Multicloud: quali rischi e sfide

26/04/22

La strategia multi-cloud accelerata - che ha caratterizzato questi ultimi due anni - ha consentito alle organizzazioni di sfruttare le migliori caratteristiche tecniche di ciascuna piattaforma cloud. Tuttavia, come spesso avviene, permane - da parte di molte organizzazioni - la preoccupazione della gestione del vendor lock-in1, confermata anche da una recente survey effettuata da Cloud Security Alliance. Questa preoccupazione non è il solo motivo che rallenta l’implementazione multicloud, dal momento che le organizzazioni si trovano ad affrontare le diverse sfide scaturite da ambienti interoperabili e diversificati, quali:

• necessità di personale esperto nella gestione di ambienti multi-cloud;

• superficie di attacco estesa, come risultato dell'integrazione di più fornitori di cloud nell'ambiente, che rende più difficile la gestione e la protezione;

• difficile supervisione di tutte le risorse;

• difficile supervisione e governance del rischio su un'ampia varietà di risorse su più piattaforme cloud e on premise2;

• difficoltà nell’integrare più piattaforme, anche con l'aiuto delle API3, poiché i fornitori di cloud utilizzano tecnologie diverse per ottenere un vantaggio competitivo;

• Complessità di gestire i controlli di sicurezza tra un'ampia varietà di servizi e prodotti su diversi fornitori di servizi cloud;

• Latenze4 dovute ai trasferimenti di dati tra piattaforme diverse, con conseguenti problemi di prestazioni e affidabilità, considerando che la disponibilità è un elemento chiave della sicurezza e della operatività.

Ma procediamo con ordine.

Cos'è il multicloud

Se facciamo riferimento ad IBM, troviamo che per multicloud si intende l'uso di servizi cloud da più di un fornitore di servizi cloud. Potrebbe trattarsi di utilizzo di Software as a Service (SaaS) da diversi venditori oppure, come spesso capita nelle grandi società, potrebbe trattarsi di far eseguire applicazioni su Platform as a Service (PaaS) o su Infrastructure as a Service (IaaS) di diversi fornitori di servizi cloud5,6,7,8.

Sempre IBM specifica che una soluzione multicloud è una soluzione di cloud computing che risulta essere portabile attraverso differenti fornitori di infrastrutture cloud. Una soluzione multicloud è realizzata tipicamente attraverso l'impiego di tecnologie cloud-native (come, per esempio, Kubernetes9) che sono generalmente supportate da tutti i providers pubblici di servizi cloud.

Come evitare il lock-in

Il segmento IT è caratterizzato da molti player in serrata competizione tra loro per proporre soluzioni allettanti. Ne consegue che il fenomeno del lock-in risulta complesso e articolato, dato che i Cloud Service Provider tendono ad utilizzare una serie di “elementi” e tecniche per sfavorire il passaggio dei clienti alla concorrenza.

Tuttavia, il confronto trasparente tra i differenti operatori permette (non senza difficoltà) di verificare in modo diretto la presenza di possibili strategie di lock-in e, nel caso, valutarne eventuali costi di uscita.

Associazioni e aziende di primo piano si stanno impegnando per mantenere le logiche di business il più lontano possibile dal lock-in soprattutto in termine di dati. Pertanto, nella scelta del cloud sarà essenziale scongiurare la nascita di nuovi silos10 e lavorare in modo congiunto per evitare (o cercare di limitare) che gli operatori cloud di grosse dimensioni impongano norme che potenzialmente, o praticamente, limitino il grado di libertà del mercato.

Inoltre, in un mercato così mutevole, innovativo ed estremamente competitivo, iI lock-in è un vincolo difficilmente accettabile dalle organizzazioni dato che esse ambiscono ad essere del tutto libere di elaborare le proprie strategie d’impresa combinando le soluzioni offerte dai vari provider e integrando i diversi servizi a quelli già implementati internamente nelle proprie strutture.

Ne consegue che i clienti attenti dovrebbero pretendere di essere in grado di creare, migrare e distribuire le proprie applicazioni in più ambienti, sia in cloud sia on-premise, evitando così eventuali lock-in in un’ottica di innovazione più rapida, in tutti gli ambienti.

I Cloud Service Provider, da parte loro, dovranno garantire queste caratteristiche se non vogliono pregiudicare l'enorme potenziale di creazione di valore offerto dai paradigmi del Cloud.

Pertanto, si dovrebbe andare verso codice e standard aperti, che permettono di rafforzare l’interoperabilità e creare valore per le organizzazioni che devono poter migrare i carichi di lavoro verso le infrastrutture e le localizzazioni più adatte alle proprie esigenze di business.

Come scegliere i service provider per il multicloud

Esistono Cloud Service Provider, come ad esempio Microsoft Azure, che già offrono una piattaforma open che permette a chiunque di utilizzare ciò che desidera e di integrarsi con qualunque altro servizio sia esso in cloud o meno. Tutto quanto detto in precedenza, seppure teoricamente logico, non è facile da ottenere per vari motivi.

In primis, le organizzazioni dovranno conoscere sé stesse per capire in toto le proprie esigenze e vulnerabilità, affrontare e cercare di prevenire/risolvere la problematica del lock-in è estremamente importante.

Ne consegue che, prima di scegliere un Cloud Service provider sarà necessario:

  • Effettuare una "due diligence"11 e l'attenta comparazione delle offerte – Verificare se le offerte soddisfano le proprie esigenze; esaminare i diversi modelli di prezzo per determinare i risparmi sui costi a breve, medio e lungo termine; comprendere gli accordi sul livello di servizio (SLA); considerare i processi e costi di trasferimento dei dati; tenere presenti altre aziende simili alla propria con cui hanno lavorato.

  • Pianificare la modalità di uscita dal contratto – Includere un piano di uscita e i costi potenziali nella strategia di implementazione, i.e. una sorta di “accordo pre -matrimoniale” che possa meglio tutelare l’azienda e quantificare in modo preventivo i costi. Inoltre, è fondamentale assicurarsi di aver compreso tutte le clausole di risoluzione del contratto cloud, nonché i costi di migrazione dei dati fuori dal cloud. Ancora, per semplificare l'accesso ai dati e la transizione a un altro cloud, potrebbe essere necessario implementare una strategia di backup che mantenga una seconda copia dei dati al di fuori del cloud.

  • Creare le proprie applicazioni in modo da rendere la migrazione il più flessibile possibile – Fare in modo che i componenti dell’applicazione cloud possano essere liberamente collegati ai componenti dell’applicazione che interagiscono con essi.

  • Valutare attentamente l’architettura nativa del cloud – Si tratta di soppesare i rischi e le priorità dell’organizzazione per determinare se adottare un'architettura nativa del cloud o considerare una dipendenza ridotta.

  • Massimizzare la portabilità dei dati – I dati rappresentano uno dei maggiori punti critici nelle migrazioni cloud dato che formati e modelli diversi possono causare problemi di portabilità. Pertanto, sarebbe meglio evitare la formattazione proprietaria e descrivere i modelli di dati nel modo più chiaro possibile, utilizzando gli standard di schema applicabili per creare una documentazione dettagliata, leggibile sia dal computer sia dall'utilizzatore. Inoltre, è opportuno assicurarsi che il Cloud Service Provider offra un modo per estrarre i dati in modo semplice ed economico in modo da facilitare la transizione dei dati da un provider all'altro.

  • Implementare strumenti e processi DevOps12 – Essi sono necessari per massimizzare la portabilità del codice. In particolare, la tecnologia dei container aiuta a isolare il software dal suo ambiente e ad astrarre le dipendenze dal provider cloud e, poiché la maggior parte dei Cloud Service Provider supporta formati container standard, se necessario, dovrebbe essere facile trasferire un’applicazione a un nuovo fornitore.

  • Considerare sin da subito normative relative alla privacy - il ricorso a servizi Cloud forniti da paesi diversi dal nostro devono essere approfonditi con attenzione, come pure il paese di riferimento per la regolazione di dispute giudiziarie.

  • Utilizzare la politica di Security by design - il giusto livello di sicurezza deve essere progettato sin dall'inizio, assieme alla scelta dei Cloud provider.

Prima di selezionare un cloud service provider è necessario conoscere i requisiti tecnici, di servizio, di sicurezza, di governance dei dati e di gestione dei servizi di cui si ha bisogno, permettendo di confrontare i vari cloud service provider in base alla propria check-list.

Inoltre, è doveroso ricordare che durante la migrazione di applicazioni e carichi di lavoro nel cloud, gli ambienti specifici scelti e i servizi offerti dal provider di servizi cloud determineranno le configurazioni necessarie, il lavoro da svolgere e l'aiuto che puoi ottenere dal provider stesso.

Fermo restando che i requisiti e i criteri di valutazione variano da organizzazione ad organizzazione, si possono considerare alcuni criteri comuni – raggruppati in 8 sezioni principali – a cui fare riferimento durante la fase di valutazione del fornitore di servizi, in modo tale da selezionare il cloud service provider più idoneo per la propria organizzazione. E precisamente:

  • Certificazioni e standard

  • Tecnologie e tabella di marcia dei servizi

  • Sicurezza dei dati, governance dei dati e politiche aziendali

  • Dipendenze e partnership di servizio

  • Contratti, pubblicità e SLA

  • Affidabilità e prestazioni

  • Supporto alla migrazione, blocco del fornitore e pianificazione delle uscite

  • Solidità finanziaria e profilo del fornitore

Pertanto, al fine di non rallentare l’implementazione del Cloud, le organizzazioni dovrebbero considerare non solo prestazioni, affidabilità e costo, come elementi da porre su un piatto della bilancia, bensì anche verificare attentamente quali possono essere i vincoli contrattuali o tecnologici che un determinato provider impone al cliente. Non parliamo solamente di piattaforme hardware/software/cloud o di SLA, ma anche dei meccanismi contrattuali e di gestione che possono generare un vero “lock-in” per chi acquista un servizio.

Strategia di multi-cloud management

Le organizzazioni, nel progettare un sistema in grado di sfruttare più cloud contemporaneamente, devono affrontare diverse problematiche/sfide che implicano la necessità di una strategia di multi-cloud management. Di fatto, esistono sul mercato diverse tipologie di applicazioni di multi-cloud management in grado di:

  • Automatizzare ed orchestrare - con efficacia ed efficienza- lo spostamento e la migrazione dei differenti workload applicativi tra ambienti cloud pubblici, privati, ibridi, in funzione dei requisiti tecnici e di business di volta in volta stabiliti.

  • Fornire funzioni di gestione della sicurezza, di governance delle policy e controllo della compliance.

  • Garantire, tramite ottimizzazione delle risorse e stima dei costi, sia il monitoraggio delle prestazioni dell’infrastruttura e delle applicazioni sia la gestione economica dell’ambiente multi-cloud.

Molte organizzazioni di medie-grandi dimensioni, grazie a queste applicazione di multi-cloud management , si avvalgono di cruscotti gestionali che facilitano - a prescindere dalle infrastrutture e dai servizi utilizzati - sia le attività di spostamento dei carichi di lavoro e il provisioning sia le misurazioni, riducendo notevolmente la complessità e, al contempo, consentendo di verificare: gli SLA contrattuali, la valutazione del consumo dei servizi in funzione dei costi associati; l’ottimizzazione dell’utilizzo delle risorse, spostando i carichi di lavoro tra cloud differenti e infrastrutture on premise.

Sicurezza e offerta

Per garantire la sicurezza nel Cloud è necessario, avere una profonda conoscenza della propria organizzazione e dell’affidabilità del Cloud Service Provider in modo tale da effettuare scelte efficaci, efficienti e strutturate in base agli obiettivi aziendali, soprattutto in termini di: protezione dei dati; sicurezza; condivisione di normative e standard che possono essere applicati, utilizzati e compresi da tutti.

Di fatto, nella fase di scelta del Cloud provider, è necessario:

  • Verificare i piani di continuità del cloud provider e inserire delle clausole di continuità nei contratti, oltre a richiedere la conferma dell’osservanza anche da parte dei sub-fornitori. Questo è probabilmente l'aspetto più complesso in quanto si tratta di avere accesso a informazioni non sempre agevoli da interpretare.

    • Verificare i servizi di connettività e l'alimentazione nei data center in caso di disastro/disruption.

    • Verificare la gestione dei guasti hardware e come inserire contrattualmente la loro modalità di risoluzione.

    • Verificare la modalità di replica dei dati e dove vengono custoditi ai fini del GDPR.

  • Verificare le specifiche del data center utilizzato dal cloud provider.

  • Verificare i casi di tempi di inattività verificatisi negli ultimi 18 mesi.

  • Verificare la frequenza di svolgimento dei test di ripristino, di emergenza e disponibilità dell’ultimo rapporto.

Altrettanto importante è assicurarsi che vi sia una solida configurazione della sicurezza nel cloud attraverso una serie di strategie e strumenti ampiamente consolidati, quali:

  • Gestione dell’Identità e degli Accessi tramite adozione di sistema di Identity and Access Management (IAM).

  • Sicurezza Fisica quale combinazione di misure per prevenire l’accesso diretto e l’interruzione dell’hardware alloggiato nel datacenter del fornitore di cloud.

  • Informazioni sulle Minacce, Monitoraggio e Prevenzione tramite adozione di Threat Intelligence, Intrusion Detection Systems (IDS) e Intrusion Prevention Systems (IPS).

  • Crittografia per proteggere le risorse di dati e informazioni, codificandole e cifrandole quando sono a riposo e in transito a seconda dei livelli richiesti.

  • Test di Vulnerabilità e Penetrazione del Cloud per identificare eventuali punti deboli o possibilità di sfruttamento.

  • Micro-segmentazione, dividendo l’implementazione del cloud in segmenti di sicurezza distinti, scendendo fino al livello del carico di lavoro individuale.

  • Firewall di nuova generazione che proteggono i carichi di lavoro, utilizzando le funzionalità firewall tradizionali e le funzioni avanzate più recenti.

Pertanto, è quanto mai necessario, prima di adottare un sistema Cloud di valutarne attentamente la ratio rischi/benefici e cercare, come più volte ribadito, di minimizzare i primi attraverso un’attenta verifica dell’affidabilità del fornitore di servizi al quale ci si intende affidare e un’implementazione di una strategia che combini gli strumenti, i processi, le policy e le best practice.

Altro elemento importante è comprendere la responsabilità condivisa e la conformità.

Portabilità dei workload

L'uso di un ambiente multi-cloud richiede una strutturata pianificazione per garantire un flusso continuo di dati e informazioni attraverso questi ambienti, sollevando così preoccupazioni in merito alla portabilità dei workload.

La portabilità del workload multi-cloud significa, di fatto, che puoi spostare un carico di lavoro da un cloud (o un data center on-premise) a un altro. Sfortunatamente, è molto difficile scrivere un'App, una volta, per un cloud ed essere comunque in grado di eseguire quella stessa App su altri cloud, senza modifiche al codice. Diversi fornitori hanno API, semantica, capacità, sintassi e altre sfumature diverse che rendono la portabilità del carico di lavoro, in realtà, una delle forme più impegnative di portabilità multicloud.

Inoltre, in termini di posizionamento del workload, in ambienti multi-cloud, è necessario scegliere una soluzione di hosting che offra il giusto mix di prestazioni ed economicità. Le opzioni di infrastruttura sono varie e numerose, inclusi data center on-premise con hosted cloud privati e cloud pubblici basati su fornitori che forniscono servizi SaaS, IaaS e PaaS.

Si tratta, per attuare la decisione migliore, di comprendere i vari tipi di carichi di lavoro, i loro attributi, le applicazioni che li abilitano e gli obiettivi di business che aiutano a raggiungere. Ovvero, le organizzazioni - a seconda del settore, della disponibilità e versatilità delle piattaforme e delle prestazioni delle applicazioni - possono scegliere se localizzare il carico di lavoro su un cloud pubblico o on-premise. Le considerazioni che influenzano questa decisione includono il risparmio sui costi, l'agilità operativa, la centralizzazione e la sicurezza. Si tratta, ancora una volta, di avere conoscenza del contesto per acquisire la consapevolezza dei requisiti necessari e poter comparare le offerte dei vari Cloud Service Provider.

Resilienza in cloud

La capacità di adattamento e la resilienza - a cui le aziende oggi sono chiamate a rispondere per rimanere competitive - impongono una gestione del cloud più semplice e veloce, in grado di garantire la scalabilità e la velocità, così come la riduzione del time-to-market e dei costi, quali requisiti fondamentali per la modernizzazione delle aziende. Ne consegue che i Cloud Service Provider, per rimanere competitivi, dovranno garantire la resilienza delle operazioni quotidiane dell’organizzazione. Ovvero, attuare un percorso continuo di ottimizzazione dei servizi, partendo dal presupposto che la resilienza del cloud inizia con l'allineamento strategico con i principali stakeholder aziendali, la pianificazione e l'esecuzione con un'architettura che supporta la vera resilienza e un programma di ripristino di emergenza rafforzato.

Esperienze in cloud

Numerose sono le organizzazioni, gruppi, task force e associazioni che offrono risorse e standard sulla sicurezza del cloud, basti pensare a NIST, ISO, Cloud Security Alliance, ETSI, OGF, OASIS,

Con così tanti standard, regolamenti, framework e altri documenti pratici, i professionisti IT spesso hanno difficoltà a selezionare l'opzione più rilevante per la loro organizzazione. Ritengo che un buon approccio sia condurre ricerche sui vari gruppi di lavoro e comitati tecnici sul cloud ed esaminare gli standard utilizzati dai principali Cloud Service Provider, come AWS e Microsoft Azure e, cosa importante, includere la conformità alla sicurezza come parte del processo di valutazione.

In futuro, necessariamente, si assisterà ad un’ulteriore evoluzione degli standard per garantire sempre più la compliance alle varie normative vigenti per essere maggiormente in grado di gestire le sfide che l’implementazione di un cloud implica.

Inoltre, non dimentichiamo che, ad oggi, le organizzazioni continuano ad avere difficoltà nell’implementazione del cloud a causa della mancanza di conoscenza degli asset hardware/software e app e processi e del coinvolgimento di tutti gli stakeholder.

Ancora, un altro problema è rappresentato dalla difficoltà di reperire personale qualificato, in grado di: gestire l’implementazione di una strategia cloud/multi-cloud; valutare servizi offerti dai vari Cloud Service Provider; capire quale offerta risponda meglio alle esigenze dell’organizzazione, ponendo particolare attenzione a tre elementi fondamentali, i.e. le persone coinvolte, i processi messi in opera e le tecnologie utilizzate.

Conclusioni

Le organizzazioni devono essere in grado di gestire la migrazione dai sistemi legacy al cloud, pertanto, è importante investire in termini di strategia, avvalendosi di cloud architect e consulenti IT esperti nel disegnare la configurazione dell’infrastruttura IT ideale per supportare i carichi di lavoro dell’azienda, sia nelle condizioni attuali sia in previsione di una crescita del business di cui non sono ancora note a priori le dinamiche.

Si ritiene che si assisterà ad un’ulteriore crescita del multi-cloud che comporterà sempre più da parte delle organizzazioni la costruzione di strategie approccio zero-trust; intelligenza artificiale o machine learning e serverless computing.

Di fatto il multi-cloud consente di: tenere sotto controllo i costi della struttura cloud; costruire resilienza (consentendo di spostare i dati in caso di necessità); valutare- se e quali- componenti sono correttamente dimensionati (in modo da effettuare un’”orchestrazione” continua atta ad ottimizzare prestazioni e costi); evitare il lock-in da parte di un singolo Cloud Service Provider, accedendo a un più vasto portafoglio di risorse IT.

Pertanto, le organizzazioni che scelgono il multi-cloud dovranno attuare una scelta oculata e strategica, e - per non commettere errori - valutare e pianificare, prima di passare all’implementazione, considerando gli aspetti riguardanti sia la tecnologia sia i processi.

Soltanto una profonda conoscenza di tutti gli ambienti cloud può garantire un esito soddisfacente in termini di performance e di flessibilità degli importanti investimenti da affrontare. Indipendentemente che si tratti di cloud pubblico o privato per distribuire un determinato servizio, la scelta dovrebbe sempre essere funzionale a soddisfare esigenze informatiche di dettaglio, derivanti a loro volta da un quadro strategico perfettamente coerente con gli obiettivi di tutto il business aziendale.

Federica Maria Rita Livelli, Alessandro Rugolo

Un ringraziamento a tutti i membri del gruppo SICYNT per i commenti/suggerimenti

1 Effetto per cui una società che acquista una determinata tecnologia da un venditore si trova nell'impossibilità di cambiare venditore o costretto ad acquisire prodotti dello stesso venditore, il voler cambiare venditore sarebbe infatti troppo costoso.

2 Significa avere i server presso la propria sede aziendale.

3 Si tratta di un tipo di software che serve da interfaccia tra due diversi software.

4 La latenza indica il ritardo nel trasferimento di dati.

5 SaaS, PaaS e IaaS sono delle forme di leasing che riguardano il software, l'infrastruttura informatica o le piattaforme.

7 Per approfondire IaaS: What is IaaS? | Oracle .

9 Per approfondire : Kubernetes .

10 I silos, nel mondo del cloud computing, sono delle istanze in cui processi aziendali e dati sono confinati. Per approfondire: The danger of cloud silos | InfoWorld

11 La due diligence è un processo che consente di analizzare il valore e le condizioni di salute di un'azienda, allo scopo di determinare l’opportunità di un investimento, di una fusione, di un’acquisizione o di una qualunque relazione commerciale. Per approfondire: Cos'è la Due Diligence, a cosa serve, esempi e durata - DOGMA