-premises), essere fisicamente segregata, tuttavia il controllo deve essere condiviso con il fornitore. Infine può essere off-premises, non segregata fisicamente, e quindi è di fatto un Private Cloud Virtuale.
Interessante il modello Community Cloud, in cui l’infrastruttura è condivisa fra diverse organizzazioni ma serve un’unica comunità di utenti. Può essere un modello da tenere sotto controllo per soluzioni di sistema su requisiti regolamentari stringenti per determinate industry.
Infine c’è il modello Pubblico / multitenant, in cui l’infrastruttura cloud è gestita da più fornitori.
I punti critici del Cloud Computing sono insiti nella natura stessa del servizio:
- informazioni aziendali trattate in contesti esterni al perimetro dell’organizzazione e potenzialmente condivisi con gli altri clienti del Cloud Service Provider (CSP).
- utilizzo strutturale di reti pubbliche per connettere l’ambito aziendale con il CSP.
- Accessibilità delle informazioni aziendali senza vincoli di orario e di luogo da parte degli utenti.
Usare il cloud crea potenziali minacce per la protezione dei dati, sia in situazioni di public cloud che di private cloud. Questo tipo di rischi va indirizzato, prevalentemente, a livello contrattuale.
Tuttavia, ci sono degli aspetti di potenziale criticità nel cloud computing che vanno ben oltre il tema della trasmissione dei dati.
Ad esempio, su ambienti molto scalati, condivisi e automatizzati, potrebbe essere complicato dire, in ogni momento, dove si trova geograficamente una informazione. Questo può essere un problema per quelle aziende che, per vincoli normativi, devono certificare che le informazioni personali di un certo cliente sono mantenute all’interno di una certa giurisdizione. Cloud Service Providers internazionali non sempre possono garantirlo.
Un altro tema rilevante sta nel fatto che buona parte della normativa non è stata aggiornata per prendere in considerazione le architetture cloud e di conseguenza il tema della compliance può essere di difficile soluzione.
Un altro tema di sicurezza interessante sta nel fatto che oggi gli ambienti di gestione delle informazioni dei clienti sono spesso frammentati su diverse applicazioni e basi dati. Paradossalmente questo è un beneficio dal punto di vista del risk management in quanto un problema di sicurezza su una porzione dei dati, non impatta sulle altre informazioni. Nel momento in cui l’informazione viene consolidata per essere trasferita nel cloud, questo aspetto cambia significativamente.
Ci sono comunque anche aspetti positivi in quanto il cloud mette a disposizione strumenti di log ed event management che possono semplificare le analisi di sicurezza l’identificazione delle potenziali falle. Inoltre, identificata una soluzione al problema emerso, la sua applicazione è virtualmente immediata.
luigiatauro.com 