Le grandi organizzazioni europee, pubbliche e private, che hanno spostato su cloud gran parte delle loro applicazioni e dei loro dati, o vorrebbero farlo, spesso sono rallentate dall’impossibilità di fruire delle funzionalità che i public cloud dei fornitori globali mettono a disposizione. Per farlo sarebbe necessaria, da parte dei provider, una trasparenza adeguata sulla localizzazione dei dati e sulla capacità delle infrastrutture di soddisfare le normative stringenti, regionali o di settore. Le organizzazioni che risiedono nella UE, in particolare, devono attenersi al percorso ormai avviato verso la sovranità digitale europea che punta a riprendere il controllo dei dati e della tecnologia sia sul fronte economico sia su quello politico e sociale.
Per rispondere alle molteplici e diversificate esigenze delle organizzazioni UE, Oracle aveva lanciato, poco meno di un anno fa, un progetto di cloud sovrano pensato per la UE con l’obiettivo di mettere a disposizione servizi e funzionalità delle regioni cloud pubbliche di Oracle Cloud Infrastructure (OCI) nel rispetto dei requisiti europei. Dal 20 giugno 2023 la soluzione Sovereign Cloud è concretamente a disposizione delle organizzazioni dei 27 Paesi dell’Unione Europea che potranno eseguire tutti i loro carichi di lavoro, allo stesso prezzo e con le medesime condizioni di supporto e livelli di servizio di OCI.
Sulla scia delle normative comunitarie
La proposta è pensata soprattutto per le attività digitali in settori fortemente regolamentati o soggetti a specifiche normative nazionali, come ha sottolineato Richard Smith, Executive Vice President, Technology, EMEA, Oracle, che ha indicato l’obiettivo di supportare la trasformazione digitale in ambiti come la sanità, la pubblica amministrazione, i servizi finanziari (banche e assicurazioni), le telecomunicazioni.
La disponibilità dei servizi e delle funzionalità del cloud pubblico di Oracle anche sul Cloud Sovrano consentirà, in particolare alle organizzazioni del settore pubblico, di utilizzare l’infrastruttura AI in cloud in linea con i requisiti UE di residenza e sovranità dei dati. Si potranno così superare i limiti di impiego delle soluzioni di AI generativa per le organizzazioni pubbliche e nei settori regolamentati, rallentato (quando non completamente bloccato) dalle limitazioni alla residenza dei dati necessari per sviluppare i modelli.
Il Cloud Sovrano Oracle rivolge particolare attenzione al rispetto dei requisiti UE in materia di privacy e sovranità dei dati, come sanciti, ad esempio, nel Regolamento generale sulla protezione dei dati (GDPR). Oracle garantisce, infatti, che i dati delle organizzazioni clienti, ospitati nel Sovereign Cloud rimangano entro i confini di stati membri dell’UE e le relative regioni cloud, grazie alla creazione di due datacenter che si trovano nell’Unione Europea (a Francoforte e a Madrid) creati per ospitarli. Per rispettare i requisiti di sovranità, la proprietà e la gestione delle infrastrutture fanno capo a persone giuridiche di diritto europeo, di proprietà di Oracle, separate e costituite all’interno della UE. Anche il personale operativo e addetto all’assistenza clienti è composto esclusivamente da lavoratori residenti nella UE.
Per quanto riguarda l’Italia, Oracle sta lavorando a una soluzione di Cloud Sovrano dedicata al Polo Strategico Nazionale, la società partecipata da TIM, Leonardo, Cassa Depositi e Prestiti e Sogei, e creata per realizzare e gestire l’infrastruttura cloud nazionale finalizzata a alla sicurezza di dati e applicazioni della PA.
Oracle EU Sovereign Cloud si dichiara conforme alle normative di monitoraggio dell’UE e alle linee guida che limitano i trasferimenti di dati fuori dai confini dell’Unione Europea, come indicato dalla sentenza Schrems II della Corte di Giustizia UE e secondo le indicazioni dell’European Data Protection Board.
Barriere architetturali e crittografia a protezione della sovranità
A garanzia della collocazione e della sicurezza dei dati, il Cloud Sovrano di Oracle per la UE dispone di un’architettura separata che non condivide alcuna infrastruttura con le cloud region commerciali di Oracle nell’UE, né possiede alcuna connessione di backbone con le altre regioni cloud di Oracle. L’accesso delle organizzazioni che fruiscono di Oracle EU Sovereign Cloud viene, inoltre, gestito separatamente dall’accesso alle regioni cloud commerciali di Oracle.
Anche le architetture di disaster recovery sono all’interno dei confini dell’Unione Europea, grazie alla presenza delle due cloud region (sopra indicate), ognuna delle quali contiene tre fault domain. Ne consegue che un guasto hardware o un’attività di manutenzione in uno solo dei fault domain non avrà impatto sulle istanze collocate negli altri fault domain.
Inoltre, la netta separazione dell’operatività, delle funzioni di supporto e delle policy, distinte da quelle del cloud commerciale Oracle semplifica le procedure per garantire la conformità, la privacy e sovranità dei dati ai requisiti UE. Infine, la garanzia che i dati del Cloud Sovrano di Oracle per la UE siano mantenuti all’interno dell’Unione Europea, senza ricorrere a ulteriori configurazioni di policy, accelera i progetti cloud e ne riduce i rischi.
Tecnologie dedicate a privacy e sicurezza
Un ulteriore livello di protezione dei dati è proposto attraverso due nuovi servizi connessi alla crittografia, disponibili per tutte le Cloud Region, comprese quelle del Cloud Sovrano UE. Il primo servizio, OCI External Key Management Service, realizzato in collaborazione con Thales Group, consente di crittografare i dati all’interno di OCI grazie a chiavi di cifratura, create e gestite dall’organizzazione cliente e che restano sempre in suo possesso, senza essere importate all’interno di OCI.
Possono così operare nel Cloud Sovrano UE anche le attività regolamentate che richiedono il controllo sull’archiviazione fisica delle chiavi al di fuori del cloud. Il secondo servizio, OCI Dedicated Key Management, fornisce all’organizzazione cliente il controllo sulle proprie chiavi di cifratura attraverso una soluzione Hardware Security Module (HSM) dedicata alla singola organizzazione, il cui provisioning avviene in OCI.
