Brevemente, sul cloud computing

Mele e appunti

Giacomo, in un recente commento, chiedeva:

Perché non vi interessa il cloud computing? È un motivo di principio – del tipo che non vi piace avere i vostri dati fuori dal vostro controllo ed eventualmente senza la completa sicurezza che restino privati? Oppure è un discorso più collegato al fatto che attualmente il cloud computing (a causa di numerosi motivi) non è ancora “pronto” per l’interesse delle grandi masse?

Per quanto mi riguarda, direi entrambe le cose, con l’accento forse più sulla prima. Fra l’altro su questo argomento si è recentemente pronunciato Bruce Schneier, noto guru della sicurezza informatica, a cui lascio la parola:

[…] Ma pubblicità e sensazionalismi a parte, il cloud computing non è nulla di nuovo. È la versione moderna del modello del timesharing che si usava negli anni Sessanta, che alla fine fu abbandonato a causa del crescente successo del personal computer. Cloud computing è quel che hanno fatto Hotmail e Gmail in questi anni, ed è quel che fanno i siti di social networking, le aziende che offrono backup remoti, e le aziende di filtraggio della posta elettronica da remoto, come MessageLabs. Qualunque genere di outsourcing IT — infrastruttura di rete, monitoring di sicurezza, hosting remoto — è una forma di cloud computing. […]

E la sicurezza? Non è più pericoloso avere le proprie email sui server di Hotmail, i propri fogli di calcolo sui server di Google, le conversazioni personali sui server di Facebook e le previsioni di vendita della propria azienda sui server di Salesforce.com? Beh, sì e no.

La sicurezza IT ruota intorno alla fiducia. Occorre fidarsi di chi costruisce i microprocessori, dell’hardware, del sistema operativo, dei produttori di software, nonché del proprio Internet Provider. Uno qualsiasi di questi elementi può compromettere la nostra sicurezza: mandare in crash i sistemi, corrompere dati, permettere a un aggressore di ottenere accesso ai sistemi. Abbiamo speso decenni combattendo worm e rootkit che prendono di mira vulnerabilità nel software. Ci siamo preoccupati di chip infettati. Ma alla fine non abbiamo altra scelta se non quella di fidarci ciecamente della sicurezza dei fornitori IT di cui ci serviamo.

Il Saas (Software as a service) sposta il confine della fiducia a un livello ulteriore: adesso dobbiamo fidarci anche dei fornitori di questi servizi software, ma le cose non cambiano granché. È l’ennesima entità di cui ci si deve fidare.

Tuttavia esiste una differenza fondamentale. Quando un computer si trova all’interno della nostra rete, possiamo proteggerlo con altri sistemi di sicurezza, come firewall e IDS (sistemi anti-intrusione). È possibile costruire un sistema resistente che funziona anche nel caso in cui quei produttori di cui ci dobbiamo fidare non si rivelano così degni di fiducia. Con un modello di outsourcing, che si tratti di cloud computing o di altro, non è possibile. È necessario fidarsi totalmente del proprio outsourcer. E non solo bisogna fidarsi della sicurezza dell’outsourcer, ma anche della sua affidabilità, disponibilità, e continuità di business.

Non vogliamo che i nostri dati più importanti si trovino su qualche cloud computer che sparisce improvvisamente perché il proprietario è andato in bancarotta. Non vogliamo che l’azienda che stiamo utilizzando venga venduta al nostro diretto concorrente. Non vogliamo che l’azienda effettui dei tagli senza preavviso perché i tempi sono duri. O aumentare i suoi prezzi per poi rifiutarsi di restituire i nostri dati. Queste cose possono accadere con i produttori di software, ma i risultati non sono così drastici.

Esistono due tipi diversi di clienti del cloud computing. Il primo tipo paga solo una cifra simbolica per tali servizi, li usa gratuitamente e in cambio riceve pubblicità (esempi: Gmail, Facebook). Questo genere di clienti non ha alcuna voce in capitolo nei confronti dell’outsourcer. Si possono perdere tutte le informazioni — ad aziende come Google o Amazon importerà poco. Il secondo tipo di clientela paga una cifra considerevole per questi servizi: a Salesforce.com, MessageLabs, aziende di managed networking, e così via. Questa clientela ha maggior voce in capitolo, nel caso ovviamente che tali aziende scrivano correttamente i loro contratti di servizio. In ogni caso nulla viene garantito. […]

L’enfasi nell’estratto citato è mia, non di Schneier. Ho evidenziato in grassetto quelli che per me sono i punti essenziali, che non mi rendono completamente tranquillo quando si parla di cloud computing. Se vogliamo, sono più l’integrità e la ricuperabilità dei dati a preoccuparmi, che non la privacy in senso stretto. Certo, quando ci si serve del cloud computing in maniera sostanzialmente marginale, la privacy è un problema relativo: se non voglio che Google legga la mia posta o i documenti che creo su Google Docs, eviterò di usare Gmail e lavorerò in locale ai miei progetti e documenti da tener privati e segreti. Se ipoteticamente Google Chrome OS fosse, come ho immaginato nell’altro post, interamente basato sulla ‘nuvola’ forse le ripercussioni a livello di privacy sarebbero più notevoli.

Però, ripeto, quelli che considero i fattori critici sono la sicurezza dei dati e l’affidabilità delle entità che li gestiscono. Le preoccupazioni inerenti alla privacy non stanno tanto nella paura che qualcuno in Apple legga la mia corrispondenza MobileMe o che qualcuno in Google legga i miei carteggi privati in Gmail. Usando il buonsenso, è altamente improbabile che questo accada, se non altro perché gli account di posta MobileMe e Gmail sono ormai nell’ordine dei milioni (la praticità di Gmail invita ad aprire account multipli, e io stesso ne ho una dozzina; facendo qualche moltiplicazione si possono immaginare i numeri a livello globale). Ma la privacy diventa un problema se viene compromessa la sicurezza dei dati: a nessuno farebbe piacere veder comparire stralci di email private facendo una ricerca qualsiasi in Google, per esempio. (Se non ricordo male, in passato era accaduta una cosa analoga in Flickr, dove per un errore del sistema una serie di foto contrassegnate come ‘private’ dai rispettivi utenti, erano state rese visibili a tutti).

Tornando alla domanda di Giacomo, penso che il cloud computing sia senza dubbio pronto per l’interesse delle grandi masse, le quali probabilmente già ne fanno uso senza rendersi conto appieno delle implicazioni. I dettagli che, per come la vedo io, renderebbero il cloud computing davvero maturo sarebbero una maggiore trasparenza e un minimo di garanzie offerte dal gestore di un servizio. Visto l’andazzo e leggendo i vari Termini del Servizio, però, temo che l’approccio sarà sempre del tipo “Questo è ciò che offriamo, senza garanzie. Se vi va bene, ottimo. Altrimenti rivolgetevi altrove”.

Come già dicevo nei commenti al mio articolo su Google Chrome OS, trovo senz’altro affascinante l’idea di esternalizzare informazioni e di averle sempre sottomano da qualsiasi macchina mi colleghi, e servizi come Dropbox mi hanno salvato il posteriore in un paio di occasioni. Ritengo improbabile che grandi aziende come Apple e Google facciano passi falsi dal punto di vista della sicurezza dei dati, se non altro perché sarebbe un danno incalcolabile alla loro immagine e non possono permettersi che accada una cosa del genere. Ma nel frattempo continuo a tenere una copia di tutto sui miei Mac e nei miei backup.

The Author

Writer. Translator. Mac consultant. Enthusiast photographer. • If you like what I write, please consider supporting my writing by purchasing my short stories, Minigrooves or by making a donation. Thank you!

6 Comments

  1. La sicurezza IT ruota intorno alla fiducia. Occorre fidarsi di chi costruisce i microprocessori, dell’hardware, del sistema operativo, dei produttori di software, nonché del proprio Internet Provider. Uno qualsiasi di questi elementi può compromettere la nostra sicurezza: mandare in crash i sistemi, corrompere dati, permettere a un aggressore di ottenere accesso ai sistemi. Abbiamo speso decenni combattendo worm e rootkit che prendono di mira vulnerabilità nel software. Ci siamo preoccupati di chip infettati. Ma alla fine non abbiamo altra scelta se non quella di fidarci ciecamente della sicurezza dei fornitori IT di cui ci serviamo.”

    Questo è il passaggio che più mi ha colpito. Una verità inconfutabile.

  2. Paolo says

    Scusate se sono pignolo ma “cloud computing” sarebbe la “elaborazione che avviene nella nuvola” di per sè il termine non indica che dobbiamo affidare i nostri dati sui server internet.

    Cloud computing indica più che altro che il potere di elaborazione dei nostri dati si sposta dalle cpu del nostro Mac a quella disponibile dalla Rete ( magari con elaborazione distribuita da parte di tutti i server ).

    I nostri dati possiamo tenerceli salvati ancora sull’ hd…

    P.S. Ho detto ciò perchè sembra che voi pensiate che “cloud computing” significhi per forza uploadare i documenti sui server di google… ma non è così.

  3. Paolo says

    Aggiungo che Chrome Os non è per forza un inno all’ invio dei documenti sulla nuvola…

    Più che altro offre programmi basati sul web ( quindi compatibili con vari os ).

    Tipo google mi offre un’ applicazione tipo Word basata sul web ( accessibile su qualsiasi os del pianeta terra) per modificare i documenti che ho sul mio hard disk e in più i server google si fanno carico dell’ elaborazione del documento sgravando la nostra cpu.

    E’ come se il browser diventasse un terminale, ma non sta scritto da nessuna parte che i miei documenti devo per forza salvarli sui server google.

    certo che, illegalmente o legalmente a seconda del le condizioni di utilizzo del programma web, google potrebbe avere acceso ai documenti aperti con il suo programma web.…

  4. @Riccardo: Grazie per l’ampia e interessante risposta alla mia domanda, mi ha portato diversi stimoli per riflettere.
    Come te continuerò sempre a conservare i miei backup anche a casa, ma ritengo che con il passare del tempo il cloud computing assumerà via via un ruolo sempre più importante nell’utilizzo dei computer.
    Forse, proprio per questo, la prossima evoluzione che permetterà a certi servizi di fare la differenza sarà quella da te auspicata: una maggiore trasparenza ed un minimo di garanzie da parte di chi offre questi servizi.

  5. Paolo: La distinzione che fai è sicuramente corretta e puntuale, e mi spiace se involontariamente ho contribuito ad alimentare confusione. Nel mio intervento il ‘cloud computing’ è trattato molto in generale, e al centro dell’attenzione sono più i Saas (software as a service).

    Le conclusioni, però, non cambiano: rimane un problema di fiducia riposta praticamente alla cieca nei confronti di chi offre i servizi; rimane un problema di trasparenza (come vengono elaborati i dati, su che sistemi e con quale livello di sicurezza?); e rimane un problema di affidabilità e di continuità del servizio.

    Scrivi: Tipo google mi offre un’ applicazione tipo Word basata sul web ( accessibile su qualsiasi os del pianeta terra) per modificare i documenti che ho sul mio hard disk e in più i server google si fanno carico dell’ elaborazione del documento sgravando la nostra cpu.

    È un’ipotesi plausibile, ma mi sembra molto più comodo (per Google in primo luogo, e poi anche per l’utente entro certi limiti) che almeno una copia dei dati da elaborare risieda sui server di Google, come di fatto già accade per la posta Gmail e i documenti Google Docs. Le comodità per l’utente sono innegabili con questo modello: in Gmail le ricerche sono immediate, anche in archivi con migliaia di messaggi; i dati, visto che stanno su server altrui nella ‘nuvola’, sono accessibili da qualunque computer in qualunque momento. Mentre non è altrettanto facile accedere remotamente ai dati contenuti nel disco rigido del mio Mac a casa, che come minimo dovrei tenere acceso.

    Questo per dire che non è escluso che le applicazioni Web che faranno parte di Google Chrome OS funzionino come tu dici, ma ho l’impressione che, almeno nel caso di quelle prodotte da Google, servano anche e soprattutto a gestire dati conservati al di fuori della macchina locale.

    Tuttavia, dato che in questo momento, Google Chrome OS è ancora allo stadio di vaporware, sto davvero tirando a indovinare e ovviamente mica voglio aver ragione a tutti i costi :)

    Ciao!
    Riccardo

Comments are closed.