OVH, era un vecchio datacenter: impariamo a scegliere meglio a chi affidarci - Cyber Security 360

i consigli

OVH, era un vecchio datacenter: impariamo a scegliere meglio a chi affidarci

Incendio scoppiato forse per un gruppo di continuità (UPS), ma non sarebbe successo su un datacenter di nuova generazione. Quanto accaduto serve anche da lezione preziosa su come scegliere un cloud provider affidabile e l’importanza di avere piani di disaster recovery

12 Mar 2021
L
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant - CLUSIT Scientific Committee, Member - Women for Security, Member

Paolo Tarsitano

Editor Cybersecurity360.it

L’incendio che ha distrutto il data center SBG2 del cloud provider OVH a Strasburgo potrebbe essere stato causato dal malfunzionamento di un gruppo di continuità (UPS) revisionato proprio la mattina del 9 marzo, a poche ore dall’incidente.

A fornire questa spiegazione è stato lo stesso fondatore e presidente di OVH, Octave Klaba, in un video di aggiornamento sulle indagini in corso pubblicato oggi in cui fa riferimento alle immagini scattate con le telecamere termiche subito dopo l’arrivo dei vigili del fuoco: nelle riprese, in particolare, si vedono due unità UPS in fiamme, in particolare la UPS7 (appena revisionata) e la UPS8.

Dall’analisi di questo video e degli altri ripresi dalle 300 telecamere presenti sul posto, OVH spera di ottenere tutte le risposte sulle cause che hanno causato il devastante incendio.

Dai dettagli forniti da Klaba, sull’UPS7 erano stato sostituiti numerose componenti e l’unità era stata successivamente riavviata senza mostrare alcun malfunzionamento.

Il data center SGB2 era di vecchia generazione

Nella sua analisi, Klaba spiega anche che il data center SBG2 distrutto nell’incendio era di vecchia generazione, costruito nel 2011, per di più realizzato con una struttura a container di metallo impilati che al giorno d’oggi viene invece utilizzata per lo più a supporto di operazioni tecniche o di manutenzione sugli stessi data center.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Inoltre, come molti altri cloud provider, anche OVH utilizza una rete di data center delocalizzati (quelli di Strasburgo sono solo una parte di tutta la rete del provider) con livelli di protezione più bassa rispetto ad altre soluzioni sicuramente più costose per quanto riguarda la manutenzione, ma in grado di garantire un livello di sicurezza molto più alto, in alcuni casi anche una elevata capacità di resistenza proprio al fuoco.

Il confronto tra vecchio e nuovo

I moderni data center, ad esempio, vengono costruiti con compartimenti stagni che, a differenza dei container metallici impilati, consentono di contenere molto meglio le fiamme di un incendio.

Basta osservare le immagini del rogo di Strasburgo per rendersi conto di come il metallo del container in cui è divampato l’incendio abbia consentito una rapida propagazione del calore e, di conseguenza, delle fiamme a tutto il data center.

E infatti, il data center SBG3 di nuova generazione, sebbene posto di fianco all’SBG2, non è stato affatto impattato nell’incidente.

Klaba conclude il suo videomessaggio rassicurando i clienti di OVH e informandoli che l’azienda sta lavorando per ripulire i locali e ricostruire il data center con ulteriori risorse: al momento sarebbero già 2.000 le unità server che hanno sostituito quelle andate distrutte nel rogo e altre 1.000 lo saranno nei prossimi giorni.

Disaster recovery: cosa abbiamo imparato dal caso OVH

Alla luce di quanto accaduto nell’incendio del data center di OVH, è dunque utile fare alcune considerazioni sulle vulnerabilità di questa tipologia di infrastruttura e su come si sarebbero potuti mitigare i rischi.

Innanzitutto, è importante insistere sui temi relativi alla realizzazione di un piano di business continuity e disaster recovery, strumenti imprescindibili per preservare la performance aziendale in casi di eventi che minacciano le funzionalità a qualunque livello, tecnologico e non solo.

Secondo Federica Maria Rita Livelli, Business Continuity & Risk Management Consultant, “la gestione del rischio e la continuità operativa rappresentano ormai una conditio sine qua non. L’incendio al data center di Strasburgo ha messo in evidenza ancora una volta l’importanza di un buon piano di Business Continuity e Disaster Recovery, oltre ad evidenziare come la tecnologia del cloud possa essere soggetta a rischi tangibili e compromettere l’operatività delle aziende e delle istituzioni che affidano propri dati ai vari cloud provider”.

L’importanza di un piano di Business Continuity e Data Recovery

Da queste considerazioni, Federica Maria Rita Livelli sintetizza alcune utili lezioni: “Ogni organizzazione, prima di sottoscrivere un contratto con un cloud provider, dovrebbe essere consapevole del fatto che non si tratta semplicemente di effettuare il backup e il ripristino dei dati; pertanto, è necessario accertarsi che, attraverso tale servizio, venga garantita la resilienza dell’organizzazione, indipendentemente dal verificarsi di qualsiasi evento dirompente. Si tratta, da parte dell’organizzazione, di implementare i principi di Risk Management e Business Continuity per proteggere i dati verificando, altresì, che tali principi siano rispettati anche dal cloud provider”.

“Il cloud”, continua la Livelli, “sopperisce alle esigenze di Business Continuity in termini di disponibilità di applicazioni critiche e meno critiche, grazie a data center, servizi di backup e di disaster recovery e, ad oggi, numerosi cloud service provider offrono sofisticati framework per la pianificazione del piano di disaster recovery in base ai modelli di Business Continuity aziendali e della gestione delle criticità sempre in un’ottica di resilienza organizzativa. Inoltre, i cloud di ultima generazione offrono anche la possibilità di replicare i piani di Disaster Recovery & Business Continuity, garantendo una maggiore resilienza organizzativa e una riduzione dei costi di gestione”.

Consigli e best practice per la scelta del cloud provider

Ma siamo sicuri che se il cloud a cui affidiamo i nostri dati dovesse subire un evento dirompente – come si è verificato al data center OVH di Strasburgo – sia in grado di ridurre al minimo gli impatti sulla nostra organizzazione e ripristinare in tempi brevi il servizio?

“Forse non ne siamo del tutto sicuri”, osserva ancora Federica Maria Rita Livelli, “e, come si è verificato in questi giorni, molte aziende – facenti parte di un’intricata rete di connessione in Europa – hanno subito una “empasse” a macchia di leopardo. Tutto ciò ha reso ulteriormente evidente come sia strategico e fondamentale, nella fase di scelta del cloud provider, porre particolare attenzione ad alcuni aspetti:

  1. verifica dei piani di continuità del cloud provider e inserimento delle clausole di continuità nei contratti, oltre a richiedere la conferma dell’osservanza anche da parte dei sub-fornitori;
  2. verifica dei servizi di connettività e l’alimentazione nei data center in caso di disastro/disruption;
  3. verifica della gestione i guasti hardware e come inserire contrattualmente la loro modalità di risoluzione;
  4. verifica della modalità di replica dei dati e dove vengono custoditi ai fini del GDPR;
  5. verifica delle specifiche del data center utilizzato dal cloud provider;
  6. verifica dei casi di tempi di inattività verificatisi negli ultimi 18 mesi;
  7. verifica della frequenza di svolgimento dei test di ripristino, di emergenza e diponibilità dell’ultimo rapporto.

Questo ultimo episodio dimostra ancora una volta come sia fondamentale e strategica la protezione delle infrastrutture critiche: è necessario e urgente investire in sostenibilità, resilienza ed efficienza”.

Conclusioni

Nell’era della connettività intelligente, la risorsa più preziosa al mondo sono i dati, quindi, fare investimenti strategici nell’infrastruttura del data center è in definitiva una fonte di differenziazione e di competitività, ma solo se tali strutture sono sufficientemente organizzate per garantire la resilienza della propria operatività.

Pertanto, conclude Federica Maria Livelli, “è necessario monitorare attentamente i servizi offerti dal cloud provider al fine di individuarne i potenziali rischi e poter adottare efficaci e specifiche misure di prevenzione. Inoltre, è quanto mai necessario, prima di adottare un sistema Cloud di valutarne attentamente la ratio rischi/benefici e cercare di minimizzare i primi attraverso un’attenta verifica dell’affidabilità del fornitore di servizi al quale ci si intende affidare”.

WHITEPAPER
IT: come ridurre i costi operativi del 24%? Una guida completa
Datacenter
Datacenter Infrastructure Management
@RIPRODUZIONE RISERVATA

Articolo 1 di 3