Cos'è il cloud sovrano?

Poiché sempre più aziende si affidano a soluzioni hybrid cloud per realizzare le loro iniziative di trasformazione digitale, gli ambienti cloud (e in particolare il modo in cui gli utenti accedono, archiviano e utilizzano i dati in essi contenuti) stanno diventando sempre più importanti. Con la continua diffusione del cloud computing a livello globale, i confini geografici tradizionali, come le frontiere, non sono più sufficienti per proteggere i dati sensibili.

È qui che entra in scena il sovereign cloud, un concetto che include la sovranità dei dati, la sovranità operativa e la sovranità digitale. Il sovereign cloud aiuta le aziende a ispirare fiducia nei clienti e a far crescere il proprio business, nel rispetto delle leggi e delle normative dei paesi in cui operano.

Un sovereign cloud protegge principalmente i dati dei consumatori e delle organizzazioni. Sebbene molte normative si concentrino principalmente sulla protezione delle informazioni di identificazione personale, o PII, a seconda del settore, del paese o del caso d'uso aziendale, possono anche proteggere la proprietà intellettuale (IP), il software, i segreti commerciali, le informazioni finanziarie e molto altro. Poiché le normative sulla privacy dei dati nel cloud variano a seconda dei paesi e delle regioni, non esiste una definizione univoca e accettata di ciò che un sovereign cloud può proteggere. Gli approcci tendono a variare in base al settore, al luogo geografico e alle esigenze aziendali.

Alcuni framework di sovereign cloud si occupano della residenza dei dati, in base alla quale i dati sono soggetti alle leggi e ai regolamenti del paese specifico in cui vengono memorizzati. Altri si occupano della sovranità dei dati, in base alla quale i dati memorizzati sono soggetti alle leggi del paese in cui sono stati acquisiti. In definitiva, gli approcci al sovereign cloud non solo aiutano le aziende a rispettare le leggi che riguardano i loro dati più sensibili, ma le aiutano anche a rimanere resilienti.

Via via che le aziende spostano sempre più applicazioni sul cloud, il cloud stesso sta rapidamente diventando un'infrastruttura critica.

L'ambiente cloud di un'azienda è ormai considerato importante per la sua salute tanto quanto un impianto produttivo, un complesso di uffici o una preziosa proprietà intellettuale. Inoltre, poiché i settori altamente regolamentati in ambito privato e pubblico trasferiscono i loro servizi principali sul cloud, la necessità di mantenere i dati al sicuro sta diventando fondamentale.

Inoltre, l'ascesa di tecnologie ad alta intensità di dati come l'intelligenza artificiale (AI) e il machine learning (ML), che dipendono da un accesso rapido e sicuro ai dati, sta costringendo le aziende a prendere decisioni più strategiche sulla tecnologia cloud. L'AI, e in particolare l'AI generativa, può potenzialmente alimentare preziose innovazioni aziendali, ma senza un solido ecosistema di sovereign cloud non possono decollare.

Le imprese in settori altamente regolamentati, come quello sanitario e finanziario, devono affrontare ostacoli particolarmente insidiosi. Ad esempio, in Europa esiste una proposta chiamata European Cybersecurity Certification Scheme for Cloud Services (EUCS) che prevede l'unione delle normative esistenti negli Stati membri dell'Unione Europea e il Digital Operational Resilience Act (DORA), che mira a gestire i rischi legati alle ICT e stabilisce regole sulla gestione del rischio ICT, la segnalazione degli incidenti, i test di resilienza operativa e il monitoraggio del rischio dei fornitori terzi di ICT. Soluzioni efficaci di sovereign cloud aiutano le aziende a rimanere aggiornate sugli organismi di regolamentazione e sulle nuove normative, nonché a prendere decisioni più strategiche in merito ai rischi, ai dati e a un panorama delle minacce in continua evoluzione. Esaminiamo più nel dettaglio alcuni dei vantaggi più importanti del sovereign cloud aziendale.

Le aziende disposte a investire in un solido framework di sovereign cloud quale parte di un più ampio percorso di trasformazione digitale in genere ottengono importanti benefici. Dal maggiore controllo sui dati, al miglioramento della connettività, della resilienza dei dati e delle prestazioni delle app, ecco i cinque principali motivi per cui le aziende adottano un approccio al sovereign cloud.

Per essere efficace, la sovranità del cloud deve fornire tre risultati critici per un'azienda: sovranità dei dati, sovranità operativa e sovranità digitale. Vediamo più nel dettaglio ciascuno di questi concetti e perché sono importanti.

Il rispetto della sovranità dei dati, ovvero l'idea che i dati siano soggetti alle leggi del paese o della regione in cui sono stati generati, è un requisito fondamentale della maggior parte delle soluzioni di cloud sovrano. Una solida sovranità dei dati aiuta le aziende a proteggere i dati dei propri clienti da attacchi informatici e altre minacce, garantendo al contempo che nessuna persona non autorizzata vi abbia accesso. Ad esempio, in base alla maggior parte dei requisiti di sovranità dei dati, i CSP non hanno accesso ai dati dei clienti, anche quando si trovano nel data center cloud da loro gestito.

Un altro aspetto importante della sovranità dei dati è il concetto di residenza dei dati, ossia l'idea che i dati siano soggetti alle leggi e ai regolamenti della regione o del paese in cui vengono archiviati. Oltre a rispettare la privacy dei dati, le soluzioni di cloud sovrano devono rispettare anche tutte le leggi e i regolamenti applicabili sulla residenza dei dati.

La sovranità operativa aiuta a garantire che l'infrastruttura critica associata alle applicazioni che utilizzano un gran numero di dati sia sempre attiva e accessibile. Inoltre, la sovranità operativa aiuta le aziende a mantenere il controllo sui propri processi operativi e a individuare le inefficienze. Con un approccio solido alla sovranità operativa, anche se una determinata regione è colpita da un disastro, un'azienda può garantire che la propria infrastruttura critica sia resiliente attraverso un piano di business continuity disaster recovery (BCDR) o Disaster-Recovery-as-a-Service (DRaaS)  . Infine, la sovranità operativa aiuta le aziende a rispettare le normative locali che regolano l'infrastruttura necessaria per supportare gli ambienti cloud in una particolare area geografica.

Come la sovranità operativa e la sovranità dei dati, la sovranità digitale all'interno della regione è un concetto che non ha una definizione universale unica. È un termine generico che descrive il livello di controllo di un'organizzazione sui suoi asset digitali, inclusi dati, software, contenuti e infrastrutture digitali. La sovranità digitale è importante per il concetto di cloud sovrano principalmente nel contesto della governance e della trasparenza: le aziende che attuano il controllo degli accessi ai propri asset digitali devono stabilire regole su chi dispone delle autorizzazioni. Queste regole devono essere configurate in modo da essere facilmente applicabili, come nel policy-as-code, un processo che consente alle organizzazioni di gestire la propria infrastruttura e le proprie procedure in modo ripetibile.

La trasparenza, un altro aspetto importante della sovranità digitale, si riferisce alla capacità di un'organizzazione di verificare i propri processi e risultati. La trasparenza garantisce che le organizzazioni possano vedere i loro workflow operativi più importanti in modo da poter vedere cosa funziona e cosa deve essere cambiato.

Quando si parla di sovereign cloud, non esiste una soluzione valida per tutti. Le aziende potrebbero desiderare lo stesso risultato dal loro approccio all'hybrid cloud, ad esempio la trasformazione digitale, ma il modo in cui lo ottengono varierà a seconda delle dimensioni, del luogo, del settore e dei requisiti aziendali. È qui che i vantaggi di un approccio basato sul rischio diventano evidenti.

Un solido approccio basato sul rischio al sovereign cloud bilancia la crescita (ad esempio, il potenziale di una nuova tecnologia entusiasmante come l'AI generativa) con i rischi, come il danno alla reputazione causato da una violazione dei dati. Per le applicazioni critiche e i dati altamente sensibili, le aziende potrebbero voler esercitare un livello di controllo più elevato rispetto ad altre applicazioni meno critiche. Una regolamentazione precisa, abbinata a un approccio basato su standard per le norme e gli standard di governance, contribuisce a garantire che le norme adottate possano essere gestite anche in modo tecnologico.

A seconda dei requisiti di rischio e crescita di un'organizzazione, del tipo di dati archiviati e della posizione in cui si trovano tali dati, sono disponibili due opzioni per l'implementazione e l'applicazione delle politiche di sovereign cloud: cloud pubblico o distribuito. Nella maggior parte dei paesi, le implementazioni di cloud pubblico e multicloud aiutano le organizzazioni a distribuire i workload cloud mantenendo il controllo sui dati in una regione specifica. Una tipica architettura di cloud pubblico include un livello di piattaforma cloud, come una piattaforma di cloud ibrido, che fornisce un'implementazione cloud stabile e coerente.

La seconda opzione è il modello di cloud distribuito, come un fornitore di infrastrutture locali o un data center on-premise. Questa opzione è particolarmente interessante per le aziende che necessitano di un maggiore controllo sulla propria infrastruttura e sulle proprie operazioni. Essenzialmente, un modello di cloud distribuito offre la possibilità di implementare workload e piattaforme su qualsiasi infrastruttura desiderata.

Mentre i governi e i cittadini di tutto il mondo continuano a sollevare preoccupazioni in materia di sovranità digitale, operativa e dei dati, il sovereign cloud aiuta le aziende a garantire l'integrità dei propri dati, indipendentemente da dove svolgano la propria attività.

Nei prossimi anni, il modo in cui le aziende raccolgono, proteggono, archiviano e controllano l'accesso ai dati, soprattutto se intendono utilizzare nuove tecnologie data-rich come AI e ML, avrà enormi implicazioni per il loro successo. Nella scelta di un CSP che aiuti a creare il proprio ambiente sovereign cloud, è fondamentale informarsi su come il CSP memorizzerà ed elaborerà i dati sensibili.

Inoltre, le aziende devono sapere in che modo un CSP supporta la resilienza e prevede di mitigare le interruzioni dovute ad attacchi informatici, disastri naturali e altre minacce. Infine, le aziende che intendono utilizzare un framework di sovereign cloud devono assicurarsi che la strategia cloud complessiva del CSP scelto sia in linea con le leggi dei paesi o delle regioni in cui operano, altrimenti potrebbero incorrere in onerose multe o sanzioni.

Ecco alcune considerazioni importanti da tenere a mente quando si sceglie un CSP per un'architettura di cloud sovrano:

Governance dei dati: l'approccio di un CSP alla governance dei dati è fondamentale. Dimostra che ha adottato le giuste politiche e procedure per gestire con successo i tuoi dati e applicare le restrizioni necessarie. Dovrebbe inoltre essere in grado di eseguire verifiche periodiche per dimostrare che le linee guida stabilite siano rispettate.

Service level agreement (SLA): un service level agreement (SLA) con un CSP che delinea un ambiente cloud sovrano non dovrebbe differire molto da uno che delinea un ambiente cloud pubblico o privato. Come per i cloud pubblici e privati, le tre aree più importanti da esaminare sono il controllo (cloud management), la disponibilità e le prestazioni.

Conformità: i CSP che implementano framework di sovereign cloud devono avere un alto livello di esperienza nelle leggi in materia di dati nelle regioni in cui operano, oltre a una profonda comprensione del panorama in continua evoluzione della sovranità e della conformità dei dati. Fornitori e clienti condividono la responsabilità di rimanere aggiornati con le nuove normative e di sviluppare strategie per affrontarle.

Crittografia dei dati: quando si tratta di sovranità e privacy dei dati, è importante garantire la riservatezza dei dati. I CSP devono fornire alle organizzazioni dei meccanismi per crittografare i dati e gestirli utilizzando chiavi crittografiche. Questo significa modificare i dati trasformandoli in un contenuto crittografato che può essere decrittato solo da chi possiede le autorizzazioni e le chiavi giuste. Garantire l'accesso esclusivo a tali chiavi di crittografia offre alle aziende una garanzia tecnica completa e il controllo su chi può accedere ai dati in qualsiasi momento.

Resilienza: infine, quando qualcosa va storto, è necessario disporre di un piano che aiuti a riprendersi rapidamente. Prendi in considerazione solo CSP con una esperienza comprovata nell'aiutare i clienti a livello di resilienza e ripristino nelle regioni o nei paesi interessati. Tutte le implementazioni di sovereign cloud devono disporre di funzionalità integrate di ripristino e fail-over, adattate a ciascuna specifica area di conformità in cui vengono memorizzati i dati.