09 Apr 6_GDPR non ti temo – Definizione repository ed assets (PRO)
Definizione delle strutture di trattamento dati e repository
La conservazione di dati in cloud è diventata ormai una prassi comune e consolidata in migliaia di aziende, ma molte volte vengono valutati esclusivamente gli aspetti di costo e spazio e non quelli di sicurezza.
Va anche detto che i sistemi di conservazione sono di diverso tipo, dal basilare al complesso: si parte dal semplice FTP a cartelle condivise (WebDAV) fino a sistemi di sincronizzazione complessi ed integrati a suite di office (Office 365 con Onedrive o DropBox, ma anche Apple con iDrive e iTunes) e persino criptati.
Vediamo insieme le caratteristiche di un buon sistema di conservazione dati in cloud e le valutazioni da fare per determinare se è quello adatto a noi.
- Rispetto ad avere un server fisico in azienda abbiamo sicuramente il vantaggio evidente della visibilità remota (tramite internet), che in un server aziendale comporterebbe la necessità di firewall e IP pubblici protetti con VPN o Whitelist di accesso.
La possibilità di avere la disponibilità su diversi dispositivi (mobile in primis) permette di avere i dati ovunque siamo e non solo in ufficio, nell’ottica di quello che diventerà sempre più Smart Working. - Poi la resilienza fisica: i dati sono “suddivisi” su più server e dischi e pertanto il guasto di un dispositivo non compromette la disponibilità del dato.
Infine il backup: in caso di modifiche dei dati indesiderate (es: ransomware) questi sistemi permettono di recuperare a ritroso le versioni dei file precedenti al danno e pertanto rientrare in possesso dell’originale. - Lo svantaggio in termini di sicurezza è che avere i dati su cloud sicuramente li espone a maggiori “possibilità” di attacco, ragionando proprio in termini statistici: i servizi più conosciuti sono quelli più attaccati perché si sospetta che abbiano informazioni migliori. Per contro questi grossi player hanno a disposizione budget per la protezione decisamente più elevati di quelli di un singolo utente.
Proprio dal punto di vista di sicurezza, i “public cloud” (Google, Onedrive, Dropbox, ecc) stanno adottando standard di sicurezza sempre più elevati, ma abbiamo detto che molto diffusi, la possibilità di diventare un bersaglio è elevata: 2 anni fa, ad esempio, Dropbox subiva un furto di 68.000 tra email e password. - Poi ricordiamo che l’obiettivo dei cloud pubblici è di semplificare il più possibile la condivisione di file tra utenti, ma spesso l’attivazione (involontaria o inconsapevole) della condivisione di intere cartelle di dati caricate su un cloud pubblico verso utenti esterni diventano un vero problema di sicurezza.
In questo caso è opportuno anche formare l’utente ed avere il controllo dei dati condivisi e delle persone a cui si condividono. - Un altro elemento da valutare è il tempo di recupero dei dati in caso di disastro: quanto tempo sarebbe necessario per scaricare nuovamente dal cloud pubblico i dati. Le linee internet italiane sono state messe recentemente alla prova e in questo momento non sono in grado di garantire il trasferimento di grandi quantità di dati in tempi idonei ad un ripristino “immediato”, si devono quindi mettere in piano “giorni” per il recupero delle funzionalità complete.
- Infine, ultima della lista ma non per importanza, è la questione relativa alla privacy e GDPR: quando si caricano dati sui cloud pubblici, sono spesso conservati in paesi fuori dall’Unione Europa, USA ad esempio.
Questo comporta che nella dichiarazione di “accountability” si debba dichiarare che il dato è conservato fuori dalla portata del GDPR (e del relativo privecy shield).
Cloud privato:
Il cloud privato (o private cloud) è una infrastruttura cloud che condivide quasi tutte le caratteristiche del cloud pubblico, come una scalabilità semplificata e la gestione in modalità self-service, ma in cui le risorse hardware sono interamente dedicate a una singola organizzazione o utente.
Contrariamente a quanti molti pensano, il termine “private” non identifica il fatto che i server su cui gira il cloud risiedano fisicamente all’interno dell’azienda. Un cloud privato può essere acquistato come servizio da un fornitore terzo, che però non dia accesso ad altri utenti se non quelli definiti dall’azienda. Il “server” è FISICAMENTE DEDICATO all’utente.
Generalmente viene fornito un pannello di gestione e controllo dell’infrastruttura cloud, per la manutenzione di spazio, account, potenza, ecc. e magari gestire anche le istanze di virtualizzazione su cui far accedere utenti con diritti differenti (segmentazione).
I motivi per preferire un cloud privato a uno pubblico sono:
- Necessità normative: In alcuni settori, si è obbligati da leggi, normative e regole di compliance a custodire i dati nella propria infrastruttura IT;
- Preoccupazioni di sicurezza: In un private cloud, tutti i dati transitano all’interno del perimetro aziendale, fisico o virtuale.
- Prestazioni: Alcune applicazioni che necessitano di trasferire grandi quantità di dati potrebbero essere avvantaggiate da un’infrastruttura integrata.
Ci sono, però, anche alcuni svantaggi o situazioni in cui potrebbe non essere la soluzione più indicata.
- Scalabilità limitata: Se in un cloud pubblico le risorse disponibili sono praticamente infinite in un cloud privato sono limitate dall’infrastruttura fisica. Raggiunto il limite, è necessario acquistare nuovo hardware.
- Rischio di over deployment: l’infrastruttura deve essere dimensionata sul carico massimo previsto, per il resto del tempo una parte dell’infrastruttura rimarrà inattiva, immobilizzando capitale, occupando spazio e richiedendo manutenzione.
- Qualificazione del personale: A meno che non si ricorra a un servizio gestito da terze parti, la creazione e la gestione di un cloud privato richiedono personale qualificato con competenze specifiche, soprattutto per garantire il regolare funzionamento e la sicurezza.
- Rischi per la sicurezza fisica: è necessario preoccuparsi della sua continuità di servizio e della sicurezza fisica. Un evento catastrofico che colpisca la sede locale (incendi, alluvioni, terremoti) avrà effetto anche sui dati e sulla continuità del servizi online.
Per ottimizzare le soluzioni e risolvere i problemi, prendendo il buono del primo e del secondo mondo esistono le soluzioni di cloud ibrido, che come dice il nome sfruttano sia una parte pubblica sia una privata.
Nel cloud ibrido (in inglese hybrid cloud) la gestione di macchine e risorse è dinamica, gestita da pannelli che sfruttano le logiche dell’on demand: in base alle esigenze, si modulano i server e i processori per coprire i picchi o ridurre al minimo i costi, creando un data center scalabile e performante.
Nella nostra esperienza noi abbiamo imparato ad apprezzare e gestire tutte le possibilità e sappiamo quindi valutare i diversi aspetti delle necessità del cliente, tra i prodotti che abbiamo valutato e a cui dedicheremo approfondimenti in futuro: NextCloud, OnlyOffice e l’infrastruttura Aruba Business per il cloud.
È sempre buona norma comunque utilizzare (sia nel caso di cloud privato che nel caso di cloud pubblico, ma anche per la versione hybrid) una struttura di backup idonea, anche tramite un altro sistema cloud, ma comunque una seconda linea di backup che permetta di recuperare i dati in caso di “excessive fault” della struttura principale.