BARCELLONA – L’incontro europeo che si è tenuto qualche giorno fa a pochi chilometri dal capoluogo catalano, organizzato da NetEvents allo scopo di aprire un confronto tra media, analisti e vendor su alcuni dei principali temi di evoluzione tecnologica applicata al business di impresa, ha confermato come oggi, soprattutto nel pieno della rivoluzione digitale, le scelte IT e di digital transformation siano fortemente tra loro correlate. Lo si è potuto rilevare dai temi identificati, proposti come singoli focus, ma in realtà molto interdipendenti: il cloud journey, l’evoluzione di questo modello in chiave security, il ruolo di un networking intelligente, la costruzione, in questo scenario, di una nuova generazione di data center e di ambienti informativi, la capacità di integrare nelle architetture l’IoT e infine, immancabili, AI e machine learning, per una security, “dal silicio al cloud”, che consenta al tutto di operare a un livello di protezione sempre maggiore. Tutte parti di uno stesso insieme.
Cloud, sicurezza e data center: percorsi, tecnologie e competenze
Il modello as a service è ormai sempre più il riferimento elaborativo per le aziende.
Se guardiamo le ultime previsioni Gartner ne abbiamo la conferma: 214,3 miliardi di dollari la spesa stimata in servizi di public cloud (Bpaas, Paas, Iaas, Saas) a livello mondiale per il 2019, con una crescita del 17,5% rispetto al 2018 (lo scorso anno era di 182,4 miliardi di dollari, mentre sarà di ben 331,2 miliardi di dollari nel 2022). Tutte le componenti crescono, ma la vera spia che indica come il cloud sia ormai un modello primario per la costruzione di data center ibridi lo si rileva soprattutto dal Paas, (+21,8%). Queste piattaforme sono infatti al centro della trasformazione, integrazione e governance di servizi e di nuovo sviluppo applicativo che sta cambiando le operations e la morfologia dei sistemi informativi aziendali. Da non scordare, infine, che quasi il 19% dei budget IT dedicati al cloud viene proprio impiegato per gestire questo passaggio, con servizi di consulenza per migrazione e implementazione e che, sempre secondo Gartner, dovrebbero crescere, per il 2022, fino al 28%.
Ma spostare applicazioni mission critical e disegnare un vero ambiente informativo ibrido (cloud-multicloud-private cloud-on premise/legacy) non può prescindere da due aspetti ben presenti oggi nella mente (e nei budget) dei CIO: governance e security, senza i quali il rischio di vulnerabilità e fragilità per il business diventa elevatissimo.
La governance è un’esigenza primaria. I sistemi informativi vanno infatti ormai articolandosi in una serie di oggetti distribuiti e intelligenti, disponibili in differenti modalità di utilizzo, on premise, cloud, multicloud, dove il punto fondamentale, per l’IT, è la capacità di garantire una corretta integrazione e orchestrazione dei servizi. Anche perché, se è vero che la gestione multicloud va assumendo, secondo IDC, un posto di sempre maggior rilievo nelle preoccupazioni e nei budget dei CIO, questo non significa gestire un utilizzo stand alone di differenti servizi dei cloud provider, quanto, per evitare nuovi lock-in e silos cloud, la capacità di integrare al meglio i diversi cloud a cui i sistemi informativi devono attingere come a un unico insieme.
“Il cloud è un tema di competizione – ha detto Ksenia Efimova, Senior Research Analyst Emea Telecoms and Networking di IDC – Sempre di più le aziende devono tenere, da un lato, fidelizzati i propri clienti e dall’altro cercarne di nuovi, lanciando e innovando prodotti e servizi che non sarebbe possibile proporre al mercato in tempi adeguati senza un’infrastruttura IT orientata alla cloud service orchestration. In più, le imprese di diversi settori, ad esempio le banche e le assicurazioni, spesso propongono offerte congiunte al mercato: anche in questo caso l’orchestrazione di servizi cloud e l’integrazione infrastrutturale (open architecture) diventano requisiti fondamentali”.
Problemi? Numerosissimi. Tra questi l’analista ne cita soprattutto quattro: costi, perché definire queste infrastrutture richiede risorse e investimenti non banali; tempo, perché serve una pianificazione almeno a 2-3 anni basata su una vision evolutiva precisa; sistemi aperti, perché per disegnare questa flessibilità bisogna avere il coraggio di cambiare ambienti legacy ormai difficili da far evolvere; skill, che mancano, con la conseguenza che molte aziende continuano a esternalizzare anche parti importanti dei propri sistemi informativi.
Orientarsi alla logica “Lego things”
L’obiettivo è in ogni caso disegnare un’infrastruttura sempre più trasparente alle applicazioni, dove quest’ultime possano agevolmente migrare da on premise al cloud e viceversa. Naturalmente, a supporto di queste attività, i vari player mettono a disposizione numerosi servizi e tool di supporto che consentono, ad esempio, di ottimizzare l’utilizzo del cloud pubblico, aiutando a definire le risorse più adatte all’applicazione, a mappare gli utilizzi e trasformarli in indicatori di controllo di spesa. E ancora: verificare l’allineamento tra policy di security e compliance, misurare in real time gli SLA, fare un monitoring costante delle applicazioni nelle loro distribuzioni on premise-cloud-on premise; gestire prestazioni e disponibilità del networking rispetto a un ridisegno delle applicazioni in microservizi, poi riaggregati all’interno di container applicativi per distribuire al meglio applicazioni e carichi di lavoro.
Tuttavia oggi il mercato non propone ancora piattaforme di governance e orchestration in grado di coprire end-to-end tutte queste fasi; è un lavoro ancora in gran parte sulle spalle dell’IT: “Tutto questo, unitamente a un aumento dei livelli di automazione, alla diffusione pervasiva di AI e machine learning nelle infrastrutture e nella governance di ambienti informativi sempre più complessi e difficili da gestire manualmente, determina nelle figure IT un radicale cambiamento di competenze, sempre più orientate alla logica ‘Lego things’, mattoncini, sia hardware sia applicazioni e servizi cloud, da muovere, aggregare, orchestrare secondo le esigenze di utilizzo degli utenti finali” ha dichiarato Joe Baguley, Vp e CTO Emea di VmWare.
Cloud security: creare un ambiente protetto per ogni oggetto, guardare al business impact
Sul fronte security, se è vero che il cloud provider ha la responsabilità di proteggere l’infrastruttura, in un ambiente aperto e ibrido come quelli che si vanno configurando, spetta ai sistemi informativi presidiare tematiche di identity management e access control, nonché la sicurezza delle connessioni tra i diversi ambienti cloud e il data center.
“Si deve attuare un modello di responsabilità condivisa – ha detto Rik Turner, Principal Analyst, Ovum – Nelle tre declinazioni cloud, Iaas, Paas e Saas, le varie componenti (dati, applicazioni, runtime, middleware, virtualizzazione, sistemi harware e networking) devono essere correttamente ripartite, in termini di responsabilità di security, tra utenti e cloud provider. Ed è solo sugli elementi di pertinenza che gli utenti devono indirizzare i loro investimenti”.
“Le imprese vogliono muoversi velocemente al cloud – ha aggiunto Peter Galvin, Chief Strategy e Mkt Officer di nCipher – ma per farlo in modo corretto serve definire policy individuali, specifiche per i diversi utenti, sapere dove questi si trovano fisicamente, cosa fanno e cosa utilizzano”.
“Quando vai in cloud – ha precisato Philip Griffiths, Head of Emea Partnership di NetFoundry, non devi ragionare con l’obiettivo di proteggere un unico grande perimetro, ma serve focalizzare ogni diversa componente”.
“Attualmente l’approccio usato più di frequente in ambito security è di tipo reattivo, con patching e altro. Circa l’80% degli investimenti in IT security – ha precisato Baguley – è dedicato a rincorrere le minacce. Bisogna invece ribaltare la piramide e spostare la maggior parte degli investimenti sul fronte preventivo. Abbiamo oggi centinaia di prodotti di security dedicati a proteggere l’infrastruttura e i devices, e francamente i risultati non sono stati fin qui eclatanti. E’ fondamentale – ha aggiunto il Cto – proteggere soprattutto le applicazioni e i dati, rendere la sicurezza intrinseca alle applicazioni”, seguendo precise policy che, definite sulla base di differenti profili di utente, gestiscano i permessi di accesso.
Concordando con questa impostazione, Michael Kagan, Chief Technology Officer Mellanox Technologies, ha ricordato come fino ad oggi si sia seguito, per la protezione del datacenter, l’approccio dei confettini M&M’s, duro fuori e morbido dentro, cioè con firewall di protezione esterni ma con le risorse interne assolutamente permeabili agli attacchi una volta penetrata la barriera di protezione. “Con il cloud ogni singola macchina nel data center deve invece essere protetta, segregando infrastrutture, applicazioni e sistemi, creando attorno ad ogni oggetto un nuovo security domain isolato che limiti la superficie di attacco, migliori il controllo, isoli le applicazioni malevole che aggirano agevolmente le policy di security, protegga i dati degli utenti e il data center nel suo complesso” ha concluso Kagan.
Tuttavia la security non è ancora tra le principali priorità del top management, resta soprattutto un problema del Cio/Ciso mentre “In un contesto dove tool sofisticati sono facilmente disponibili sul black market – ha detto Joel Stradling, Research Director di Global Data – dove il cyber terrorism, spesso supportato dagli Stati, continua a migliorare le proprie tecniche di attacco e punta a una disruption di tipo politico ed economico, aumenta da un lato la dipendenza di imprese e organizzazioni da sistemi intelligenti di IT automation e dall’altro le infrastrutture critiche sono sempre più on line”.
“Ma perché – si è chiesto con una certa veemenza Ray Ottey, Fellow Cybersecurity Practitioner di Verizon Enterprise Solutions – non devo capire nel dettaglio il business impact della security? Ha lo stesso valore di analisi che ha senso condurre quando un’azienda deve decidere un’operazione di merge&acquisition. Devo disegnare un modello operativo che rifletta correttamente il business risk, altrimenti il rischio è troppo elevato” conclude Ottey.
IoT, Edge e machine learning: verso ambienti IT “fluidi”
Dal prossimo anno, Gartner stima che il 75% delle imprese avrà implementato un modello multicloud o hybrid cloud e che dal 2025 il 75% dei dati sarà generato ed elaborato al di fuori dei data center. In più, ha ricordato Kagan, oggi abbiamo 4 miliardi di persone connesse, con oltre il 70% dei dati generato da consumer ed entro il 2020 vi saranno 50 trilioni di dati e 25 miliardi di oggetti intelligenti distribuiti ovunque. In questo scenario, dove è evidente la fragilità potenziale di ambienti aperti e distribuiti rispetto alle frequenti e aggressive tecniche di attacco, giungono in aiuto dei security specialist software di AI e modelli di machine learning che, attraverso l’autoapprendimento continuo derivato dall’analisi dei pattern di attacco, effettuano una costante scansione di reti e sistemi in rapporto alla conoscenza delle diverse tipologie di attacchi e di malware. “Serve aumentare il livello di automazione per rispondere a minacce sempre più sofisticate – ha detto Fran Howarth, Practice leader Security di Bloor Research – Le tecnologie di machine learning forniscono già oggi una serie di informazioni preziose per contestualizzare la conoscenza di ciò che sta accadendo, eliminano i falsi positivi, orchestrano in modo intelligente le azioni automatiche di protezione e di risposta agli attacchi considerando numerosissimi parametri. Tuttavia – ha continuato l’analista – siamo all’inizio e ci sono ancora grandi limitazioni da superare quali una qualità dei dati non elevata, la necessità di formare i sistemi all’apprendimento, compito non semplicissimo, ed una complessità indotta da sistemi di security legacy oggi installati nelle aziende”.
Non si è parlato in modo specifico di edge computing durante l’incontro NetEvents ma nella metamorfosi in atto nei sistemi informativi, non si può non accennare a questo disegno architetturale come forma topologica ideale per l’elaborazione, alla periferia della rete, dei dati provenienti soprattutto da oggetti intelligenti integrati con sensori. Secondo IDC si avrà nel 2022 una spesa IoT di 1.052,8 miliardi di dollari a livello mondiale e una crescita media di 13,7%. In questo mondo di oggetti connessi che offre opportunità di sviluppo di nuovi business data driven, l’edge computing potrà avere un ruolo importante, anche sotto il profilo economico, verso ambienti informativi sempre più fluidi, flessibili, ma soprattutto in costante cambiamento nel loro adattarsi alle evoluzioni del business.