I problemi legati al Cloud-Computing
Sebbene il cloud offra molti vantaggi, è anche un paradigma relativamente nuovo per l’informatica.
Questo paradigma ha problemi di sicurezza che l’informatica convenzionale non ha.
Alcuni di questi problemi hanno implicazioni maggiori per le imprese rispetto agli individui, ma molti si applicano anche ai singoli utenti.
Alcune di queste differenze derivano dall’aspetto commerciale del cloud, altri aspetti sono tecnici.
Un servizio in esecuzione su macchine virtuali in un cloud presenta la maggior parte delle vulnerabilità di sicurezza di un’applicazione in esecuzione localmente su una singola macchina.
Tuttavia, invece di un utente domestico non tecnico, la sicurezza di un’applicazione in esecuzione in un datacenter ben gestito di un provider è responsabilità di un professionista della sicurezza e l’applicazione viene eseguita su hardware ben mantenuto collocato in un ambiente ottimale in un datacenter altamente (si spera) strutturato e sicuro.
Le violazioni della sicurezza sono ancora possibili anche in questo tipo di ambiente, ma sono meno probabili di una violazione di un’applicazione gestita autonomamente, in esecuzione su un laptop non protetto lasciato su un tavolo da Starbucks.
I servizi in esecuzione in un data center cloud sono soggetti a un altro tipo di problema che non rientra propriamente nella definizione di violazione della sicurezza.
Gli errori commessi dagli operatori dei data center possono portare a interruzioni o degrado del servizio.
Ad esempio, gli operatori possono commettere errori nella manutenzione del sistema, il che si traduce in un rallentamento o in una completa interruzione del servizio.
Sebbene un utente non tecnico abbia maggiori probabilità di causare problemi di manutenzione rispetto a un professionista qualificato, le aspettative verso un professionista sono maggiori.
Gli utenti possono trarre un minimo di consolazione nell’incolpare se stessi per i problemi che causano a se stessi, ma ciò potrebbe essere comunque più soddisfacente e meno frustrante di una misteriosa interruzione che non avrebbe dovuto verificarsi.
Alcuni anni fa, il più grande ostacolo all’adozione del cloud tra le agenzie governative e le grandi imprese, in particolare nei settori finanziari, era la sicurezza.
Questi ostacoli non sono scomparsi, ma a molti di loro è stata data risposta.
Sia le aziende che gli enti governativi sono abituati al rischio per la sicurezza e accettano regolarmente il rischio, ma evitano quello che chiamano rischio non gestito.
Il rischio si considera gestito quando l’impresa ha una stima chiara della probabilità e dell’entità di una perdita e ha adottato misure per mitigare la perdita.
Le prime implementazioni del cloud erano spesso considerate a rischio non gestito e quindi evitate.
Le decisioni sulla gestibilità dei rischi aziendali sono generalmente prese dai revisori.
I revisori aziendali e governativi hanno successivamente sviluppato metodi per valutare e mitigare i rischi nelle implementazioni cloud.
Questi hanno incluso standard di controllo e certificazione di sicurezza per i fornitori di servizi cloud.
Anche se alcuni soggetti persistono nell’incertezza, l’esitazione è sostanzialmente diminuita.
Amazon Web Services (come altri provider cloud), ad esempio, offre implementazioni cloud su misura, che rispettano i requisiti governativi di rischio dei maggiori paesi.
