Secondo i dati dell’Osservatorio Cloud Transformation del Politecnico di Milano, il mercato italiano del cloud ha raggiunto nel 2021 i 3,84 miliardi di euro. Notevole il tasso di crescita, parzialmente imputabile all’accelerazione digitale data dalla pandemia: +16% rispetto al 2020. Il comparto più interessante si conferma quello delle soluzioni di cloud ibrido e pubblico, che da solo vale 2,39 miliardi di euro.
Cloud ibrido come pilastro della trasformazione IT
Il cloud ibrido è una scelta ideale per la trasformazione digitale perché permette di gestire in modo dinamico e coordinato calcoli, reti, storage, applicazioni e dati in un data center virtualizzato e basato su componenti pubbliche e private. Il servizio resta uno solo: i singoli componenti dell’ecosistema sono unificati, gestiti, automatizzati e orchestrati da tecnologie aperte o proprietarie. Adottare il cloud ibrido significa, per le aziende, poter contare sulla scalabilità dell’infrastruttura pubblica e del controllo del dato di quella privata, il tutto basato su una governance centralizzata e fortemente incentrata sull’automazione.
Cloud ibrido significa integrazione a diversi livelli, tra cui rete, sicurezza, applicazioni ed interfacce di gestione. Implementazioni ibride più sofisticate possono anche integrare funzioni aggiuntive, tra cui la gestione e l'orchestrazione cross-cloud, il bilanciamento del carico di lavoro e l'aggiunta dinamica di storage, reti e altre infrastrutture.
Il cloud ibrido e la scalabilità
Miscelando in modo armonico risorse pubbliche e private, il cloud ibrido riduce i costi e aumenta la flessibilità della soluzione, offrendo così la scalabilità che la maggior parte delle aziende cerca. In termini pratici, le soluzioni ibride offrono risorse illimitate on-demand, massimizzando sia gli investimenti infrastrutturali esistenti, laddove ancora presenti, sia le performance che derivano dal cloud privato ospitato da provider specializzati.
Le sfide dalla gestione dei costi alla sicurezza
I dati certificano il successo delle soluzioni ibride, che pur offrendo benefici straordinari comportano anche sfide da affrontare e vincere. Se l’azienda decide di gestire il cloud ibrido, probabilmente si troverà di fronte alle stesse sfide di acquisizione dei talenti, o difficoltà di piattaforma che un approccio al puro cloud pubblico può avere. Anche la gestione dei costi potrebbe non essere completamente risolta se non si sa scegliere dove collocare i carichi di lavoro. Pertanto, è fondamentale lavorare con il fornitore di servizi cloud per progettare una soluzione adeguata che soddisfi le esigenze di scalabilità e crescita del business sfruttando l'infrastruttura corrente.
Inoltre, l’abbinamento tra una struttura interna e una esterna pienamente integrate riscuote potrebbe porre qualche problema in più a chi si occupa di gestire la sicurezza informatica in azienda. Se la scelta del cloud privato mette l’azienda di fronte alla piena responsabilità per le soluzioni di security adottate e quella verso il cloud pubblico impone la delega di queste scelte sul provider, è necessario fare chiarezza per prendere coscienza delle scelte effettuate ed armonizzare le soluzioni. Il primo passo da fare consiste nell’individuare tutte le soluzioni relative alla sicurezza che permettono al cloud ibrido di adattarsi a tutte le normative o alle regole previste nei contratti.
L’importanza della sicurezza nel cloud ibrido
È un passaggio impegnativo perché da una soluzione all’altra si possono avere risposte differenti on premise e nel cloud sulle quali può incidere anche il settore in cui opera l’azienda, che potrebbe prevedere situazioni particolari. A questo si aggiunge la possibile differenza di approccio fra le aziende che gestiscono il proprio private cloud e i provider generalisti che mettono a disposizione le loro infrastrutture in cloud, circa l’efficacia di soluzioni di sicurezza di diversa tipologia e, per di più, acquisite da vendor diversi.
Per fare un esempio, si può pensare a un’azienda che nella propria struttura interna abbia scelto di tutelarsi contro gli Advanced Persistent Threat (APT), i sistemi di Intrusion Detection (IDS) e Intrusion Prevention (IPS) e, dall’altra parte, si trovi un provider cloud che invece non ha un’offerta per le APT e copre solo le ultime due aree.
Altro fronte di possibile frizione riguarda le metodologie di audit e certificazione. In questo caso può esserci una differenza fra le certificazioni. Quelle del provider possono non soddisfare l’impresa che abbia necessità di compliance più stringenti.
Prima di iniziare a trasferire dati e applicazioni in un cloud di fornitori di servizi è quindi necessario assicurarsi di aver compreso appieno tutte le normative di conformità relative ai dati e la verticale di settore in cui si opera. Sia che si tratti di gestire i dati delle carte di credito dei clienti, le informazioni sulla salute dei pazienti o che si lavori con dati diffusi in più Paesi, il cliente cloud è in ultima analisi responsabile nel dimostrare che il livello minimo di misure di sicurezza dei dati venga raggiunto.
La visibilità dei dati nel cloud ibrido
Il problema più urgente per gli amministratori della sicurezza dei dati, di fronte alla prospettiva di proteggere un cloud ibrido, è però la loro visibilità. Occorre riflettere molto per decidere dove memorizzare i dati. Anche in questo caso, è facile perdere la traccia senza una visibilità adeguata. Quindi, quando si spostano dati sensibili nel controllo di un fornitore di servizi cloud, è bene disporre del monitoraggio necessario per essere in grado di tenere traccia delle posizioni degli archivi e dei flussi di traffico, sia in entrata che in uscita. Si tratta di mettere in piedi dei processi strutturati di “Data Governance” che in ultima analisi sono in grado di classificare, monitorare e proteggere l’accesso non autorizzato ai dati.
Un ottimo modo per contribuire a proteggere i dati, in qualsiasi situazione, è quello di crittografarli mentre sono a riposo. Poiché si tratta di una situazione di multi-tenant all'interno di una rete di provider di servizi cloud, questa diventa una necessità assoluta. Oltre alla protezione dei dati a riposo è necessario pensare alla protezione dei dati in movimento mentre vengono spostati tra provider cloud differenti o vengono fruiti da chi consuma i servizi associati, - così come quelli in uso, mentre vengono elaborati e manipolati da un'applicazione cloud. In questo modo è garantita la loro protezione per tutto il loro ciclo di vita.
Un ultimo aspetto da tenere in considerazione quando si sviluppa una strategia di sicurezza, è assicurarsi che tutti gli strumenti, le procedure e le pratiche siano in grado di scalare in base ad esigenze di crescita.
Si tratta di problemi che hanno una soluzione se ci si avvale di player in grado di gestire ambienti cloud ibridi e che sono in grado di mettere a fattor comune di più clienti la propria esperienza in fatto di gestione della sicurezza di questo tipo di ambienti caratterizzati da elevata complessità. La parte più complessa resta quella di identificare le proprie esigenze di sicurezza in anticipo per mettere insieme i componenti prima di spostare la distribuzione ibrida in produzione. Fatto questo, alla fine, implementare un ambiente ibrido con le giuste modalità, può portare vantaggi dal punto di vista dell’innalzamento dei livelli della sicurezza.
