Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Costi e benefici

Adottare soluzioni multi-cloud in azienda, rischi e opportunità

Il multi-cloud, come ogni tecnologia, reca con sé grandi opportunità ma anche rischi che è bene conoscere per evitare disagi. La necessità qualora si volesse dotare l’azienda di simile tecnologia, in primis è mettere a punto una strategia personalizzata alle esigenze dell’impresa

06 Mar 2019
R
Gianpiero Ruggiero

Tecnologo del CNR – Dipartimento di Ingegneria, Telecomunicazioni e Tecnologie per l’Energia e i Trasporti


Il trend del multi-cloud rappresenta uno passaggio per le aziende verso infrastrutture con cloud pubblico-privato mature, in grado di rispondere alle differenti esigenze delle imprese, orchestrando le diverse scelte per ogni singolo carico di lavoro e riducendo i rischi di lock-in e di disservizio legati alla scelta di un solo provider.

L’adozione di un ambiente multi-cloud ha però delle implicazioni che vanno governate, come quella di un ripensamento dell’intero cloud management e dei relativi strumenti di gestione. In tal senso, alcune aziende, per mantenere meglio il controllo su cloud privati e pubblici, hanno ideato strategie ben precise e si sono mostrate all’altezza; altre, invece, per la gran parte, si sono trovate a dover improvvisare soluzioni su due piedi. Portare la propria azienda sul cloud, infatti, ha a che fare più con un processo di trasformazione che di mera migrazione, per diversi motivi:

  • si trasforma il paradigma da possesso di un bene a utilizzo di un servizio;
  • si trasforma il costo, tagliandolo notevolmente, se si prevede un cambio architetturale del proprio parco applicativo invocando, in maniera automatica, le risorse solo quando servono e spegnendole in tutti gli altri casi;
  • si trasforma la propria applicazione al fine di utilizzare in modo nativo anche i servizi, già pronti, della piattaforma cloud provider.

Gli investimenti in servizi cloud sono quindi trasversali e riguardano le infrastrutture, gli applicativi e l’insieme di software.

L’evoluzione del cloud aziendale

I dati più recenti confermano l’aumento di spesa da parte delle aziende per soluzioni in sede e per servizi cloud esternalizzati. Allo stesso tempo, però, si assiste a un fenomeno determinante nell’evoluzione del cloud, che è il cosiddetto Shadow IT, ossia il fatto che una parte dell’uso del cloud – anche della sua spesa – tende a sfuggire al controllo della funzione IT.

La programmazione e il controllo dei costi diventa perciò determinante per una strategia vincente. Anche perché gli esperti di informatica ritengono che, tra un anno, circa l’80% del loro budget sarà speso in soluzioni cloud. Da una survey internazionale si desume che la stragrande maggioranza delle aziende (82%) estere (fonte: The Innovation Group), hanno una strategia multi-cloud, con una media di 4,8 cloud in uso. La metà di questo campione (51%) ha optato per una soluzione cloud ibrida; il restante campione ha optato per una soluzione cloud multipla pubblica (21%) e per una soluzione cloud privato (10%).

In Italia, la situazione è leggermente più indietro, con metà aziende (50%) single cloud e metà che hanno optato per una scelta multi-cloud. Nei prossimi anni, il trend per il multi-cloud nel nostro Paese tenderà a crescere, perché i vantaggi di una scelta multi cloud sono evidenti.

In questo senso, una scelta di tipo multi-cloud ottimale è quella che riporta in mano alla funzione IT il tema del cloud governance (controllo su ambienti e servizi forniti da fornitori esterni), quale strumento di gestione della complessità e mitigazione dei rischi.

Nel passaggio al cloud, occorre avere la consapevolezza che oltre ai requisiti funzionali dei servizi forniti, solitamente oggetto di analisi e confronto, esistono anche requisiti non funzionali, quali quelli della sicurezza, che troppo spesso sono lasciati inespressi o sottintesi, ma che vanno invece considerati opportunamente. Ulteriori criticità, nell’adozione del cloud da parte di organizzazioni pubbliche e private, sono riconducibili a mancanza di risorse e competenze, corretto calcolo e gestione dei costi, conformità alle norme sulla privacy, resistenze culturali.

Mettere a punto una strategia

Se la vostra è una delle tante organizzazioni che ancora non ha attuato una strategia, fareste bene perciò a porvi alcune domande:

  • Quali caratteristiche deve avere il cloud?
  • Quali tipologie di costi devo considerare per un’ottimale migrazione verso il cloud?
  • Quali sono i benefici e le sfide della migrazione al cloud?

Vediamo di rispondere a queste domande, concentrando l’attenzione su quegli elementi che assicurano che la scommessa del cloud sia ripagata adeguatamente. Iniziamo dalle principali caratteristiche che deve possedere un cloud:

  • utilizzabile On-Demand, che vuol dire automatizzato il più possibile in modo che i clienti possano fare self provisioning delle risorse che vogliono attraverso le varie forme possibili (IaaS, SaaS, PaaS);
  • accesso ubiquo, che vuol dire che deve essere utilizzabile dappertutto, deve essere ampiamente accessibile, con diversi protocolli, interfacce e tecnologie di sicurezza eterogene;
  • multi-tenancy (e resource pooling), che vuol dire che deve prevedere la possibilità di diversi e isolati utilizzatori, che posso allocare e rilasciare risorse in maniera dinamica;
  • elasticità, che vuol dire che deve poter scalare in modo trasparente, dando una giustificazione dei ridotti investimenti e dei costi proporzionali all’uso;
  • utilizzo controllato e misurato, che vuol dire che il cloud deve tenere traccia dell’utilizzo, conteggiare e fatturare solo per l’uso effettivo, deve essere monitorato e offrire funzionalità di reporting;
  • resilienza, ossia che deve includere tecnologie di fail ed handover delle risorse che si utilizzano, sullo stesso cloud (in una region differente) o su cloud multipli.

Le diverse forniture di cloud

In base alla tipologia di distribuzione, possiamo avere diverse forme di forniture cloud:

  • cloud pubblico (ad esempio, IBM, Amazon, Google, Microsoft, Alibaba). Un cloud pubblico è un ambiente cloud pubblicamente accessibile erogato da un cloud provider di terze parti. Le risorse IT (offerte attraverso diversi modelli di delivery) sul cloud pubblico sono generalmente offerte a pagamento. Il cloud provider è responsabile della creazione e della gestione del cloud e delle sue risorse IT;
  • community cloud (ad esempio, IBM Softlayer per le Agenzie Federali americane). È un approccio molto simile al cloud pubblico, ma con accesso limitato ad una specifica comunità di consumatori. I membri della community condividono tipicamente la responsabilità per la definizione e l’evoluzione del community cloud;
  • cloud privato: di proprietà di una singola organizzazione. Abilita l’organizzazione all’uso del cloud centralizzando l’accesso alle risorse IT da parte di diversi dipartimenti che la compongono. Un dipartimento (tipicamente separato) assume la responsabilità del provisioning del cloud / cloud provider role. I dipartimenti che richiedono l’accesso al private cloud assumono il cloud consumer role e possono risiedere all’interno dell’organizzazione ed essere comunque considerate “cloud-based”;
  • cloud ibrido: dove sono presenti uno o più modelli di modelli di distribuzione, tali per cui, per esempio, un singolo utilizzatore o un’intera organizzazione potrebbe scegliere il cloud privato per i dati sensibili e il cloud pubblico per tutto il resto.

I costi del cloud aziendale

Vediamo adesso di chiarire quelli che sono i costi che devono essere configurati in quello che spesso viene definito il viaggio verso il cloud. Costi da considerare e calcolare per qualsiasi tipo di soluzione si voglia adottare, al fine di mitigare il rischio di far fallire l’intero progetto di migrazione per carenze di capitali sufficienti per partire.

  • Costi iniziali. Rappresentano l’investimento iniziale richiesto dall’organizzazione per l’acquisto delle risorse IT. I costi iniziali per l’acquisto e il deploy di risorse IT in sede tendono ad essere alte. I costi iniziali per l’accesso a risorse cloud tendono ad essere basse. Da considerare il costo del lavoro necessario alla migrazione, il costo per l’assessment e il set up dell’ambiente.
  • Costi correnti (operativi). Tutti i costi necessari a far girare l’ambiente, i costi correnti quindi, sono rappresentati dalle spese di esercizio e manutenzione delle risorse IT. I costi correnti per le risorse IT in sede possono variare e possono includere: licenze, elettricità, assicurazioni e costo del lavoro. Anche i costi correnti per le risorse IT cloud-based possono variare, ma spesso superano i costi correnti dell’on-premise (specie se in un orizzonte temporale più lungo). Esempi di costi correnti relativi ad ambienti cloud-based includono: fee per l’utilizzo di virtual hardware, per l’utilizzo della banda (in ingresso e in uscita), licenze, costo del lavoro.
  • Costo del capitale. Il costo del capitale è quel valore che rappresenta il costo degli interessi per finanziare l’acquisto delle risorse IT. La rilevanza di questi costi dipende da come l’organizzazione si finanzia e dal tipo di ammortamento che si possono fare. Da considerare che nella legge di Stabilità 2019 è stato previsto un voucher fino a 40 mila euro per le PMI (25.000 per le medie imprese) che vogliano avvalersi della consulenza della nuova figura del Manager dell’Innovazione, per trasformare e migliorare il proprio business, e che tra le spese agevolabili (nel piano Industria 4.0) sono state fatte rientrare anche i costi sostenuti per l’accesso a soluzioni in cloud.
  • Costi irrecuperabili. Un’organizzazione ha spesso risorse IT esistenti già operative in sede (on-premise) per il quale sono state sostenute e si sostengono delle spese. Gli investimenti precedenti che sono stati fatti rappresentano costi irrecuperabili. Se ci sono costi elevati di questo tipo, diventa più difficile giustificare la scelta di risorse IT cloud-based.
  • Costi di integrazione. I costi di integrazione servono per capire quanto sono pronti i cloud che sceglieremo per integrare i dati, tenendo in considerazione anche i costi di uscita da un provider (una sorta di exit strategy fatta in anticipo). I test di integrazione sono una forma di test che hanno lo scopo, perciò, di misurare lo sforzo richiesto per rendere una risorsa IT compatibile e interoperabile in un nuovo ambiente, come ad esempio una nuova piattaforma cloud. Se particolarmente alti, eventuali costi di integrazione imposti dai cloud provider possono rendere la scelta del cloud meno appetibile.
  • Costi di lock-in. Gli ambienti cloud possono imporre una limitata portabilità. Quando si conduce un’analisi su metriche di lungo periodo, può essere necessario tenere in considerazione la possibilità di dover migrare da un cloud provider ad un altro. Siccome i cloud service consumer possono diventare dipendenti dalle caratteristiche proprietarie di un ambiente cloud, dobbiamo considerare i costi di lock-in associati a questo tipo di migrazioni. In questi casi, attenzione che nel contratto che regola la fornitura dei beni o servizi non ci siano condizioni particolarmente penalizzanti nel caso di passaggio ad altro fornitore, ovvero che le condizioni e le modalità con le quali tale passaggio possa avvenire siano regolate in modo adeguato, rendendone certo l’esito finale per il cliente. In tal senso, i costi di lock-in possono abbassare il valore di business di lungo termine della scelta del cloud.

Principali benefici e sfide del cloud in azienda

Vediamo ora quali sono i benefici quando parliamo di servizi cloud.

  • Investimenti ridotti e costi proporzionali. I cloud consumer che utilizzano risorse IT cloud-based di solito adottano un modello pay-as-you-go. In questo modo i cloud consumer pagano una fee di utilizzo solo per quanto utilizzano effettivamente. Il risultato finale di questo è la proporzionalità diretta dei costi.
  • Incremento della scalabilità. Nel cloud, le risorse IT possono essere acquistate da un cloud provider in modo flessibile, praticamente istantaneo e con diversi livelli di utilizzo. Questa caratteristica delle risorse IT cloud-based consente ai cloud consumer di fare leva sulla flessibilità e di incrementare la responsività dei sistemi rispetto a richieste previste e impreviste.
  • Incremento della disponibilità e dell’affidabilità. I cloud provider in genere offrono risorse IT resilienti per le quali sono in grado di garantire alti livelli di disponibilità. Gli ambienti cloud possono essere basati su architetture modulari che garantiscano il failover e aumentino l’affidabilità dei sistemi.

Da ultimo, sono da considerare le sfide aperte da una scelta cloud:

  • Incremento delle vulnerabilità di sicurezza. L’utilizzo remote delle risorse IT richiede un’espansione dei trust boundary da parte del cloud consumer per includere un cloud esterno. Quando si parla di cloud, uno degli aspetti maggiormente sensibili è proprio la sicurezza. Se cloud consumer e cloud provider non supportano le stesse tecnologie di sicurezza, può essere difficile stabilire un’architettura di security che estenda il trust boundary senza introdurre vulnerabilità. In più, siccome le risorse IT cloud-based sono tipicamente condivise, possono esserci sovrapposizioni di trust boundary di cloud consumer diversi.
  • Controllo ridotto della governance operativa. Quando creano delle dipendenze da risorse IT cloud-hosted esterne, i cloud consumer hanno quasi sempre un minore controllo della governance, specie se paragonata alle risorse IT on-premise. Questo ridotto livello di controllo può introdurre rischi relativi a come un cloud è erogato dal cloud provider, così come le connessioni esterne tra il cloud consumer e il cloud. I cloud consumer fanno riferimento ai Service Level Agreements (SLAs) e altre garanzie di servizio del cloud provider.
  • Portabilità limitata tra Cloud Provider. Spostarsi da un cloud a un altro è una sfida quasi impossibile. A causa della mancanza di standard consolidati nell’industria del computing, i cloud pubblici risultano proprietari a diversi livelli. Per i cloud consumer che hanno soluzioni custom-built con dipendenza da ambienti proprietari può essere davvero difficile migrare da un cloud provider ad un altro. Questa sfida può essere mitigata se i cloud consumer sviluppano soluzioni basate sugli stessi standard supportati dai cloud providers.
  • Conformità multi-regionale e questioni legali. Secondo Gartner, il 99% delle vulnerabilità del cloud fino al 2020 potrebbero essere rappresentate principalmente da problemi di privacy e sicurezza. E con il GDPR in vigore per le piccole aziende è sempre più difficile e costoso offrire servizi cloud conformi al Regolamento europeo. Nonostante il GDPR non faccia esplicitamente riferimento al cloud, anche quest’infrastruttura deve esserne, obbligatoriamente, conforme. Peraltro va dichiarato se si ci avvale di un cloud provider extra Ue, ovvero un provider che ha server o sede legale in Paesi extra UE (un’azienda può, infatti, essere anche italiana, ma con un’infrastruttura dislocata fuori dai confini europei). A seconda della natura del business del cloud consumer, possono esserci legislazioni industriali o governative che impongono requisiti legali specifici (ad esempio i dati dei possessori delle carte di credito devono essere conservati su segmenti di rete separati). I cloud consumer che non conoscono l’ubicazione dei dati e delle risorse IT presso i cloud provider, potrebbero non essere in grado di garantire conformità legislative.

Gli scenari possibili

Gli aspetti legati alla privacy e alla sicurezza, da ultimo, diventano cruciali perché il controllo dei rischi sta diventando un argomento estremamente critico, sia per il settore pubblico che per quello privato. Anche per questo motivo le tecniche di biometria e autenticazione comportamentale stanno via via soppiantando le tradizionali password. D’altronde con la diffusione crescente dello smart working, non solo nel privato ma anche nelle amministrazioni pubbliche, la protezione delle informazioni e delle applicazioni aziendali sui dispositivi mobili può essere garantita solo attraverso un ecosistema, sicuro e affidabile, di controllo delle identità. Assisteremo, quindi, a una forte crescita nell’uso dell’autenticazione a più fattori per la difesa di applicazioni cloud, anche perché nelle previsioni per il 2019, il rischio di un attacco biometrico su vasta scala è dato come altamente probabile. I fornitori di servizi di sicurezza basati su cloud vedranno i mercati aprirsi sempre di più, spinti dall’adozione di modelli di sicurezza del cloud “zero trust” che diventerà lo standard aziendale.

Con l’eccezione di pochi Paesi (Estonia, Singapore, Cina), in cui avanza un’economia della “sorveglianza”, finora l’adozione di tecnologie biometriche è stata rallentata da preoccupazioni culturali ed etiche, legate all’istituzione di un database biometrico nazionale. Molte persone si dichiarano riluttanti a rilevare le proprie impronte digitali o ad accettare l’idea che il loro aspetto, i loro comportamenti sociali, siano tracciati tramite una scansione di riconoscimento. Eppure le stesse persone, non hanno scrupoli quando si tratta di concedere l’assenso al trattamento dei propri dati, quasi come ci fosse ormai una sorta di assuefazione alla cessione indiscriminata e disattenta, di quei frammenti di libertà che sono i nostri dati. E non ci può consolare il fatto che il regime che viene dettato dalla disciplina del GDPR sia molto severo per i soggetti pubblici che trattano dati personali, perché oggi le più grandi capacità di accesso ai dati, l’expertise e le competenze per analizzarli sono dei soggetti privati, delle grandi compagnie che operano su internet. E in questi casi, l’architrave principale che regge la legittimità del trattamento è il consenso; il consenso dell’interessato che si è in realtà rilevato un dispositivo insufficiente.

Per questo diventa cruciale l’affermazione progressiva della protezione dei dati come diritto universalmente tutelato, unico orizzonte in grado di restituire alla persona quella centralità che da tempo sembra aver perso.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5