Brevemente, sul cloud computing

July 22, 2009
by Riccardo Mori
Mele e appunti

Giacomo, in un recente commento, chiedeva:

Perché non vi interessa il cloud computing? È un motivo di principio – del tipo che non vi piace avere i vostri dati fuori dal vostro controllo ed eventualmente senza la completa sicurezza che restino privati? Oppure è un discorso più collegato al fatto che attualmente il cloud computing (a causa di numerosi motivi) non è ancora “pronto” per l’interesse delle grandi masse?

Per quanto mi riguarda, direi entrambe le cose, con l’accento forse più sulla prima. Fra l’altro su questo argomento si è recentemente pronunciato Bruce Schneier, noto guru della sicurezza informatica, a cui lascio la parola:

[…] Ma pubblicità e sensazionalismi a parte, il cloud computing non è nulla di nuovo. È la versione moderna del modello del timesharing che si usava negli anni Sessanta, che alla fine fu abbandonato a causa del crescente successo del personal computer. Cloud computing è quel che hanno fatto Hotmail e Gmail in questi anni, ed è quel che fanno i siti di social networking, le aziende che offrono backup remoti, e le aziende di filtraggio della posta elettronica da remoto, come MessageLabs. Qualunque genere di outsourcing IT — infrastruttura di rete, monitoring di sicurezza, hosting remoto — è una forma di cloud computing. […]

E la sicurezza? Non è più pericoloso avere le proprie email sui server di Hotmail, i propri fogli di calcolo sui server di Google, le conversazioni personali sui server di Facebook e le previsioni di vendita della propria azienda sui server di Salesforce.com? Beh, sì e no.

La sicurezza IT ruota intorno alla fiducia. Occorre fidarsi di chi costruisce i microprocessori, dell’hardware, del sistema operativo, dei produttori di software, nonché del proprio Internet Provider. Uno qualsiasi di questi elementi può compromettere la nostra sicurezza: mandare in crash i sistemi, corrompere dati, permettere a un aggressore di ottenere accesso ai sistemi. Abbiamo speso decenni combattendo worm e rootkit che prendono di mira vulnerabilità nel software. Ci siamo preoccupati di chip infettati. Ma alla fine non abbiamo altra scelta se non quella di fidarci ciecamente della sicurezza dei fornitori IT di cui ci serviamo.

Il Saas (Software as a service) sposta il confine della fiducia a un livello ulteriore: adesso dobbiamo fidarci anche dei fornitori di questi servizi software, ma le cose non cambiano granché. È l’ennesima entità di cui ci si deve fidare.

Tuttavia esiste una differenza fondamentale. Quando un computer si trova all’interno della nostra rete, possiamo proteggerlo con altri sistemi di sicurezza, come firewall e IDS (sistemi anti-intrusione). È possibile costruire un sistema resistente che funziona anche nel caso in cui quei produttori di cui ci dobbiamo fidare non si rivelano così degni di fiducia. Con un modello di outsourcing, che si tratti di cloud computing o di altro, non è possibile. È necessario fidarsi totalmente del proprio outsourcer. E non solo bisogna fidarsi della sicurezza dell’outsourcer, ma anche della sua affidabilità, disponibilità, e continuità di business.

Non vogliamo che i nostri dati più importanti si trovino su qualche cloud computer che sparisce improvvisamente perché il proprietario è andato in bancarotta. Non vogliamo che l’azienda che stiamo utilizzando venga venduta al nostro diretto concorrente. Non vogliamo che l’azienda effettui dei tagli senza preavviso perché i tempi sono duri. O aumentare i suoi prezzi per poi rifiutarsi di restituire i nostri dati. Queste cose possono accadere con i produttori di software, ma i risultati non sono così drastici.

Esistono due tipi diversi di clienti del cloud computing. Il primo tipo paga solo una cifra simbolica per tali servizi, li usa gratuitamente e in cambio riceve pubblicità (esempi: Gmail, Facebook). Questo genere di clienti non ha alcuna voce in capitolo nei confronti dell’outsourcer. Si possono perdere tutte le informazioni — ad aziende come Google o Amazon importerà poco. Il secondo tipo di clientela paga una cifra considerevole per questi servizi: a Salesforce.com, MessageLabs, aziende di managed networking, e così via. Questa clientela ha maggior voce in capitolo, nel caso ovviamente che tali aziende scrivano correttamente i loro contratti di servizio. In ogni caso nulla viene garantito. […]

L’enfasi nell’estratto citato è mia, non di Schneier. Ho evidenziato in grassetto quelli che per me sono i punti essenziali, che non mi rendono completamente tranquillo quando si parla di cloud computing. Se vogliamo, sono più l’integrità e la ricuperabilità dei dati a preoccuparmi, che non la privacy in senso stretto. Certo, quando ci si serve del cloud computing in maniera sostanzialmente marginale, la privacy è un problema relativo: se non voglio che Google legga la mia posta o i documenti che creo su Google Docs, eviterò di usare Gmail e lavorerò in locale ai miei progetti e documenti da tener privati e segreti. Se ipoteticamente Google Chrome OS fosse, come ho immaginato nell’altro post, interamente basato sulla ‘nuvola’ forse le ripercussioni a livello di privacy sarebbero più notevoli.

Però, ripeto, quelli che considero i fattori critici sono la sicurezza dei dati e l’affidabilità delle entità che li gestiscono. Le preoccupazioni inerenti alla privacy non stanno tanto nella paura che qualcuno in Apple legga la mia corrispondenza MobileMe o che qualcuno in Google legga i miei carteggi privati in Gmail. Usando il buonsenso, è altamente improbabile che questo accada, se non altro perché gli account di posta MobileMe e Gmail sono ormai nell’ordine dei milioni (la praticità di Gmail invita ad aprire account multipli, e io stesso ne ho una dozzina; facendo qualche moltiplicazione si possono immaginare i numeri a livello globale). Ma la privacy diventa un problema se viene compromessa la sicurezza dei dati: a nessuno farebbe piacere veder comparire stralci di email private facendo una ricerca qualsiasi in Google, per esempio. (Se non ricordo male, in passato era accaduta una cosa analoga in Flickr, dove per un errore del sistema una serie di foto contrassegnate come ‘private’ dai rispettivi utenti, erano state rese visibili a tutti).

Tornando alla domanda di Giacomo, penso che il cloud computing sia senza dubbio pronto per l’interesse delle grandi masse, le quali probabilmente già ne fanno uso senza rendersi conto appieno delle implicazioni. I dettagli che, per come la vedo io, renderebbero il cloud computing davvero maturo sarebbero una maggiore trasparenza e un minimo di garanzie offerte dal gestore di un servizio. Visto l’andazzo e leggendo i vari Termini del Servizio, però, temo che l’approccio sarà sempre del tipo “Questo è ciò che offriamo, senza garanzie. Se vi va bene, ottimo. Altrimenti rivolgetevi altrove”.

Come già dicevo nei commenti al mio articolo su Google Chrome OS, trovo senz’altro affascinante l’idea di esternalizzare informazioni e di averle sempre sottomano da qualsiasi macchina mi colleghi, e servizi come Dropbox mi hanno salvato il posteriore in un paio di occasioni. Ritengo improbabile che grandi aziende come Apple e Google facciano passi falsi dal punto di vista della sicurezza dei dati, se non altro perché sarebbe un danno incalcolabile alla loro immagine e non possono permettersi che accada una cosa del genere. Ma nel frattempo continuo a tenere una copia di tutto sui miei Mac e nei miei backup.

The Author

Writer. Translator. Mac consultant. Enthusiast photographer. • If you like what I write, please consider supporting my writing by purchasing my short stories, Minigrooves or by making a donation. Thank you!

6 Comments

Comments are closed.