Una Nuvola Pubblica Certificata
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Una Nuvola Pubblica Certificata
Alessandro Osnaghi, Fondazione Astrid
Convegno Camera di Commercio di Torino, 13 febbraio 2012
Il termine cloud computing è oggi largamente diffuso e utilizzato spesso impropriamente
anche dai fornitori, che non sempre aiutano gli utenti a distinguere soluzioni in uso da tempo,
come le soluzioni di ASP (Application Service Provisioning), da quanto di nuovo si propone
con il paradigma cloud. È quindi importante chiarire le caratteristiche, che con precisione
definiscono i servizi cloud e gli attori che operano in questo nuovo mercato.
Il cloud computing è un insieme di servizi che i Cloud Service Provider (CSP) erogano agli
utenti attraverso varie tipologie di rete, in particolare Internet, e che per essere considerati tali
devono possedere tutte le seguenti caratteristiche, senza le quali si è in presenza di normali
servizi Web:
capacità dell’utente di ottenere e gestire il servizio necessario a richiesta, senza
necessità di rinnovi o estensioni contrattuali;
accesso ai servizi tramite rete, in maniera tendenzialmente indipendente dal tipo di
apparecchiatura utilizzato;
capacità di gestire e assegnare le risorse di calcolo contemporaneamente a utenti
differenti senza decrementi di prestazioni;
capacità di gestire dinamicamente e in tempo reale la variabilità dei consumi della
domanda di servizio da parte dei singoli utenti;
capacità dei provider di misurare andamenti e consumi e di adeguare la risposta al
variare della domanda, fornendo il dettagliato dei consumi.
La novità consiste nel fatto che i servizi cloud sono fatturati in base al consumo effettivo di
risorse: l’utente non ha necessità di fare investimenti in hardware, spesso dimensionati per le
esigenze di picco, e in licenze software, non deve affrontare tempi lunghi di
approvvigionamento di beni d’investimento prima di essere in grado di avviare una nuova
attività e non ha necessità di dotarsi di personale capace di gestire direttamente il proprio
sistema informatico; questo diventa virtuale, ospitato e gestito nella “nuvola” ed è solo
necessario acquisire connettività Internet adeguata e avere opportune apparecchiature di
accesso (PC o altro). In questo senso i servizi cloud computing favoriscono soprattutto
l’imprenditorialità nuova e la piccola e media impresa, riducendo l’entità degli investimenti e
dei tempi necessari per essere operativi.
I servizi cloud possono essere erogati attraverso Internet, e in questo caso si parla di cloud
pubblico, oppure sono erogati attraverso reti private, eventualmente anche estese a livello
globale, ad esempio la intranet di una multinazionale, ed in questo caso si parla di cloud
privato. Si hanno anche casi di cloud ibrido che combinano servizi delle due tipologie
precedenti oppure di cloud di comunità che, a prescindere dalla rete, erogano servizi destinati
a una specifica categoria di utenti.
I modelli proposti per i servizi cloud hanno caratteristiche diverse: nel modello IaaS
(Infrastructure as a Service) si erogano servizi infrastrutturali relativi a capacità elaborativa,
di memorizzazione dati, servizi di rete e altri servizi di base come back-up, disaster recovery
e continuità operativa, tutti servizi indipendenti dalle applicazioni dell’utente; nel modello
SaaS (Software as a Service) vengono erogati servizi di natura applicativa sia di tipo
orizzontale (ad esempio servizi di e-mail) che verticali, specifici di un settore applicativo. In
virtù di questi servizi, in pratica un’azienda o un’amministrazione può rinunciare del tutto ad
acquisire e gestire un sistema informatico reale, sostituendolo con un sistema informatico
Alesssandro Osnaghi, Torino 13 febbraio 2012 1virtuale e sopportando solo costi opex (spese correnti) invece che costi opex più capex (spese in conto capitale). Per accedere a servizi cloud di questa natura è determinante la qualità dei servizi di connettività offerti sul territorio dagli ISP (Internet Service Provider). Le caratteristiche della banda necessaria dipendono evidentemente dai modelli di servizio e dalle situazioni applicative, ma in ogni caso si tratta sempre di banda effettiva da 20 a 100 Mbit/s e oltre. I servizi di connettività Internet sono quindi un requisito necessario per la diffusione di questo nuovo paradigma tecnologico che comporta, in linea di principio, anche significativi vantaggi economici. Lo studio, condotto congiuntamente dalle Fondazioni Astrid e THINK!, principalmente rivolto ai decisori politici e agli amministratori, ha affrontato le tematiche fondamentali che l’affermarsi, sicuramente irreversibile, del nuovo paradigma tecnologico del cloud computing, pone alle amministrazioni pubbliche, ma anche alle aziende, soprattutto a quelle medie e piccole, e quindi al sistema Paese. Il cloud computing crea una discontinuità nei modelli di utilizzo dell’Information Technology, e come tale solleva problemi e incontra resistenze: lo studio propone soluzioni architetturali, organizzative e operative, che dovranno essere abilitate con opportuni interventi normativi, finalizzati alla realizzazione di un’infrastruttura strategica basata sul cloud computing al servizio di utenze pubbliche e private. Per quanto riguarda le amministrazioni o le aziende che sono già dotate di data center e di sistemi informatici interni complessi, il percorso di evoluzione verso la smaterializzazione e il consolidamento, in sostanza verso la realizzazione di un cloud privato, è sicuramente complesso, come qualsiasi processo evolutivo verso nuove soluzioni e comporta esclusivamente problemi di valutazione dei benefici e di ritorno dell’investimento, che anche grazie al risparmio energetico che si può ottenere liberandosi di sistemi spesso sovradimensionati, dovrebbe verificarsi nei pochi anni richiesti dall’ammortamento delle apparecchiature esistenti. Per questa categoria di utenti non esistono particolari vincoli di sicurezza e di conformità normativa. Lo studio si è focalizzato sugli aspetti particolarmente critici, che riguardano l’evoluzione dei sistemi informativi delle piccole amministrazioni e delle PMI verso soluzioni di cloud pubblico dove i servizi dei Cloud Provider, come detto, sono accessibili via Internet. L’utilizzo di servizi cloud pubblici presenta difficoltà di natura culturale e psicologica e anche di natura normativa; le perplessità più rilevanti riguardano la temuta perdita di controllo sui propri dati, che sono trasferiti nella “nuvola”: si tratta di preoccupazioni legate alla sicurezza, alla tutela dei dati personali e alle responsabilità giuridiche che le leggi vigenti attribuiscono ai titolari dei dati. In questo campo il legislatore ha dettato, ancora di recente, principi generali e regolamenti applicabili a tutti indistintamente, che provengono da una cultura e da un tempo, gli anni 90, in cui non esisteva la rete e non s’immaginavano le possibilità attuali. Si tratta di prescrizioni che riguardano gli adempimenti di sicurezza, inclusa la tutela della privacy, che in futuro sarà opportuno rendere più “sostenibili”, accettando ragionevoli margini di rischio e considerando non solo la tipologia del dato, ma anche il suo valore economico. La sicurezza informatica costituisce un costo importante, che tende a essere indipendente dalla dimensione economica delle amministrazioni e delle aziende e va comunque sottolineato che in realtà le soluzioni Alesssandro Osnaghi, Torino 13 febbraio 2012 2
offerte dai Cloud Service Provider sono in generale sicuramente superiori a quelle messe in
atto direttamente dalle organizzazioni utenti.
Il processo legislativo e il consolidamento delle direttive a livello europeo richiederà ancora
tempo. Nel recente documento Cloud computing: indicazioni sull’utilizzo consapevole dei
servizi1 il Garante italiano per la tutela dei dati personali elenca undici argomentati
suggerimenti per gli utilizzatori del cloud in tema di verifiche di sicurezza, livelli di servizio,
clausole contrattuali e necessità di accertare l’affidabilità del provider. È tuttavia facile
prevedere che molte piccole e medie aziende avranno difficoltà nell’implementazione di
queste indicazioni, mancando al loro interno delle competenze e risorse necessarie.
Appare quindi opportuno, se non necessario per rendere possibile l’adozione del cloud
computing, facilitare le scelte delle amministrazioni e delle aziende introducendo un processo
di certificazione dei provider che garantisca gli utenti che i servizi cloud sono conformi alle
esigenze di sicurezza, di privacy, di livelli di servizio, di localizzazione dei dati e di garanzie
di portabilità: esso deve basarsi su clausole contrattuali standard e accertare l’affidabilità del
provider e quant’altro possa assicurare la conformità a norme e raccomandazioni nazionali ed
europee.
Lo studio Astrid-THINK! propone di creare un’infrastruttura virtuale ICT strategica chiamata
“Nuvola Pubblica Certificata” per consentire ai potenziali utenti di utilizzare in tranquillità
servizi di cloud computing pubblico e al Paese di trarne nel medio periodo i benefici
economici e sistemici prevedibili.
Con l’utilizzo di servizi cloud i dati delle amministrazioni, ma anche quelli delle aziende, che
sono sottoposti, nella generalità dei casi, alla normativa italiana ed europea sulla tutela dei
dati personali e sulla sicurezza, escono fisicamente dal perimetro informatico di diretta
responsabilità del titolare, che tuttavia nell’attuale quadro normativo ne mantiene l’intera
responsabilità giuridica.
La catena dei soggetti coinvolti nell’erogazione di un servizio cloud si estende spesso a
livello internazionale, fino a rendere difficile o impossibile la localizzazione dei propri dati.
Un rapporto contrattuale che apparentemente coinvolge solo tre soggetti: il Cloud consumer
(l’amministrazione o l’azienda utilizzatrice), l’Internet Service Provider (ISP) e il fornitore
del servizio cloud, può in realtà coinvolgere una catena difficilmente tracciabile di erogatori
di servizi cloud, di cloud broker e di ISP che operano in contesti giuridici differenti.
A garanzia degli utenti - che nel quadro normativo vigente restano titolari dei dati, con le
conseguenti responsabilità civili e penali anche quando intervengono soggetti terzi su cui non
hanno alcun controllo - il processo di certificazione dovrà essere gestito (in base di regole
tecniche da emanare) da soggetti terzi qualificati e indipendenti che possano certificare i
Provider accertando la loro rispondenza a clausole contrattuali di servizio standard e alla
normativa nazionale ed europea di sicurezza e di tutela della privacy, anche quando si tratti di
servizi offerti da pubbliche amministrazioni. Diventa inoltre necessario individuare altri
soggetti terzi che siano professionalmente qualificati per svolgere le funzioni di auditing.
La Nuvola Pubblica Certificata è definita, in termini di architettura concettuale, come
“l’insieme organizzato di fornitori di servizi cloud (CSP) e di fornitori di servizi di
connettività Internet (ISP) che hanno ottenuto la certificazione di sicurezza e di conformità
alla normativa e ai regolamenti tecnici italiani”.
1
http://www.garanteprivacy.it/garante/document?ID=1819933
Alesssandro Osnaghi, Torino 13 febbraio 2012 3La Nuvola Pubblica Certificata può offrire alle amministrazioni e alle aziende servizi che consentono di assolvere gli adempimenti di legge, ad esempio nel caso dei servizi di disaster recovery e continuità operativa. Costruendo questa infrastruttura strategica di servizi lo Stato passa da un ruolo puramente prescrittivo, che stabilisce obblighi e abbandona le amministrazioni a sé stesse, ad un ruolo di servizio che mette a disposizione gli strumenti per soddisfare le esigenze di sicurezza del Paese. La Nuvola Pubblica Certificata è per definizione un’infrastruttura aperta, perché i servizi sono accessibili via Internet, sia pure utilizzando Internet Service Provider certificati (è quindi un public cloud) e non si pone alcun vincolo sulla natura giuridica dei provider, o relativo al contesto giuridico nel quale i provider operano e realizzano i servizi, e neppure sulla natura pubblica o privata degli utenti. Qualora i Service Provider eroghino servizi a un’utenza che opera nel contesto giuridico italiano essi devono garantire di essere certificati secondo la normativa italiana o eventualmente europea vigente. L’esistenza di questa infrastruttura ICT certificata, in cui i cloud provider, soprattutto se erogano servizi di tipo IaaS, sono in genere dotati di grandi data center, è funzionale non solo alle esigenze delle pubbliche amministrazioni, ma anche a quelle delle imprese, grandi, medie e piccole, anch’esse soggette alla normativa sulla sicurezza e sul trattamento dei dati personali. Questa impostazione concettuale non impedisce di riservare alcuni servizi cloud certificati a particolari categorie di utenti (per esempio ai comuni o alle scuole o anche alle sole pubbliche amministrazioni) realizzando così anche la possibilità di costruire una o più nuvole di comunità che insistono sulla Nuvola Pubblica Certificata. La caratterizzazione dei provider può essere diversa in funzione dei modelli di servizio erogati (IaaS, PssS o SaaS), tuttavia i cloud service provider accessibili via Internet nella maggior parte dei casi sono operatori internazionali che utilizzano data center consolidati di grandi dimensioni collocati al di fuori del territorio nazionale. Peraltro anche soggetti pubblici italiani, soggetti privati a partecipazione pubblica o anche soggetti privati italiani potrebbero avere interesse a operare come CSP certificati sulla Nuvola Pubblica Certificata. Nella pubblica amministrazione italiana deve essere avviato un processo di consolidamento delle decine di data center esistenti, alcuni dei quali gestiti con tecniche obsolete, poco efficienti e soprattutto costose dal punto di vista energetico. Per questo sarà importante promuovere un censimento dei data center e trovare forme per incentivare il loro graduale consolidamento. Quanto poi ai data center che appartengono ad enti locali, che svolgono gli stessi compiti istituzionali ed erogano gli stessi servizi, si dovrebbe incentivarne la standardizzazione per favorire un consolidamento anche a livello applicativo SaaS. Nel censimento dovrebbero rientrare anche i data center dei grandi enti pubblici e delle grandi imprese a partecipazione pubblica (nazionale e locale) spesso dotati di capacità e potenza superiore a quella effettivamente utilizzata. Come tutte le infrastrutture critiche e strategiche la Nuvola Pubblica Certificata dovrà essere governata da un organismo permanente sia nella fase di realizzazione che nella fase di gestione per assicurarne la continuità nel tempo. La Nuvola Pubblica Certificata sarà l’infrastruttura abilitante per i Progetti nazionali a valenza sistemica, cioè per quei progetti che nascono da obblighi normativi che interessano tutte le amministrazioni di un certo tipo, o anche tutte le amministrazioni, e che non si Alesssandro Osnaghi, Torino 13 febbraio 2012 4
possono considerare completati finché tutte le amministrazioni coinvolte non sono in grado di dispiegare il progetto o erogare in modo permanente il servizio corrispondente. Oggi le amministrazioni si muovono autonomamente senza azioni e piani coordinati e producono inevitabilmente risultati incompatibili e non integrabili. Un tipico progetto nazionale a valenza sistemica è ad esempio un progetto che tenda a dare attuazione, secondo un piano organizzato, agli articoli del Codice dell’Amministrazione Digitale (CAD) Art. 50- bis “Continuità operativa” e Art. 51 “Sicurezza dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni”. Questi articoli prevedono che tutte le amministrazioni realizzino autonomamente funzionalità di disaster recovery e di continuità operativa, lasciando l’onere di tutti gli adempimenti previsti sulle singole amministrazioni. È utile ricordare che il CAD si applica a tutte le amministrazioni locali in particolare anche ai circa 7500 Comuni che hanno meno di 20.000 abitanti e ai quasi 6000 Comuni che hanno meno di 5.000 abitanti, si applica ad alcune centinaia di ASL e alle scuole che sono circa 14.000, ecc. Realizzare in tempi pianificati queste prescrizioni in modo che, a una data predefinita e certa, il sistema informatico dell’amministrazione del Paese nella sua totalità possa essere considerato in sicurezza è quanto s’intende per progetto di natura sistemica ed è evidente come la Nuvola Pubblica Certificata possa offrire una soluzione a questi problemi. Nello studio sono stati approfonditi due casi applicativi che si prestano a soluzioni basate sul cloud (i sistemi informativi dei Comuni piccoli e medi e il Fascicolo Sanitario Elettronico) e si sono valuti, con un modello che utilizza dati di costo reali, i possibili vantaggi economici di queste soluzioni rispetto alle soluzioni convenzionali. Questi casi hanno dimostrato l’indubbia possibilità di una significativa riduzione dei costi IT, soprattutto nel medio e lungo periodo: questa riduzione si ha non solo sul fronte dello sviluppo e della manutenzione della soluzione, ma anche su quello della riduzione delle dotazioni hardware degli utenti e dei relativi servizi di gestione e manutenzione; inoltre la logica cloud “da uno a molti”, cioè la possibilità di fornire la stessa soluzione a una molteplicità di utenti fa si che vengano abbattuti anche i costi di manutenzione e sviluppo della applicazioni. Alesssandro Osnaghi, Torino 13 febbraio 2012 5
Puoi anche leggere
