La definizione di hybrid cloud fornita da Gartner fa riferimento a una modalità coordinata e “policy-based” di gestione, utilizzo e provisioning dei servizi IT nell’ambito di un insieme di servizi cloud interni e esterni. Le aziende ci hanno messo un po’ a capire che cosa fosse il cloud computing e quali opportunità potesse riservare. Quando finalmente lo hanno capito, ai manager si sono immediatamente spalancate nuove prospettive in termini economici, ma anche di qualità della governance.
Cos’è il cloud ibrido?
Cos’è l’hybrid cloud? Premesso in generale che hybrid cloud è un ambiente di cloud computing che utilizza cloud pubblico, cloud privato e soluzioni di terze parti, mettendo a fattor comune il meglio delle varie piattaforme, cercheremo di capire in che modo questo possa accadere ossia come ai carichi di lavoro sia possibile alternare le modalità di servizio, attingendo tra cloud pubblico e privato in base alle esigenze di elaborazione. Al cambio dei costi, l’hybrid cloud offre così alle aziende più flessibilità e possibilità di sviluppo.
Più in dettaglio, nel cloud ibrido la gestione delle macchine e delle risorse è assolutamente dinamica e flessibile. Sfruttando il meglio delle logiche dell’on demand, del pay per use e dell’As a Service, il governo dei sistemi IT acquisisce una marcia in più. In base alle esigenze, alle priorità e alle gerarchie di attività, infatti, è possibile programmare la combinazione ideale, modulando un Software Defined Data Center massimamente scalabile e performante.
I vantaggi dell’Hybrid cloud: scalabilità, sicurezza e flessibilità
Prima di tutto va chiarito bene che cosa sia il cloud. L’idea di partenza non è molto lontana da quella della virtualizzazione: grazie all’intelligenza di una programmazione software di nuova generazione, le risorse fisiche si trasformano in risorse logiche.
La softwarizzazione dei server e degli storage in un’ottica di consolidamento è stata solo il primo passo dello sviluppo. Trasformare le macchine fisiche in numerose macchine virtuali, configurabili via software e gestibili da un unico cruscotto centralizzato, ha velocizzato non solo il rilascio di nuove risorse (parliamo di qualche minuto rispetto a un lavoro di molte ore in termini di cablaggio, configurazione e fine tuning), ma ha anche consentito di ridurre l’infrastruttura hardware e di ottimizzare i tempi di lavoro a supporto del business.
In seguito sono state virtualizzate anche le appliance, gli switch, gli apparati di sicurezza, i firewall, i router fino ad arrivare a deduplicare gran parte della rete. In pratica, oggi sul cloud può risiedere un intero data center virtuale. A questo punto la decisione di spostare sulla nuvola una o più risorse del data center e farle gestire a un provider su una rete pubblica o privata, oppure detenerne la gestione (sempre decidendo se avvalersi di una rete pubblica o privata) è solo una questione di analisi dei bisogni.
Indipendentemente dalle dimensioni aziendali, oggi i processi di procurement e approvvigionamento dell’IT spesso non sono ancora in linea con il modello cloud, e ciò porta in vari casi all’incapacità di monitorare in maniera adeguata quali servizi siano attualmente utilizzati, e se siano in grado di portare reale valore per il business, senza sovrapposizioni con altri servizi già esistenti. Insomma, occorre sviluppare una strategia dedicata, specifica per il cloud procurement e per tutte le relative implicazioni di governance e compliance.
In estrema sintesi, i vantaggi dell’hybrid cloud sono che:
- non si comprano più macchine fisiche (perché si usa la loro emulazione software);
- non si contratta più con un fornitore che dopo tre anni bisogna rivedere per fare una rivalutazione dell’installato (perché si fa un contratto in base a delle Sla che includono aggiornamenti continui);
- non si devono più configurare le macchine fisiche a livello di cavi e di installazioni (perché si usano gli snapshot, ovvero dei template con una serie di impostazioni preconfigurate che consentono di installare qualsiasi macchina in pochi clic);
- non bisogna più preoccuparsi della sicurezza di queste macchine (perché lo si stabilisce nero su bianco sul contratto con il cloud provider che, avendo come core business il cloud, ha tutte le competenze più verticali a livello tecnologico per garantire la qualità dei risultati).
Efficienza e risparmio con il cloud ibrido: bilanciamento di risorse e costi
Come gli altri modelli di cloud computing, anche il cloud ibrido si fonda sul paradigma dell’IT As a Service: i servizi sono erogati via rete, consumabili su richiesta in base alle tipologie e ai volumi e alle quantità di cui si necessita. Il tutto con una forma di pagamento in funzione del reale consumo. La differenza, in termini di efficienza dei costi, è che l’hybrid cloud fornisce una soluzione intermedia tra i due estremi, ossia tra le massime economie di scala ottenibili con l’adozione del public cloud e le economie di scala più contenute raggiungibili applicando il paradigma del private cloud. Basti ricordare che, a livello di efficienza dei costi, i cloud pubblici possono fornire economie di scala maggiori rispetto ai cloud privati, facendo leva, per esempio, sulla gestione centralizzata delle risorse IT da parte del cloud provider. Il modello del cloud ibrido, in sostanza, permette di estendere questi vantaggi di costi a quante più funzioni di business è possibile, affidandosi comunque al private cloud quando occorre proteggere con la massima sicurezza applicazioni e dati sensibili.
Il plus del cloud ibrido è legato al fatto che la natura stessa della tecnologia di virtualizzazione consente di spostare in qualsiasi momento le risorse in maniera assolutamente dinamica. Questo significa che è possibile riportare le macchine virtuali e i carichi di lavoro associati, così come le risorse di rete o lo spazio di storage al proprio interno, ripristinando una configurazione precedente dell’infrastruttura informatica.
In ogni caso va tenuto presente che avere un cloud ibrido non significa avere un po’ di cloud privato e un po’ di cloud pubblico. La chiave di volta è l’integrazione il che significa poter amministrare e controllare ogni risorsa IT, applicazione, dato e workload in modo armonico, minimizzando i rischi e incrementando la produttività. Il che, per altro, toglie ogni tipo di dubbio a chi pensa che scegliere il cloud ibrido possa far perdere la governance. Anzi è proprio il contrario.
Guida alla migrazione
Il viaggio verso la realizzazione di un’infrastruttura cloud ibrida non è banale, vi sono diversi punti da valutare. Qui di seguito, in estrema sintesi, alcune best practice.
Quando si pianifica l’adozione di un cloud ibrido, è fondamentale valutare se è il caso di suddividere e migrare tutte le applicazioni esistenti, oppure soltanto quelle nuove, progettate per gli ambienti ibridi. In genere è soprattutto nei progetti e sistemi cosiddetti ‘greenfield’ (cioè quelli in cui si può partire senza dover considerare implementazioni precedenti e applicazioni legacy) che diventa conveniente disaggregare le funzionalità di un’applicazione, distribuendole su cloud pubblici e privati: per esempio, le attività di elaborazione su cloud pubblico e i dati su nuvola privata.
Nel caso in cui si voglia usare il cloud pubblico come sito di ripristino, per esempio scegliendo Microsoft Azure come sito DR/BC basato su nuvola ibrida, il servizio Azure Site Recovery è in grado di automatizzare processi come l’inventario e la replica delle macchine virtuali (VM), dei dati, e il dispiegamento del servizi.
Quando si realizzano nuove applicazioni, l’opzione può essere scegliere un servizio IaaS (infrastructure as a service) o PaaS (platform as a service). Le piattaforme PaaS sollevano gli sviluppatori dai problemi che riguardano la selezione dell’infrastruttura di runtime, consentendo loro di focalizzarsi sulla progettazione del database e dell’applicazione. Va però precisato che l’uso di servizi PaaS può accrescere il rischio del cosiddetto ‘cloud provider lock-in’, ossia, incrementare la dipendenza tecnologica da un determinato fornitore cloud. Questo perché un PaaS provider, nel fornire il proprio servizio PaaS, può utilizzare tecnologie proprietarie, che diventano limitazioni quando l’utente, in seguito, decide di migrare l’applicazione verso altre piattaforme cloud: ad esempio, il servizio PaaS Google App Engine (GAE) utilizza API (application programming interface) proprietarie di Google, che rendono problematico migrare l’applicazione verso altri servizi PaaS, come quelli di Cloud Foundry o Microsoft Azure.
Invece, la scelta del modello IaaS appare in genere più appropriata quando si deve far migrare verso il cloud applicazioni client-server proprietarie (legacy).
La sicurezza dell’hybrid cloud
Proteggere dati, applicazioni e infrastrutture nell’ambito dell’hybrid cloud è più semplice a livello di gestione. I cloud ibridi, infatti, riducono la potenziale esposizione dei dati grazie alla loro possibilità di gestione di dati e carichi di lavoro in modalità bimodale:
- cloud privato per tutelare i dati sensibili o più mission critical
- cloud pubblico per la gestione dei dati meno critici
Il tutto con la possibilità di presidiare tutte le politiche associate alla conformità normativa e aziendale, includendo auditing e sicurezza. L’architettura che caratterizza l’hybrid cloud è costituita da entità uniche e separate, anche se altamente interconnesse. Ad abilitare la dinamica di migrazione da un’entità all’altra le nuove modalità applicative associate alla containerizzazione e alle API crittografate che agevolano la trasmissione di risorse e carichi di lavoro, elevando i livelli di protezione di dati, servizi e sistemi.
È importante tenere a mente 5 punti di attenzione.
1. Trasferimento di dati all’interno del cloud ibrido
Generalmente un’architettura cloud ibrida coinvolge l’infrastruttura di due diversi provider: un provider di cloud pubblico e un provider di cloud privato. Questi ambienti sono spesso separati da Internet pubblico, il che significa che è necessario assicurarsi che i dati rimangano sicuri durante il trasporto. Il consiglio degli esperti è di crittografare tutto il traffico in modo da garantire la sicurezza del cloud ibrido, applicando i più recenti standard, in base alle esigenze specifiche. In ogni caso, i principali fornitori di servizi cloud offrono Transport Layer Security o crittografia lato client per garantire la sicurezza dei dati.
2. Autenticazione e autorizzazione
L’autenticazione e l’autorizzazione sono importanti in qualsiasi azienda, ma richiedono un’attenzione particolare quando si affrontano le complessità della sicurezza del cloud ibrido. È necessario valutare la modalità di accesso ai dati in locale e nel cloud pubblico. Per proteggere questi account, è fondamentale utilizzare gli strumenti di gestione delle identità (IAM) e degli accessi per impostare la federazione delle identità. Per centralizzare la gestione degli accessi al cloud ibrido gli esperti suggeriscono di prendere in considerazione gli strumenti di Single Sign-On , soprattutto se si utilizzano più cloud e account locali. È possibile optare per uno strumento gestito nel cloud pubblico, come AWS Single Sign-On, Microsoft Azure Active Directory Seamless Single Sign-On, oppure valutare prodotti di terze parti popolari come Okta.
3. Il divario di competenze
Quando si implementa una tecnologia poco nota, la scarsa preparazione del personale può tradursi in un rischio per la sicurezza. Gli utenti che non conoscono il cloud pubblico, devono adattarsi a modelli di distribuzione del software ma anche al modo in cui differiscono gli approcci locali: ad esempio, i carichi di lavoro sono protetti in modo diverso su AWS, Azure o Google Cloud rispetto al data center privato. Inoltre, gli sviluppatori possono essere attratti da servizi che automatizzano le distribuzioni su un cloud ibrido, il che include strumenti a livello di infrastruttura come il codice Terraform, i sistemi di controllo versione come Git e gli strumenti CI / CD come TeamCity e Jenkins.
Per evitare rischi per la sicurezza dovuti a errori umani, è importante assicurarsi che le autorizzazioni siano concesse in base al privilegio minimo. Gli strumenti stessi dovrebbero avere un accesso limitato e consentire ai dipendenti di utilizzarli solo per funzioni specifiche basate sul ruolo.
Sempre e in ogni caso, è fondamentale formare i dipendenti: ogni persona che lavora con il cloud deve almeno comprendere i componenti e i servizi con cui lavora regolarmente. È possibile utilizzare corsi e certificazioni ufficiali sul cloud pubblico, corsi online gratuiti o a pagamento o altri strumenti per educare i tuoi dipendenti.
4. Networking che abbraccia il cloud ibrido
La rete è la base su cui poggia tutta l’infrastruttura dell’hybrid cloud. È fondamentale risolvere la progettazione della rete per ogni ambiente e tutte le relative connessioni che legano insieme tutti gli ambienti. Non deve esserci alcun margine di errore: è indispensabile utilizzare tutti gli strumenti e i servizi di rete messi a disposizione dei provider di cloud pubblici. Ad esempio, se si usa AWS, è bene configurare una VPN da sito a sito tra il data center e AWS, collegandolo il tutto ad Amazon VPC. È possibile anche usare servizi come AWS Direct Connect, Azure ExpressRoute e Google Cloud Interconnect. Queste offerte forniscono connessioni di rete sicure e dedicate all’ambiente cloud pubblico e riducono anche il costo dei trasferimenti di dati.
5. Problemi di conformità
I cloud ibridi pongono notevoli sfide alla conformità in merito allo spostamento dei dati. Queste sfide, come l’adesione alle leggi sulla sovranità dei dati e la conformità al GDPR, sono valide anche in un ambiente ibrido piccolo e semplice. In settori altamente regolamentati come la sanità, il finance o la pubblica amministrazione un piccolo errore può comportare multe gravi o persino azioni legali.
Per garantire le policy più corrette, è importante valutare ogni singolo ambiente, considerando poi il cloud ibrido nel suo insieme per testare la sicurezza complessiva. Anche perché a posteriori è molto più difficile risolvere un problema di conformità.
Come scegliere il contratto con i fornitori
Le aziende devono valutare con molta attenzione la tipologia e qualità di servizi forniti dal cloud provider, le clausole comprese nel contratto di fornitura, ma anche la struttura, l’affidabilità e la dislocazione dei suoi data center. Gestire la compliance con le normative di privacy e security riguardo alle informazioni degli utenti, per esempio, deve essere un fondamentale.
In ogni caso i cloud provider possono ottemperare alle norme di compliance più di quanto un’azienda possa fare da sola, perché si focalizzano unicamente sulla tecnologia, e nella maggior parte dei casi usano meccanismi di cifratura dei dati per proteggere le informazioni dei loro utenti. Non va trascurato inoltre il fatto che, per essere sempre in regola e conforme alle normative di compliance, un’azienda da sola dovrebbe assumere personale, e creare un team dedicato alla risoluzione delle quotidiane problematiche di IT security. Ciò non toglie che, nei casi in cui si deve proteggere applicazioni particolarmente mission-critical per l’attività di business dell’impresa (per esempio in una banca), mantenere il controllo dei dati il più vicino possibile può rimanere la soluzione preferibile.
I fornitori di servizi cloud, inoltre, mettono a disposizione delle aziende utenti portali web, cruscotti di controllo e, come si è visto, API che consentono di integrare i tool del fornitore cloud con quelli interni utilizzati dall’azienda stessa, in modo da farle ottenere una completa visibilità sul cloud ibrido. A questo livello, il problema semmai diventa sapere se tali API sono proprietarie di quel provider, oppure sono cross-platform, e pertanto possono essere utilizzate per accedere alle risorse cloud non solo sulla sua piattaforma, ma anche su quelle di altri cloud provider.
2 errori da evitare
Una prima raccomandazione è di non dimenticare di completare un’attenta analisi del contratto di servizio o SLA (service level agreement).
Non meno importante è stabilire quali misure il cloud provider predispone per proteggere l’utente in caso di perdite di dati, ma anche quali sono le sue politiche sui dati raccolti circa il funzionamento dell’infrastruttura, e quali sono le opzioni disponibili in caso si desideri migrare i propri dati e le misurazioni raccolte dal provider su un altro servizio cloud o su un data center interno.