Cloud computing. E la sicurezza?
Articoli simili
Indice principale
Archivi
Pubblicato in Security Zone da Corrado Giustozzi
Il cloud computing sta guadagnando i consensi degli analisti e viene implementato in un crescente numero di ambiti operativi. Ma è davvero tutto oro quello che luccica? E i nostri dati, poi, dove stanno e di chi sono realmente?
La storia e le idee tendono a ripetersi spesso. E con esse, pur se lungo cicli temporali meno ampi, anche le mode e le tendenze che caratterizzano ogni momento della nostra esistenza. Neppure l'informatica sfugge a questa legge, come possono ben testimoniare i più anziani tra gli addetti ai lavori. È curioso infatti osservare come molti paradigmi già adottati nel passato e ritenuti quindi superati tornino dopo qualche tempo a riproporsi, rinnovando il successo di un tempo o magari addirittura ottenendo per la prima volta quel successo che all'epoca della loro originaria comparsa non ebbero modo per vari motivi di cogliere. Un esempio è il recente fenomeno del cosiddetto "cloud computing" che, pur essendo tecnicamente ancora non del tutto consolidato, sembra già avviato a divenire il riferimento del decennio prossimo venturo. Esso, infatti, non è un'idea originale bensì l'evoluzione di concetti e proposte che possono essere fatti risalire ad almeno una quindicina d'anni fa. Oggigiorno il paradigma della nuvola sembra avviato ad un rapido ed importante successo: ad esempio, secondo gli analisti di IDC il mercato dei servizi legati al "cloud computing" raggiungerà il volume d'affari di oltre 40 miliardi di dollari entro il 2013. Ma c'è da domandarsi: è davvero tutto oro quello che riluce?
Cos'è il cloud computing?
Una differenza concettuale tra i modelli di clud computing - Saas, IaaS e PaaS - ed altri paradigmi di calcolo distribuiti (quale ad esempio il grid computing) è che mentre questi ultimi sono sostanzialmente statici in termini di allocazione delle risorse, il "cloud" è fortemente dinamico o, come si dice nel gergo del settore, "elastico": l'utilizzatore dei servizi può infatti dinamicamente allocare nella nuvola un numero più o meno consistente di risorse in funzione delle sue esigenze momentanee, utilizzando di fatto la nuvola anche come "buffer" o "tampone" su cui scaricare alla bisogna parte delle proprie attività. Le risorse di calcolo e di infrastruttura fornite dalla nuvola sono "da qualche parte" all'interno della nuvola stessa, e l'utilizzatore non deve preoccuparsi di dove siano e come siano realizzate. L'utente può governare le sue risorse virtuali invocando appositi servizi standardizzati, che gli consentono di svolgere tutte le operazioni necessarie alla loro gestione.
Ma... i miei dati?
Il modello concettuale della nuvola prevede, ovviamente, che anche i dati dell'utente, oltre che le sue piattaforme e le sue applicazioni, risiedano "da qualche parte" all'interno della nuvola. Dove stanno e come sono memorizzati non si sa e non è neppure necessario saperlo. Questo è in effetti uno dei maggiori problemi filosofici posti dal modello "cloud": l'utente deve delegare alla nuvola non solo la gestione dell'infrastruttura e delle applicazioni ma anche la tenuta dei suoi dati, il che comporta il dover riporre una incondizionata fiducia verso la nuvola stessa (o meglio, verso il proprietario e gestore della medesima) in termini non solo di affidabilità sul piano tecnologico ma anche e soprattutto di lealtà su quello operativo/gestionale. E sono in molti a chiedersi se, con i tempi che corrono, questa assunzione sia davvero accettabile. Per potersi fidare della nuvola tanto da affidarle il proprio core business è chiaro infatti che essa deve garantire all'utente la sicurezza dei dati che egli le consegna in "amministrazione delegata". Tale sicurezza, come sappiamo, si può declinare lungo i tre assi fondamentali della integrità, della disponibilità e della riservatezza. Dire che ci si può fidare della nuvola significa quindi dire che essa offre elevati livelli di tutela per ciascuna di queste tre proprietà fondamentali. Ma è proprio vero e possibile?
L'affidabilità tecnologica
Incominciamo innanzitutto a separare i due aspetti fondamentali del problema, ossia l'affidabilità tecnologica dalla lealtà comportamentale. Sono entrambi importanti ma riguardano sfere di operatività diverse e necessitano quindi di considerazioni differenti. Per quanto riguarda gli aspetti tecnologici, non sono pochi coloro che si sentono a disagio sapendo che i propri dati sono "lì da qualche parte" ma non si sa bene dove, e soprattutto che per riottenerli devono dipendere dal buon funzionamento di una serie di strumenti d'intermediazione del tutto opachi e sui quali non esercitano alcun reale controllo. La crescente complessità delle reti ha purtroppo dimostrato più volte negli ultimi anni la fragilità intrinseca dei sistemi di connettività globale: accettare di dipendere da essi non solo per le comunicazioni ordinarie ma anche per ogni attività di elaborazione su dati che concettualmente sarebbero "locali" sembra a molti un rischio ingiustificato. A questo proposito risale a sole poche settimane fa un caso piuttosto eclatante che riguarda proprio un servizio di memorizzazione "in the cloud", il quale ha suscitato molte polemiche tra gli utilizzatori ed ha avuto una eco non indifferente anche sui media specializzati. Parliamo dell'incidente in seguito al quale molte migliaia di utenti di Sidekick, uno smartphone prodotto da Danger Incorporated (azienda acquisita da Microsoft nel 2008), hanno perso irreparabilmente tutti i dati memorizzati nei loro dispo-sitivi (rubrica, messaggi, foto, filmati, documenti...) a causa di un non meglio identificato problema nel sistema centralizzato di "cloud storage" gestito dal provider T-Mobile. A seguito del fatto i gestori del sistema sono stati oggetto non solo di aspre critiche ma anche di dure azioni legali da parte degli utenti, esasperati dal fatto che fosse fallito proprio quel servizio di backup centralizzato che in teoria avrebbe dovuto garantire esattamente la sopravvivenza dei contenuti critici dei loro dispositivi anche a seguito della rottura dei dispositivi stessi.
La percezione della sicurezza
Ricordiamo anche come in passato siano già accaduti fatti di ben più
ampia portata, anche se fortunatamente risolti senza perdita di dati,
che dovrebbero far riflettere su quanto sia critica la disponibilità
dei servizi on-line da cui tutti dipendiamo sempre più strettamente. Il
31 gennaio 2009 ad esempio il mondo intero rimase col fiato sospeso per
circa un'ora in occasione dell'incredibile blocco del motore di ricerca
di Google dovuto ad errore umano di configurazione, mentre il 24
febbraio la stessa sorte toccò a Gmail che rese inaccessibili le
proprie caselle di posta per alcune ore. Non a caso un recente studio di Evans
Data Corporation sui pregi e difetti attribuiti dagli addetti ai lavori
alle offerte commerciali di vari grandi player in ambito "cloud
computing" pone come fattore critico proprio la percezione della
sicurezza. È interessante da questo punto di vista notare come tale
studio ponga l'offerta di Microsoft (denominata Azure) agli ultimi
posti della classifica proprio per la minore sicurezza percepita in
termini di affidabilità e downtime, fattori ovviamente critici in
un'infrastruttura che deve fun-zionare sempre senza problemi.
Fidarsi è bene...
Le cose peggiorano se passiamo ad occuparci dei problemi connessi alla lealtà degli operatori. È chiaro che qui si corre il rischio di farsi prendere la mano dalla paranoia, tuttavia non è del tutto illegittimo interrogarsi sul livello di onestà intellettuale di coloro che intendono custodire nei propri server i dati critici di migliaia o milioni di utenti di tutto il mondo. È noto, ad esempio, che in anni recenti l'Unione Europea ha formalmente contestato agli Stati Uniti l'utilizzo improprio del sistema di intercettazione Echelon che, nato per prevenire il terrorismo internazionale, è stato invece usato per ottenere vantaggi competitivi per le aziende americane praticando un vero e proprio spionaggio industriale nei confronti delle industrie europee. È altresì risaputo che Google consente ufficiosamente alle agenzie di intelligence americane di sottoporre a raffinate analisi di data mining le query ricevute dal proprio motore di ricerca, per estrarre informazioni utili alla "sicurezza nazionale". È facile immaginare a questo punto che a qualcuno potrebbe far gola svolgere un'analisi di tipo business intelligence sui contenuti dei milioni di mailbox ospitate da Gmail, per non parlare dei documenti aziendali ospitati da applicazioni remote quali Google Docs. In nome della lotta al terrorismo, beninteso... salvo poi fare come accaduto con Echelon, e tentare di ricavare da tali analisi vantaggi ben più immediati e tangibili...
Cloud sì, ma con giudizio
Nel momento in cui i servizi "in the cloud" venissero utilizzati su larga scala per gestire business critici, dunque, il problema della fiducia verso i gestori della nuvola meriterebbe qualche serena ma seria riflessione. A proposito, avete mai letto le condizioni d'uso di questi servizi online? In molti casi l'utente, per accettare di usufruire del servizio, deve esplicitamente acconsentire a trasferire almeno in parte al gestore la proprietà dei suoi dati, con buona pace della privacy... Insomma, "nuvola è bello" ma con giudizio. Prima di affidare i propri dati alla Rete, senza alcun controllo, occorre valutare la situazione e decidere consapevolmente se accettare gli inevitabili rischi a fronte degli indiscutibili vantaggi. La cosa peggiore da fare è non pensare agli eventuali problemi che potrebbero verificarsi, ed alle possibili conseguenze. L'informatica è quella disciplina dove l'impossibile accade regolarmente: non andiamoci a cercare guai laddove non ce ne sia strettamente bisogno...
La storia e le idee tendono a ripetersi spesso. E con esse, pur se lungo cicli temporali meno ampi, anche le mode e le tendenze che caratterizzano ogni momento della nostra esistenza. Neppure l'informatica sfugge a questa legge, come possono ben testimoniare i più anziani tra gli addetti ai lavori. È curioso infatti osservare come molti paradigmi già adottati nel passato e ritenuti quindi superati tornino dopo qualche tempo a riproporsi, rinnovando il successo di un tempo o magari addirittura ottenendo per la prima volta quel successo che all'epoca della loro originaria comparsa non ebbero modo per vari motivi di cogliere. Un esempio è il recente fenomeno del cosiddetto "cloud computing" che, pur essendo tecnicamente ancora non del tutto consolidato, sembra già avviato a divenire il riferimento del decennio prossimo venturo. Esso, infatti, non è un'idea originale bensì l'evoluzione di concetti e proposte che possono essere fatti risalire ad almeno una quindicina d'anni fa. Oggigiorno il paradigma della nuvola sembra avviato ad un rapido ed importante successo: ad esempio, secondo gli analisti di IDC il mercato dei servizi legati al "cloud computing" raggiungerà il volume d'affari di oltre 40 miliardi di dollari entro il 2013. Ma c'è da domandarsi: è davvero tutto oro quello che riluce?
Cos'è il cloud computing?
Una differenza concettuale tra i modelli di clud computing - Saas, IaaS e PaaS - ed altri paradigmi di calcolo distribuiti (quale ad esempio il grid computing) è che mentre questi ultimi sono sostanzialmente statici in termini di allocazione delle risorse, il "cloud" è fortemente dinamico o, come si dice nel gergo del settore, "elastico": l'utilizzatore dei servizi può infatti dinamicamente allocare nella nuvola un numero più o meno consistente di risorse in funzione delle sue esigenze momentanee, utilizzando di fatto la nuvola anche come "buffer" o "tampone" su cui scaricare alla bisogna parte delle proprie attività. Le risorse di calcolo e di infrastruttura fornite dalla nuvola sono "da qualche parte" all'interno della nuvola stessa, e l'utilizzatore non deve preoccuparsi di dove siano e come siano realizzate. L'utente può governare le sue risorse virtuali invocando appositi servizi standardizzati, che gli consentono di svolgere tutte le operazioni necessarie alla loro gestione.
Ma... i miei dati?
Il modello concettuale della nuvola prevede, ovviamente, che anche i dati dell'utente, oltre che le sue piattaforme e le sue applicazioni, risiedano "da qualche parte" all'interno della nuvola. Dove stanno e come sono memorizzati non si sa e non è neppure necessario saperlo. Questo è in effetti uno dei maggiori problemi filosofici posti dal modello "cloud": l'utente deve delegare alla nuvola non solo la gestione dell'infrastruttura e delle applicazioni ma anche la tenuta dei suoi dati, il che comporta il dover riporre una incondizionata fiducia verso la nuvola stessa (o meglio, verso il proprietario e gestore della medesima) in termini non solo di affidabilità sul piano tecnologico ma anche e soprattutto di lealtà su quello operativo/gestionale. E sono in molti a chiedersi se, con i tempi che corrono, questa assunzione sia davvero accettabile. Per potersi fidare della nuvola tanto da affidarle il proprio core business è chiaro infatti che essa deve garantire all'utente la sicurezza dei dati che egli le consegna in "amministrazione delegata". Tale sicurezza, come sappiamo, si può declinare lungo i tre assi fondamentali della integrità, della disponibilità e della riservatezza. Dire che ci si può fidare della nuvola significa quindi dire che essa offre elevati livelli di tutela per ciascuna di queste tre proprietà fondamentali. Ma è proprio vero e possibile?
L'affidabilità tecnologica
Incominciamo innanzitutto a separare i due aspetti fondamentali del problema, ossia l'affidabilità tecnologica dalla lealtà comportamentale. Sono entrambi importanti ma riguardano sfere di operatività diverse e necessitano quindi di considerazioni differenti. Per quanto riguarda gli aspetti tecnologici, non sono pochi coloro che si sentono a disagio sapendo che i propri dati sono "lì da qualche parte" ma non si sa bene dove, e soprattutto che per riottenerli devono dipendere dal buon funzionamento di una serie di strumenti d'intermediazione del tutto opachi e sui quali non esercitano alcun reale controllo. La crescente complessità delle reti ha purtroppo dimostrato più volte negli ultimi anni la fragilità intrinseca dei sistemi di connettività globale: accettare di dipendere da essi non solo per le comunicazioni ordinarie ma anche per ogni attività di elaborazione su dati che concettualmente sarebbero "locali" sembra a molti un rischio ingiustificato. A questo proposito risale a sole poche settimane fa un caso piuttosto eclatante che riguarda proprio un servizio di memorizzazione "in the cloud", il quale ha suscitato molte polemiche tra gli utilizzatori ed ha avuto una eco non indifferente anche sui media specializzati. Parliamo dell'incidente in seguito al quale molte migliaia di utenti di Sidekick, uno smartphone prodotto da Danger Incorporated (azienda acquisita da Microsoft nel 2008), hanno perso irreparabilmente tutti i dati memorizzati nei loro dispo-sitivi (rubrica, messaggi, foto, filmati, documenti...) a causa di un non meglio identificato problema nel sistema centralizzato di "cloud storage" gestito dal provider T-Mobile. A seguito del fatto i gestori del sistema sono stati oggetto non solo di aspre critiche ma anche di dure azioni legali da parte degli utenti, esasperati dal fatto che fosse fallito proprio quel servizio di backup centralizzato che in teoria avrebbe dovuto garantire esattamente la sopravvivenza dei contenuti critici dei loro dispositivi anche a seguito della rottura dei dispositivi stessi.
La percezione della sicurezza
Ricordiamo anche come in passato siano già accaduti fatti di ben più
ampia portata, anche se fortunatamente risolti senza perdita di dati,
che dovrebbero far riflettere su quanto sia critica la disponibilità
dei servizi on-line da cui tutti dipendiamo sempre più strettamente. Il
31 gennaio 2009 ad esempio il mondo intero rimase col fiato sospeso per
circa un'ora in occasione dell'incredibile blocco del motore di ricerca
di Google dovuto ad errore umano di configurazione, mentre il 24
febbraio la stessa sorte toccò a Gmail che rese inaccessibili le
proprie caselle di posta per alcune ore. Non a caso un recente studio di Evans
Data Corporation sui pregi e difetti attribuiti dagli addetti ai lavori
alle offerte commerciali di vari grandi player in ambito "cloud
computing" pone come fattore critico proprio la percezione della
sicurezza. È interessante da questo punto di vista notare come tale
studio ponga l'offerta di Microsoft (denominata Azure) agli ultimi
posti della classifica proprio per la minore sicurezza percepita in
termini di affidabilità e downtime, fattori ovviamente critici in
un'infrastruttura che deve fun-zionare sempre senza problemi.Fidarsi è bene...
Le cose peggiorano se passiamo ad occuparci dei problemi connessi alla lealtà degli operatori. È chiaro che qui si corre il rischio di farsi prendere la mano dalla paranoia, tuttavia non è del tutto illegittimo interrogarsi sul livello di onestà intellettuale di coloro che intendono custodire nei propri server i dati critici di migliaia o milioni di utenti di tutto il mondo. È noto, ad esempio, che in anni recenti l'Unione Europea ha formalmente contestato agli Stati Uniti l'utilizzo improprio del sistema di intercettazione Echelon che, nato per prevenire il terrorismo internazionale, è stato invece usato per ottenere vantaggi competitivi per le aziende americane praticando un vero e proprio spionaggio industriale nei confronti delle industrie europee. È altresì risaputo che Google consente ufficiosamente alle agenzie di intelligence americane di sottoporre a raffinate analisi di data mining le query ricevute dal proprio motore di ricerca, per estrarre informazioni utili alla "sicurezza nazionale". È facile immaginare a questo punto che a qualcuno potrebbe far gola svolgere un'analisi di tipo business intelligence sui contenuti dei milioni di mailbox ospitate da Gmail, per non parlare dei documenti aziendali ospitati da applicazioni remote quali Google Docs. In nome della lotta al terrorismo, beninteso... salvo poi fare come accaduto con Echelon, e tentare di ricavare da tali analisi vantaggi ben più immediati e tangibili...
Cloud sì, ma con giudizio
Nel momento in cui i servizi "in the cloud" venissero utilizzati su larga scala per gestire business critici, dunque, il problema della fiducia verso i gestori della nuvola meriterebbe qualche serena ma seria riflessione. A proposito, avete mai letto le condizioni d'uso di questi servizi online? In molti casi l'utente, per accettare di usufruire del servizio, deve esplicitamente acconsentire a trasferire almeno in parte al gestore la proprietà dei suoi dati, con buona pace della privacy... Insomma, "nuvola è bello" ma con giudizio. Prima di affidare i propri dati alla Rete, senza alcun controllo, occorre valutare la situazione e decidere consapevolmente se accettare gli inevitabili rischi a fronte degli indiscutibili vantaggi. La cosa peggiore da fare è non pensare agli eventuali problemi che potrebbero verificarsi, ed alle possibili conseguenze. L'informatica è quella disciplina dove l'impossibile accade regolarmente: non andiamoci a cercare guai laddove non ce ne sia strettamente bisogno...
Lascia un commento
Articoli simili Indice principale Archivi
Network Techblogs.it Professional
Categorie
Pubblicato in Security Zone da
Corrado Giustozzi
Pubblicato in Security Zone da
Corrado Giustozzi
Pubblicato in Security Zone da
Corrado Giustozzi
Pubblicato in Security Zone da
Corrado Giustozzi
Pubblicato in Security Zone da
Corrado Giustozzi
Pubblicato in Security Zone da
Corrado Giustozzi
Pubblicato in Security Zone da
Corrado Giustozzi
Si parla di...
Per la pubblicità: Master Advertising S.r.L.
redazione@techblogs.it | Condizioni generali per l'uso del sito | Privacy
