In collaborazione con |  |
Perché scegliere un servizio cloud e quali sono i vantaggi pratici per la sicurezza. Conoscere la tecnologia per cambiare il proprio business
Nel 2019 spiegare cosa sia il cloud computing forse è superfluo: più che una rivoluzione ormai è una realtà consolidata, uno strumento tecnologico che è anche una importante leva di business perché consente di cambiare in modo significativo come il nostro lavoro si svolge nella quotidianità, aumentando efficienza e il modo stesso in cui ogni giorno svolgiamo i nostri compiti. Ignorare il cloud, oggi, è impossibile: perché non si può farne a meno per tenere il passo dei concorrenti, e perché gli strumenti di produttività oggi fanno di più proprio grazie al cloud.
Se dunque non è possibile farne a meno, l’adozione e l’integrazione del cloud non può prescindere dalla consapevolezza che quello che abbiamo per le mani è pur sempre un potente strumento da maneggiare con cura. Consapevolezza che deve allargarsi dal reparto IT fino a tutta l’azienda: tutti i componenti del team diventano a vario titolo responsabili della sicurezza, del dato e della piattaforma, anche per questo è importante comprendere appieno come sono fatti e come funzionano un servizio o un’app erogati che arrivano dalla nuvola.
IaaS, PaaS, SaaS: cosa sono?
Diverse esigenze corrispondono a soluzioni diverse: quando si parla di cloud ci si riferisce in realtà a un ampio ventaglio di alternative per quello che attiene la virtualizzazione o la messa a disposizione di un servizio con strumenti diversi dall’installazione locale o un server ospitato nel CED, che possiamo ritenere ormai superata. La nuvola permette di scegliere il grado di astrazione a cui lavorare: si può utilizzare un’app attraverso un client o più spesso direttamente dal browser con cui navighiamo su Internet, si può costruire un servizio per sfruttare le virtualmente infinite capacità computazionali del cloud, si possono adattare i propri consumi sulla piattaforma a seconda del tipo di utilizzo che ne viene fatto. Senza la necessità di dover investire in hardware per gestire picchi di carico, che magari si verificano solo una o due volte l’anno.
A seconda del tipo di impegno si può optare per una infrastruttura, una piattaforma o un software erogato sotto forma di servizio cloud. Nel primo caso, in quel modello che viene denominato IaaS (Infrastracture as a Service), quello che viene messo a disposizione è appunto una infrastruttura gestita da terzi che comprende tutto quanto è necessario per lavorare: dal networking allo storage, dai server al software di virtualizzazione sul quale il cliente potrà installare il sistema operativo che preferisce. Questo è senz’altro il modello più flessibile dei tre paradigmi principali, soprattutto perché abbatte i costi dell’hardware che un tempo era acquistato per essere stivato nel CED aziendale o in un server locale e che doveva essere manutenuto e aggiornato nel tempo, con procedure molto costose.
Il SaaS (Software as a Service), invece, solleva totalmente il cliente dalla gestione di tutti gli aspetti IT: qui siamo difronte a una soluzione che è potenzialmente la più sicura delle tre, ma che impone una serie di compromessi perché ci si deve adattare a ciò che è disponibile. In taluni casi, poi, può diventare più complicato esportare le informazioni altrove se si decide di integrare altri servizi o cambiare service provider. Per favorire la sicurezza, quindi, si deve sacrificare la flessibilità.
Nel caso PaaS (Platform as a Service) è infine resa virtuale e gestita dal service provider tutta la pila tecnologica che comprende anche il sistema operativo e l’ambiente su cui far girare il proprio software: al cliente spetta di fornire i dati su cui operare e l’applicazione per farlo. Seguendo questo paradigma si elimina gran parte della complessità legata allo scale-up dell’infrastruttura, e si semplifica anche l’aspetto relativo all’interoperabilità: un PaaS può essere ritagliato su misura delle proprie esigenze, e in più si possono ottimizzare i costi bilanciando il consumo del cloud.
È evidente come i tre approcci richiedano un impegno diverso per quanto attiene il reparto IT: se si opta per IaaS si deve mettere in campo una squadra completa, che viene sollevata solo dal peso della gestione dei sistemi hardware ma che deve provvedere a tutto quanto ha a che fare con la messa in sicurezza di tutto l’impianto software. PaaS e SaaS, invece, semplificano di molto questo tipo di “ordinaria amministrazione”: il sistema operativo è manutenuto direttamente dal service provider specializzato in questo tipo di attività, le patch sono applicate in modo tempestivo, soprattutto viene tutto gestito in modo centralizzato riducendo il rischio di dimenticare qualche aggiornamento. Soluzioni di questo tipo spingono a far evolvere il proprio reparto IT, così da promuovere il passaggio degli addetti da normali amministratori di sistema a veri e propri orchestratori: capaci di spingere l’efficienza dei processi, individuando soluzioni moderne e funzionali per svolgere il lavoro.
La soluzione più sicura
Ciascuna soluzione, dicevamo, ha i suoi vantaggi e i suoi svantaggi: quel che conta davvero è che, qualunque sia la scelta operata dalla propria azienda, si tengano ben fermi alcuni paletti relativi alla sicurezza. Sicurezza intesa non tanto come un pesante obbligo da rispettare, quanto soprattutto come un parametro su cui misurare il proprio business per essere sicuri che la salvaguardia dei dati aziendali generi un vantaggio strategico: sia per quanto attiene l’elaborazione di dati stessi per trarne informazioni preziose, sia per garantire la reputazione dell’intera organizzazione. Senza dimenticare poi gli obblighi di legge: la GDPR è una realtà ormai da oltre un anno, e spesso scegliere un servizio cloud può costituire una scorciatoia per mettere in piedi un processo che consenta di rispettare la normativa.
Il cloud offre senza dubbio dei vantaggi: delegare a un service provider come Aruba la manutenzione della piattaforma, affidarsi a un esperto nella gestione di questi aspetti tecnici, fa sì che ci si possa affidare a un servizio che fa della messa in sicurezza dei server e della applicazione delle patch il suo unico compito ogni giorno. Uno spauracchio come quello degli attacchi DDoS, ovvero quel tipo di attacchi che satura la capacità di elaborazione e comunicazione con un server, nel cloud può essere facilmente neutralizzato.
Questo tuttavia non basta: non si può delegare esclusivamente a terzi la sicurezza dei dati, bisogna anche provvedere a mettere in piedi una policy che preveda la cifratura dei dati custoditi e pure la cifratura dei dati che vengono trasmessi tra i client e il server cloud. Allo stesso modo, non si può trascurare i client stessi: se i server cloud sono al sicuro, lo devono essere anche i terminali attraverso i quali fruiamo delle informazioni, sia che si tratti di PC o laptop, sia che si tratti di nuovi form-factor come smartphone e tablet. La sicurezza deve essere un mantra a tutti i livelli in azienda: con una formazione apposita del personale si può trasmettere loro l’importanza del rispettare le policy definite, per salvaguardare i vantaggi competitivi rispetto della concorrenza e rispettare le normative.
Da questo punto di vista il cloud offre anche dei vantaggi nativi. Spesso le piattaforme sulla nuvola mettono a disposizione strumenti appositi per valutare l’affidabilità delle credenziali di chi accede ai dati, non facendo affidamento unicamente sulla storicamente vulnerabile password bensì unendo a questo sistema anche un secondo o terzo strato di verifiche attraverso la 2-factor authentication (il classico codice usa-e-getta da inserire durante la procedura di accesso), oppure una valutazione euristica del comportamento dell’utente per stabilire se si presentano anomalie rispetto alla provenienza geografica delle richieste, alla loro frequenza, al tipo di dati che viene richiesto. Il cloud offre anche la possibilità di tracciare tutto questo: un registro che offra indicazioni preziose per valutare il rispetto e l’osservanza delle policy aziendali.
La scelta del service tecnico non deve comunque essere sottovalutata: non conta solo il prezzo o il SLA (Service Level Agreement), che definiscono quali sono i parametri base su cui giudicare un prodotto, bensì si deve approfondire anche tutto quanto riguarda le certificazioni ottenute dalla piattaforma scelta, il rispetto di standard di mercato per quanto attiene la gestione di app e dati, cifratura dei dati stessi, la possibilità di utilizzare una VPN, regolari verifiche della sicurezza della piattaforma tramite la consulenza di terze parti accreditate e così via. Optando per un cloud computing come quello di Aruba si sta di fatto scegliendo un partner tecnologico più che un mero fornitore.
Decidere di optare per il cloud, ormai una necessità come detto più che un’alternativa, può garantire un miglioramento complessivo nella gestione del proprio business: sia riducendo i costi, sia minimizzando gli investimenti in hardware che inizia a invecchiare ancora prima che sia stato consegnato e installato, sia permettendo di investire su una prospettiva a lungo termine. Gli uomini e le donne delle IT, liberati dalla gestione quotidiana del CED, possono concentrarsi sulla creazione di nuove soluzioni che migliorino efficienza e produttività di tutta l’azienda: gli utenti non devono fare altro che continuare a svolgere il proprio lavoro, con qualche strumento in più a disposizione.
