Il mese scorso il più grande fornitore di servizi cloud europeo, OVHcloud, ha subito un incendio catastrofico che ha distrutto uno dei suoi data center e ne ha danneggiato uno vicino. I clienti OVHcloud con dati nel data center distrutto che avevano le proprie misure di ripristino di emergenza in atto o che avevano acquistato i servizi di backup e ripristino di emergenza off-site offerti da OVHcloud hanno potuto riprendere le operazioni. Quelli che non avevano nulla di tutto ciò hanno invece perso per sempre i loro dati.

Alcune perdite di dati sono state totali come quelle descritte su Twitter da rounq.com, ancora in attesa di backup e ridondanze che pensava fossero già in atto. Le aziende che invece disponevano di un qualche tipo di backup off-site sembrano essere di nuovo attive e funzionanti, come nel caso del Centre Pompidou.

Ci sono poi aziende che hanno ripreso le operazioni ma che al tempo stesso hanno anche riconosciuto una perdita di dati più o meno grave come Facepunch, publisher del noto videogioco Rust, in cui si creano ambienti virtuali che vengono archiviati come file su un server. Gli ambienti che i giocatori hanno costruito e che erano archiviati nel data center distrutto non ci sono più, anche se Rust continua comunque a funzionare.

Il cloud non esiste

Niente può riassumere la realtà del cloud computing meglio di questo incidente: non esiste il cloud, ma c’è solo il computer di qualcun altro. E se questo qualcun altro è il vostro fornitore di servizi cloud e i suoi computer non sono adeguatamente protetti, le conseguenze possono essere disastrose. Bisogna infatti ricordare sempre che il cloud non è una magia e che nulla ferma le leggi fondamentali della fisica e del caos. Sembra che OVHcloud avesse tutto il necessario per prevenire e fermare un incendio del data center, ma alla fine non è stata in grado di farlo.

Bisogna anche tenere a mente che il servizio cloud che utilizzate, sia esso IaaS, PaaS o SaaS, è solo un altro data center come quello che potreste costruire voi stessi, con la differenza che si trova in un altro posto gestito da altre persone. Possono essere i migliori in quello che fanno, ma né loro né i sistemi che impiegano sono infallibili. Questo è il motivo per cui dovreste sempre disporre di piani di backup e ripristino di emergenza. La speranza, logicamente, è che non dobbiate mai usarli, ma averli può fare un’enorme differenza.

Un altro aspetto importante da considerare nella vicenda di OVHcloud è quanto tempo sta impiegando il provider per portare online capacità aggiuntiva. Pur essendo un fornitore cloud così importante, OVHcloud sta ancora faticando per sostituire la capacità di elaborazione e archiviazione persa più di un mese fa. Sembra che stia facendo del suo meglio, ma non può fare miracoli. E’ solo un’altra azienda che cerca di costruire un data center. E, torniamo a ripeterlo, non c’è il cloud; c’è solo il computer di qualcun altro.

Seguite la regola del 3-2-1

La regola del 3-2-1 afferma che dovreste avere almeno tre versioni dei vostri dati su due supporti diversi, uno dei quali è off-site. E la regola si applica ai dati archiviati in un cloud pubblico. Molti clienti OVH hanno affermato di aver archiviato i propri backup su un altro server nello stesso data center che è bruciato, il che significa che i loro dati primari e di backup sono comunque stati distrutti dall’incendio.

Altri hanno ritenuto che fosse responsabilità di OVH proteggere i loro dati dall’incendio di un data center e quindi non hanno pensato affatto ai backup. Il servizio opzionale offerto da OVH ha fatto sì che i backup venissero copiati in un altro data center. I clienti che hanno optato per questo servizio hanno potuto ordinare nuovi server e ripristinare le loro operazioni da questo altro backup. Alcuni clienti non hanno utilizzato il servizio e, a meno che non abbiano fornito un altro backup, i loro dati sono spariti. Le conseguenze dell’ignorare la regola del 3-2-1 non perdonano quando accade qualcosa del genere.

Close up on a red panic button with the text Distaster Recovery with blur effect. Concept image for illustration of DRP, business continuity and crisis communication.

Scoprire se i contratti di servizio garantiscono il backup

Dovreste sapere come viene eseguito il backup delle risorse nel vostro data center privato, ma sapete anche come sono protette le vostre risorse cloud? I backup vengono archiviati in un archivio ridondante in una posizione aggiuntiva rispetto alla risorsa di cui eseguono il backup? Leggete il vostro contratto di servizio per vedere quali protezioni include. Menziona anche il backup? Si parla di ripristino di emergenza?

La maggior parte dei contratti cloud non riporta queste informazioni e, anche se lo fa, specifica spesso che i backup e il ripristino di emergenza sono responsabilità dell’utente. Se i fornitori cloud offrono un servizio di backup opzionale, è vostra responsabilità aderirvi. Assicuratevi che tutto ciò che pensate stiano fornendo sia garantito per iscritto.

Se il contratto include il backup, ciò indica esplicitamente come il fornitore archivia i dati di backup e se questi sono archiviati in un sistema completamente diverso in una regione e in un account completamente diversi? In che modo il loro sistema di backup vi proteggerà in caso di disastro come l’incendio di OVH? I backup potrebbero essere in un data center vicino che potrebbe essere danneggiato dallo stesso incendio? Se il vostro fornitore non risponde in modo esauriente o resta sul vago, insistete o cambiate fornitore.

Sembra che OVH si stia facendo in quattro per aiutare i clienti il più possibile. Ma alla fine, se i vostri dati primari e di backup sono stati entrambi archiviati nel data center distrutto, saranno persi per sempre. Anche se un cliente ha archiviato una copia aggiuntiva nel vicino data center, questa potrebbe essere andata distrutta a causa dei danni causati dal fumo. OVH sta letteralmente pulendo l’interno dei computer danneggiati dal fumo per riportarli online, ma alcuni di questi sistemi potrebbero non ripristinarsi e i dati memorizzati su di essi potrebbero essere persi per sempre.

Alcuni fornitori di servizi di archiviazione cloud sono trasparenti sulla protezione dei dati. Se cercate le sezioni che riguardano il backup e il ripristino sui loro siti web, potreste trovare una pagina in cui si legge che il backup dei vostri dati è una vostra responsabilità. Oppure la pagina potrebbe descrivere in dettaglio il tipo di backup fornito e il luogo in cui sono archiviati i dati.

Altri fornitori sono opachi e non rendono prontamente disponibili tali informazioni. Provate a ottenere una risposta semplice da parte loro sul fatto che il backup e il ripristino siano o meno una vostra responsabilità. Se un rappresentante di un fornitore vi dice che i vostri dati sono al sicuro e che non dovete preoccuparvi del backup e del ripristino, richiedete tutti i dettagli del caso per iscritto. Se disponete di un servizio di backup e ripristino di emergenza, assicuratevi che protegga da tutti i disastri, inclusi gli attacchi cyber. Qualcosa che distrugge fisicamente il data center non è infatti l’unica minaccia di cui dovete preoccuparvi. Vi serve infatti anche una protezione da minacce come ransomware e attacchi in generale.