Cloud Computing e Conservazione Sostitutiva : si può fare! Ma serve un sistema ibrido!

Pubblicato da

Il cloud computing non è semplicemente l’ultimo termine di moda per riferirsi ad Internet. Sebbene Internet costituisca le necessarie fondamenta per il cloud computing, la nuvola è un qualcosa di più della semplice Internet. La nuvola, termine italiano, è dove potrete utilizzare la tecnologia informatica desiderata o il relativo software, solo per il tempo che serve e non per un minuto di più. Per usare la nuvola non dovrete installare nulla sul desktop e non pagherete ciò che non state usando ed inoltre la nuvola può essere sia software sia un’infrastruttura hardware e si divide in privata e pubblica. Tipicamente il software che è residente sulla nuvola è un’applicazione a cui accedete tramite il Web. Quando un servizio è in cloud computing  ha comunemente queste caratteristiche: il servizio e accessibile tramite un Browser, non è necessario alcun investimento finanziario iniziale, viene pagato solo in base al suo effettivo utilizzo, viene identificato come software as a service (SaaS) e soprattutto non è necessaria alcuna infrastruttura IT. Ma quali sono i veri vantaggi delle infrastrutture basate sulla nuvola ? Beh, prima di tutto non esistono le licenze software, gli aggiornamenti dei fornitori sono completamente trasparenti per gli utenti, si ha un’automatizzazione e gestione delle più complesse politiche di disaster recovery, non esiste hardware sofistico da gestire, non esistono investimenti in conto capitale da ammortizzare, c’è la possibilità di aggiungere capacità a mano a mano che serve ed infine maggiore sicurezza. Su quest’ultimo vantaggio, proprio in merito alla sicurezza della nuvola, esistono vari punti di vista e varie tesi che si contrastano tra di loro. Io personalmente credo, come molti altri esperti del settore, che la sicurezza della nuvola sia maggiore dell’infrastruttura tradizionale, solo e soltanto se si applicano le giuste procedure e soprattutto se si utilizza un sistema ibrido di cloud computing. Il non sapere dove stanno i propri server tuttavia, porta nella nuvola ad un interessante vantaggio in termini di sicurezza, poiché diventa quasi impossibile per un qualsiasi hacker utilizzare le tradizionali strategie da attacco per cercare di compromettere le vostre macchine. A questo punto invece di discutere sugli evidenti  vantaggi della nuvola in termini di costi, discuterò dell’ affidabilità e della sicurezza di questa tecnologia di virtualizzazione, proprio per la corretta ed a norma conservazione dei documenti informatic ed informazioni digitali. La domanda che mi pongo è se il cloud computing è adeguato per offrire servizi di fatturazione elettronica è conservazione sostitutiva.

Prima di rispondere a questa interessantissima domanda, dobbiamo analizzare tutte le possibili soluzioni  che possano migliorare la sicurezza e la privacy del cloud computing, considerando anche un sistema ibrido della nuvola classica. Quando un’azienda offre un servizio, sia esso nella nuvola o in un data center tradizionale, normalmente deve prevedere uno SLA che identifica alcune metriche di base che è necessario dover garantire per una maggiore e migliore sicurezza. Nella nuvola è stato ampiamente dimostrato, grazie anche alla semplicità nell’implementazione di tecniche di ridondanza, che un sistema così fatto garantisce una disponibilità del 99,99%. Vale a dire, che il nostro sistema potrà al massimo risultare inaccessibile per allo più 5 minuti e 15 secondi nel corso di un anno. Siamo certi di poter garantire la stessa disponibilità in un’infrastruttura tradizionale? Certamente sì! Ma quanto costerebbe e quante procedure sarebbero necessarie? Di contro, la nuvola presenta alcuni problemi di affidabilità soprattutto per la gestione dei dati persistenti, poiché le istanze virtuali tendono ad avere una disponibilità più bassa delle loro controparti fisiche ed inoltre la probabilità di avere dati corrotti è più alta nella nuvola che in un’infrastruttura tradizionale. Il lettore a questo punto potrebbe già arrivare ad una conclusione affrettata: il cloud computing non può essere assolutamente utilizzato per la conservazione sostitutiva. A maggior ragione le preoccupazioni legate alla sicurezza nella nuvola, riguardano anche aspetti legali e di conformità agli standard. Inoltre manca una politica di sicurezza focalizzata a rendere sicuro il perimetro, che nella nuvola non esiste e vi è un profilo di rischio molto alto, visto che le tecnologie di virtualizzazione possono avere proprie vulnerabilità e quindi permettere nuove tipologie di attacco.
Un altro grave problema della nuvola è che le leggi e gli standard sono in effetti molto in ritardo per quanto riguarda le tecnologie di virtualizzazione, poiché assumono che ogni server sia un’entità fisica distinta. Se poi consideriamo che i dati nella nuvola potrebbero essere soggetti a citazioni da altre procedure legali e che in particolare in Europa si prevedono leggi molto rigide che riguardano il dove vengono memorizzati i dati sensibili e personali, il lettore avrà sicuramente già deciso: inutile continuare la lettura di questo testo, la nuvola è insicura per la conservazione sostitutiva!!!. Per controbattere il pensiero del lettore, dovrò assolutamente inserire e valutare delle soluzioni ibride di virtualizzazione e considerare il private cloud computing. Inoltre dovrò indicare delle misure di sicurezza che siano conformi anche alla privacy dei dati sensibili trattati. Vediamo dunque cosa si può fare per rendere il cloud computing adatto alla conservazione sostitutiva. A questo punto la prima azione da fare nel proprio private cloud computing, è quella di utilizzare un file system cifrato. Cifrare il proprio file system separatamente della nuvola, sia essa pubblica o privata, assicura che i dati e i documenti memorizzati siano perfettamente al sicuro da qualsiasi intrusione, poiché la chiave per decifrare le vostre istanze la conoscete solo e soltanto voi, o almeno così si spera. Nel momento in cui utilizziamo dei file system cifrati all’interno della nostra virtualizzazione, potremo memorizzare anche dei dati sensibili e un hacker dovrebbe, proprio grazie all’utilizzo di server virtuali, compromettere non solo separatamente tutti gli application server utilizzati nel private cloud computing, ma dovrà anche decifrare i dati memorizzati. E questa è una procedura davvero molto complicata per una persona malintenzionata. A questo punto i requisiti imposti dalle legislazioni anche italiane, possono essere completamente soddisfatte, poiché impiegherete i vantaggi della nuvola con una piccola parte della logica applicativa del vostro software su un’infrastruttura tradizionale. In questo modo si avrà sempre una copia di backup cifrata ed archiviata in locale. Se pensiamo al perimetro della nuvola, è chiaro che dovremo sempre considerare dove sono effettivamente localizzati i data center utilizzati per la virtualizzazione. Il problema del cloud computing pubblico è che il vostro fornitore non rivelerà mai dove sono localizzati i suoi data center, mentre con il private cloud computing si potrà sempre e comunque fare riferimento ad un luogo fisico di conservazione. In questo modo viene anche soddisfatta la direttiva europea sulla protezione dei dati, la 95/46/EC che obbliga i paesi comunitari a proteggere i dati personali e pone vari vincoli dove tali dati possono essere memorizzati. Stesso modo se consideriamo il caso italiano, soprattutto riguardo alla legge 196/03, potremo soddisfare alla lettera i requisiti posti dalla suddetta legge, implementando un’architettura mista che preveda componenti virtualizzati e fisici. Il cloud computing ibrido potrebbe essere la scelta ottimale proprio per la conservazione sostitutiva. La sicurezza dei dati sensibili in merito proprio alla privacy, in un cloud computing ibrido, sono anche più sicuri rispetto alla protezione delle infrastrutture tradizionali. Tipicamente infatti nelle infrastrutture tradizionali vi sono vari perimetri di protezione molto spesso controllati da firewall esterni e da load balancer esterni che proteggono gli application server e i vari database utilizzati dal nostro software. Se un hacker riesce ad abbattere la protezione perimetrale più esterna riuscirà sicuramente a compromettere l’intera infrastruttura. Nelle tecnologie di virtualizzazione e di cloud computing è molto più difficile riuscire ad attaccare i vari segmenti di rete, perché semplicemente non esistono. In altre parole, ogni server dovrà essere attaccato indipendentemente dagli altri e quindi l’accesso ad una zona protetta non espone automaticamente tutti i server presenti in quella zona e poiché le regole dei firewall sono controllati da remoto, un intruso non ha una singola macchina da attaccare per compromettere un intero segmento. Se capita che un malintenzionato cerchi di entrare in un sistema protetto, la prima azione che farà sarà quella di seguire un port Scan di una determinata macchina di cui conosce l’indirizzo IP. Fortunatamente nella nuvola questo approccio fallirebbe sicuramente, poiché non è possibile risalire in alcun modo ad un’architettura di rete tramite la tecnica delle scansioni delle porte, infatti le richieste che il nostro malintenzionato indirizzerà alle singole porte non riceveranno risposta poiché le porte non attive andrebbero direttamente in time-out invece che rispondere con un accesso negato. Se pensiamo poi come i nostri documenti dovranno resistere ai disastri naturali, si capisce facilmente come la tecnologia della virtualizzazione permetta di automatizzare i processi di disaster recovery. Nella nuvola ibrida, molto spesso un incidente che potrebbe essere catastrofico in un tradizionale data center, diventa un problema di facilissima soluzione. Se anche tutta la vostra infrastruttura passata sulla nuvola dovesse sparire improvvisamente, sarà sempre possibile organizzare un’altra nuvola o un data center fisico con i documenti recuperati dalle varie istanze della nuvole ed in modo molto semplice. Immaginiamo, per esempio, come ripristinare un application server o un load balancer, in una nuvola sia molto più semplice e meno costoso rispetto ad un’infrastruttura tradizionale. In conclusione, possiamo elencare alcuni dei requisiti necessari e fondamentali per utilizzare il cloud e le sue tecnologie in un ambiente di conservazione :

– rispetto degli standard fissati dalla normativa di settore;
– solidità tecnologica e di servizio nel tempo;
– accesso dei dati, in entrata ed in uscita, in forma criptata, tipo PGP;
– ottenere la certificazione ISO 270001 o la ISO 20000:2005
– ottenere la certificazione ISO/TS 21547:2010 per la gestione e la conservazione della cartella clinica elettronica e della documentazione sanitaria;
– applicare il cloud in reti privati e non reti pubbliche;
– verificare che la riservatezza dei dati memorizzati in cloud, sia adeguata per la tipologia documentale trattata;
– avere una risorsa esperta nel cloud e non un sistemista di infrastrutture tradizionali;
– non realizzare il cloud in “casa”, ma affidarsi a terze società affidabili e con le dovute certificazioni;
– nominare un responsabile della conservazione sostitutiva che sia anche un esperto informatico e che conosca le tecnologie della nuvola;
– rivolgersi ad un avvocato esperto in ICT, per verificare l’idoneità del contratto di servizi IT anche nel cloud;
– redigere uno SLA di riferimento adeguato solo per la nuvola;
– effettuare periodicamente e come indicato dalla normativa vigente, copie di backup anche al di fuori della nuvola;
– virtualizzare solo e soltanto istanze cifrate dei propri application server;
– verificare la sicurezza dei meccanismi di clustering delle vostre applicazioni sulla nuvola;
– rendere persistenti i dati nella nuvola, per mezzo di storage a blocchi e snapshot cifrate.

A questo punto il lettore avrà sicuramente delle idee più chiare sulla possibilità di implementare la conservazione sostitutiva in cloud computing. Di certo, non è ancora attualmente possibile spostare i nostri documenti informatici in una nuvola pubblica, ma si deve comunque e necessariamente utilizzare un sistema ibrido, che permetta di avere i vantaggi della nuvola e che nello stesso momento permetta anche di avere la rispondenza nella sicurezza di tutti i requisiti di legge italiani ed europei, tramite l’utilizzo di sistemi e infrastrutture tradizionali.

3 commenti

  1. Blog Nizza e informativo. Davvero il cloud computing è molto utile per la memorizzazione delle informazioni e al giorno d’oggi, è molto utile per nel mondo degli affari e personalmente perché fornisce sicurezza ai nostri dati, che è una cosa molto buona. Ho letto che il virtual data room e anche una grande cosa per archiviare i nostri dati riservati e per maggiori informazioni visita qui –

    http://www.rrdonnelley.com/venue/it/

    Grazie per averlo condiviso.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.