La nuvoletta bianca in un cielo azzurro. L’immagine spensierata del cloud, usata da tutti i cloud provider nel corso della loro storia, per testate, siti, convegni. Anche da noi. Poi l’incendio nel datacenter del cloud provider OvhCloud a Strasburgo, qualche settimana fa, ha fatto vacillare in molti la certezza di essere sicuri in cloud, di essere protetti, di avere i propri dati in cassaforte.
E così chi era già detrattore del cloud si è maggiormente rinchiuso nel proprio server in cantina considerandolo più sicuro, chi ha subìto il danno si è scoperto vulnerabile o si è accorto di non avere un backup dei dati, o di non conoscere a fondo la normativa Gdpr… Arrabbiato, incredulo.
Un evento eccezionale per gravità (legato pare a un’attività di manutenzione ma sarà l’inchiesta francese a darne la corretta lettura) che ha riportato in primo piano i temi fondamentali di sicurezza, trasparenza, normative sui quali poggiano i datacenter e la decisione delle aziende di spostare in cloud workload e dati importanti.
Cosa abbiamo imparato? Questa la chiave di lettura che vogliamo dare all’evento, per uscirne più consapevoli. Perché, i disservizi nei datacenter ci sono (lo si sa) e se gli incendi rimangono uno degli eventi più rari ma tra i più gravi (da bloccare sul nascere con sistemi e procedure dettagliate), le aziende devono seguire dei criteri chiari per scegliere con consapevolezza i fornitori e mettersi al riparo da danni irreparabili.
Le aziende non possono esimersi dal capire come muoversi soprattutto in uno scenario estremamente competitivo in cui molti cloud provider puntano a realizzare reti di datacenter distribuite, promettendo di mantenere ovunque il medesimo livello di sicurezza. Senza siti di serie A e siti di serie B.
Cosa abbiamo imparato da questo disastro noi che crediamo nel cloud? Di fondo che i criteri che guidano le scelte nel tempo rimangono validi, invariati. Ripercorriamoli.
1 – Sicurezza. E’ fondamentale per le aziende capire a fondo per qualsiasi servizio tecnologico esternalizzato cosa si acquista, non solo in termini di servizio, ma anche in termini di sicurezza, fisica, logica, ambientale. E’ bene che nel contratto sia specificata la tecnologia utilizzata per mettere in sicurezza tutti i processi (nel caso dei datacenter sapere quali sistemi regolano gli ingressi, quali i rilevatori di fumo, gli impianti di spegnimento, la manutenzione dei sistemi antincendio, le tecnologie anti-intrusione...) senza che nella dicitura “sicurezza” siano annegate molte procedure non ben specificate (anche se il “legalese” dei contratti può essere di difficile comprensioni per i clienti).
2 – Disaster recovery. E’ fondamentale che i datacenter, per garantire la continuità operativa dei clienti, abbiamo una vera strategia di disaster recovery (tutti la garantiscono a parole), non su datacenter così vicini uno all’altro da non poter essere considerati separati. La lontananza eviterebbe che il danneggiamento potenziale di uno (per disastro naturale, incendio, attività illecite…) possa danneggiare anche il datacenter attiguo, mandando in fumo anche la parte ridondata. La distanza tra datacenter rimane fondamentale: vanno ubicati in diversi zone, regioni o stati, e vanno costruiti in cemento con pareti in grado di resistere al fuoco per ore, senza deformarsi.
3 – Backup. E’ fondamentale che i clienti oltre ad acquistare un servizio di business continuity valutino anche una strategia di backup dei dati, asseverando la buona prassi di conservare una copia dei dati, per non rischiare di perdere l’intero patrimonio informativo nel caso abbiamo informazioni in un datacenter danneggiato. Presupposto per una continuità di servizio reale.
4 – Trasparenza. E’ fondamentale per scegliere il provider sapere quale trasparenza offre sui dati archiviati. Chi può accedervi, come, quando. Quali norme vigono nel paese in cui il datacenter è ubicato. Se esiste osservanza stretta al Gdpr. La trasparenza non è un aspetto secondario per scegliere, apre al piu ampio tema della sovranità dei dati.
5 – Certificazioni. E’ fondamentale sapere quali certificazioni un datacenter ha, Iso/Iec 27001, Soc2,.Csa Star (voluta dalla Cloud Security Alliance)… che stabiliscono processi di gestione della sicurezza e del datacenter coinvolgendo a dovere anche ogni singolo cliente, che deve conoscere con cura il servizio richiesto.
Insomma, ogni region datacenter che apre (anche in Italia) ha regole ben chiare, sta all’utente conoscerle. Il cloud continua ad essere la scelta per molte aziende anche nel 2021 (i dati previsionali di mercato lo evidenziano) senza timori. Ma quello che è successo deve far riflettere sull’approccio al cloud delle aziende, a partire da quel backup che tutti dicono di avere ma che spesso viene gestito con superficialità. Un servizio di backup vale quanto un piano concreto di business continuity.
Fidarsi del proprio fornitore cloud è bene, ma sapere valutare con oculatezza i servizi acquistati (sia che decidiamo di mettere i nostri server privati all’interno di un datacenter, sia che affidiamo al cloud provider dati, workload o servizi) ci rende responsabili.
Eventi come quello di Strasburgo è bene che ci insegnino cosa non sottovalutare, ma non devono riaprire la vecchia questione se il cloud è sicuro oppure no. Nessuna marcia indietro sulla sicurezza del cloud, che i cloud provider devono garantire per sonni tranquilli, ma ogni cliente deve avere in mente quali sono i parametri essenziali da valutare per scegliere attentamente fornitori, costi e servizi in un mercato nel quale la competizione è agguerrita. Che il cloud sia una nuvola bianca nel cielo azzurro oramai non lo crede più nessuno.
© RIPRODUZIONE RISERVATA