Cloud or Cloudy?
Scritto da Marco Ciavarella
Primavera. Un cielo terso con delle nuvole bianche che corrono all'orizzonte sono uno spettacolo meraviglioso, ma cosa succede quando le nuvole diventano scure e sono cariche di pioggia? Continuiamo il nostro viaggio tra le nuvole e vediamo insieme alcuni difetti e rischi del cloud computing.
Queste domande nascono a causa di una mancata definizione di uno standard internazionale adottato dai singoli paesi su come debba essere gestita la privacy e, data la natura del Cloud che è insita nel nella natura stessa di Internet, dalla completa frammentazione sul territorio mondiale della rete che la portano ed essere gestite con leggi solo nel suo tratto terminale (ovvero nei singoli paesi), ma non come una unica entità mondiale.
Per esempio, se il il centro che fornisce il servizio Cloud si trovasse in America, grazie al Patriot Act, il governo Americano può, legalmente, fare delle verifiche su quali dati abbiate memorizzato nei sistemi cloud e quali siano state le vostre ultime attività sulla rete senza che voi lo sappiate o ci sia una indagine ufficiale aperta, ma semplicemente basandosi sul sospetto che si possa essere un terrorista.
Altro esempio e se i sistemi Cloud sono distribuiti della Cina dove sarebbero soggetti alla censura del governo Cinese.
Il pensiero successivo è se le informazioni che memorizzate su un sistema Cloud sono veramente sempre Vostre e ne avete il diritto totale e incondizionato.
Facciamo un esempio: Facebook.
Non so quanti di voi abbiano mai letto il contratto che viene sottoscritto alla registrazione su Facebook (nel caso ve ne consiglio una attenta lettura, ), ma una paio di paragrafi in esso contenuti risultano esser molto interessanti. Un paragrafo dice che Facebook può registrare e combinare i tuoi dati, le tue scelte e le tue attività allo scopo di profilare il tuo comportamento e farti delle proposte commerciali e non.
Il seconda paragrafo, che spesso sfugge, sostiene che non si ha mai la sicurezza che i dati memorizzati su Facebook siano cancellati (Facebook dichiara che " è possibile che i contenuti rimossi vengano conservati come copie di backup per un determinato periodo di tempo (pur non essendo visibili ad altri)" (punto 2.2 del Legal Terms).
Ora, considerato che Facebook è un tipico servizio Cloud, lascio a voi la valutazione...
Altro tema scottante è la sicurezza.
Un sistema Cloud si deve far carico di molte problematiche relative alla sicurezza:
- nel trasferimento dati: i dati devono essere trasmessi su un canale con protetto (altrimenti, addio ai vostri dati personali...),
- delle interfacce: il sistema deve sempre essere sicuro che voi siate effettivamente l'utente che deve usare quel servizio/applicazione o che non ci sia un utente malizioso che si stia spacciando per voi,
- del dato: le vostre informazioni devono essere ben custodite e nessun malintenzionato deve poterle rubarle o decodificare,
- delle politiche di accesso degli utenti: voi dovete vedere solo i vostri servizi/dati e gli altri non devono poter accedere a nessuna delle vostre informazioni (a meno che non lo vogliate voi attraverso la definizione di una specifica politica di accesso o condivisione).
Per studiare e rispondere ai molti quesiti sulla sicurezza del Cloud, ci viene in aiuto la CSA (Cloud Security Alliance). La CSA è una organizzazione composta dai principali fornitori mondiale di servizi Cloud che promuove all'uso delle migliori pratiche per assicurare la sicurezza nel Cloud Computing. LA CSA definisce delle regole guida che ogni aderente deve adottare (al momento sono più di 30.000) che riducono drasticamente il rischio sulla sicurezza dei sistemi Cloud.
Sul loro sito è pubblicato uno studio molto interessante sui principali rischi del Cloud e ne consigliamo la lettura a chi volesse approfondire la tematica.
Un ultimo rischio meno noto, ma altrettanto importante, riguarda gli Standard.
Al momento, nel Cloud Computing non esiste uno standard de facto che possa essere adottato per far si che tutti i servizi erogati siano effettivamente indipendenti da chi li distribuisce tale da garantire l'interoperabilità.
Per esempio: Google Contacts ed iCloud di Apple sono entrambi servizi che memorizzano i contatti della rubrica, ma se volete che ci sia una sincronizzazione tra i contatti memorizzati sul servizio Cloud di Google e quello di Apple dovete utilizzare un programma di una terza parte perché i due sistemi non adottano lo stesso protocollo.
Volendo ragionare non nell'ottica dei dati gestiti dal servizio, ma del servizio stesso ci si rende subito conto un intero servizio non può essere "trasferito" da un fornitore ad un altro in maniera indolore. Più complicato ancora è come il servizio possa essere effettivamente esercito da uno o più sistemi che non siano di chi ha progettato l'intero servizio.
Un esempio di come si stia cercando di indirizzare la problematica lo da l'organizzazione OpenStack.
OpenStack è il frutto della collaborazione di sviluppatori e di esperti del Cloud Computing che hanno lo scopo di sviluppare una infrastruttura open source per l'implementazione di un Cloud privato o pubblico favorendone la scalabilità e l'interoperabilità tra entità diverse.
Riassumendo, quando si parla di Cloud bisogna sempre chiedersi:
- quali servizi vogliamo utilizzare, da dove verranno eserciti (localizzazione) e con quale livello di privacy e sicurezza verranno utilizzati/distribuiti.
- a quali rischi mi espongo nel caso di una "falla" nella sicurezza,
- come posso eventualmente "tirar fuori" dal Cloud il servizio ed i dati.
Certamente, una sfida del futuro sarà la definizione di formati aperti e portatili che permetteranno interscambio di dati tra i diversi servizi Cloud. Tale definizioni ne aumenteranno l'interoperabilità e l'affidabilità. Comunque bisogna tenere sempre presente che c'è il rischio che una volta entrati nella nuvola non se ne esca più...
(28 Maggio 2012)