Quella di Cloud, o nuvola informatica, è un’idea sfruttata dai progettisti di topologie di rete fin dagli anni ’90, ed era inizialmente usata per indicare Internet, o meglio un insieme indefinito di computer, server, reti e applicazioni, in grado di fornire un servizio senza che si conoscano i dettagli dell’infrastruttura.

Con l’introduzione, da parte di alcuni provider, di algoritmi capaci di offrire potenza di calcolo in time-sharing e, soprattutto, della virtualizzazione, il Cloud Computing è diventato uno strumento potente con cui organizzazioni grandi e piccole hanno ottenuto flessibilità e sprecato meno denaro in infrastrutture tecnologiche poco scalabili e soggette a rapida obsolescenza.

Il vero boom del Cloud computing va però fatto risalire alla seconda metà degli anni 2000, con il lancio di Amazon Web Services (AWS) nel 2006, Microsoft Azure nel 2008, seguito a pochi anni di distanza dalla SmartCloud di IBM e dall’Oracle Cloud.

Le nuove piattaforme hanno consentito di aggiungere al concetto di scalabilità, proprio delle soluzioni basate sul Cloud, anche quello di semplicità d’uso e di gestione, con l’IT visto nel suo complesso come servizio, fruibile anche da chi non dispone di conoscenze specifiche o di uno staff specializzato.

Sofware, hardware e piattaforme on demand

Il Cloud si divide per servizi offerti e per modalità di erogazione degli stessi. I servizi possono essere essenzialmente applicazioni, indicate con la sigla SaaS (software as a service), intere piattaforme, indicate come PaaS (platform as a service) o infrastrutture, indicate con IaaS (infrastructure as a service). L’abbonamento a un servizio Cloud può quindi prevedere una o più di queste attività, che verranno erogate dal provider senza che ci si debba preoccupare di cosa avviene in sala macchine e governando il tutto tramite un sistema di Api e semplici interfacce desktop e Web.

what-is-cloud-_500

In un servizio SaaS gli utenti potranno accedere a programmi o database in modalità on-demand, generalmente pagando per quello che effettivamente si consuma e attivando un abbonamento mensile o annuale. L’accesso al software da parte degli utenti avviene attraverso un client o un browser, senza dover installare localmente alcunché e senza impegnare la capacità di calcolo dei sistemi locali. Inoltre col crescere delle esigenze, ovvero del numero di persone che devono accedere al servizio, si ottiene un’immediata scalabilità con abbonamenti di livello superiore.
La principale criticità dei servizi SaaS è dovuta al fatto che i dati degli utenti risiedono fisicamente sui server del provider, e quindi sono potenzialmente esposti ad accessi non autorizzati.

Con soluzioni IaaS, le più ‘primitive’ tra le attività del Cloud, ciò che l’utente acquista è invece il corrispettivo di hardware, quasi sempre virtuale, e di servizi connessi al suo utilizzo. Permette di disporre di diversi server, ciascuno con ram e storage scalabili secondo necessità, configurati in sottoreti ad hoc, per esempio per creare cluster per distribuzione del carico o ridondanza, senza dover adibire locali e senza doversi occupare della manutenzione ‘fisica’ e dell’obsolescenza dell’hardware. L’installazione e la gestione del software e dei sistemi operativi, da far girare su queste macchine, è invece ancora a carico del reparto IT del cliente.

Il PaaS serve invece principalmente a chi si occupa di sviluppare software. Il provider mette a disposizione tutto il necessario per eseguire e testare le applicazioni, dall’hardware al sistema operativo, creando completi ambienti virtuali, in qualche caso capaci di adattarsi automaticamente al crescere delle richieste delle applicazioni.

Privato, pubblico o ibrido?

Un sistema Cloud può essere fornito all’utente in due modalità che hanno implicazioni sostanzialmente diverse in termini di costi e di sicurezza. La prima è detta Private Cloud e dei concetti di flessibilità e leggerezza connessi alla nuvola ha solo gli aspetti legati all’interazione con l’utente finale. Il servizio in questo caso è infatti fornito direttamente dal reparto IT dell’azienda, che deve reimpostare e riconfigurare il proprio datacenter, spesso sostenendo costi ingenti, per adattarlo a operare in questa modalità, così da fornire servizi on-demand all’intera organizzazione.

È indicato per realtà molto grandi, magari intenzionate a diventare esse stesse provider di servizi Cloud per altre società o singoli clienti, con un reparto IT capace di farsi carico di ogni problema relativo alla sicurezza e alla reliability del sistema. Rispetto a un datacenter tradizionale, usando il Cloud si ottiene generalmente una gestione più efficiente delle risorse e una grande semplicità del deployment dei servizi ai vari reparti dell’organizzazione, anche se molto delocalizzata. Il Private Cloud consente anche una precisa ripartizione dei costi di utilizzo dell’infrastruttura IT per ogni unità operativa aziendale.

Il vero Cloud, quello alla portata di tutti, dai privati alle grandi aziende, è però quello pubblico. In questo caso i servizi sono messi a disposizione degli utenti da un provider tramite Internet. Tutto, dai dati alle applicazioni, transita e gira sui sistemi del fornitore. Per garantirsi maggiore sicurezza e non rischiare di vedere il proprio business bloccato da semplici problemi di connessione, le aziende possono optare per soluzioni di collegamento diretto, spesso offerte come servizio opzionale dallo stesso provider.

Quanto alla sicurezza dei dati archiviati presso il provider, le medie e grandi organizzazioni si affidano a servizi di terze parti, che possono agire direttamente presso il fornitore del Public Cloud per limitare i rischi di intrusioni.

Se le nuove aziende e le piccole realtà in molti casi oggi optano per il Public Cloud, le società che necessitano ancora di un servizio IT strutturato preferiscono mescolare alcuni servizi forniti esternamente con attività svolte all’interno, magari in Private Cloud. Questo approccio è detto Hybrid Cloud, ed è quello che lascia all’azienda la massima libertà di modificare i propri asset in funzione delle mutate necessità. Le diverse nuvole di un sistema ibrido, seppur separate, possono facilmente comunicare tra loro, operando all’unisono e in modo trasparente per l’utente. In questo modo si potranno per esempio gestire localmente le pratiche di sicurezza relative ai dati sensibili, ed esternalizzare i servizi più comuni, mantenendo comunque tutta la praticità e flessibilità dell’approccio on-demand.

I rischi del Cloud pubblico e privato

Al Cloud pubblico è generalmente associato il rischio relativo alla fuoriuscita di dati sensibili dal perimetro aziendale. In realtà una delle maggiori preoccupazioni relative a questo servizio, almeno nelle grandi aziende, riguarda piuttosto un rovescio della medaglia della sua semplicità di implementazione. Singoli reparti o semplici dipendenti, in assenza di rigide regole di comportamento, possono infatti acquistare servizi di Cloud pubblico anche senza l’assenso o il controllo del reparto IT. Questo rende incontrollabili le fuoriuscite di dati aziendali che possono compromettere il rispetto, da parte dell’azienda, di norme come quelle sulla privacy dei clienti.
I pericoli a cui può andare incontro un Private Cloud sono invece relativamente più numerosi, poiché connessi a errori di implementazione dell’infrastruttura.
Il primo problema è legato all’abuso di servizi, che porta all’aumento incontrollato delle macchine virtuali. Alcune saranno spente per gran parte del tempo e spesso vengono dimenticate quanto si tratta di aggiornarne il software per risolvere problemi di sicurezza, salvo poi riaccenderle settimane più tardi lasciandone irrisolte le vulnerabilità.

Anche l’uso di Api non sicure può compromettere un sistema privato, come l’impiego di qualsiasi altro componente software condiviso. Inoltre la tendenza nelle organizzazioni che si dotano di Private Cloud è quella di ridurre il ruolo del settore IT al semplice controllore del buon funzionamento del sistema Cloud, lasciando ai singoli reparti massima autonomia nella gestione dei servizi. In questo modo si corrono rischi connessi alla mancanza di una supervisione complessiva del sistema.