Home
topics
cloud sovrano
Data di pubblicazione: 8 maggio 2024
Autori: Mesh Flinders, Ian Smalley
Il cloud sovrano è un tipo di cloud computing che aiuta le organizzazioni a rispettare le leggi di regioni e paesi specifici.
Poiché sempre più aziende si affidano a soluzioni hybrid cloud per realizzare le loro iniziative di trasformazione digitale, gli ambienti cloud (e in particolare il modo in cui gli utenti accedono, archiviano e utilizzano i dati in essi contenuti) stanno diventando sempre più importanti. Con la continua diffusione del cloud computing a livello globale, i confini geografici tradizionali, come le frontiere, non sono più sufficienti per proteggere i dati sensibili.
È qui che entra in gioco il cloud sovrano, un concetto che include la sovranità dei dati, la sovranità operativa e la sovranità digitale. Il cloud sovrano aiuta le aziende a ispirare fiducia nei clienti e a far crescere il proprio business, nel rispetto delle leggi e delle normative dei paesi in cui operano.
Cosa protegge il cloud sovrano?
Un cloud sovrano protegge principalmente i dati dei consumatori e delle organizzazioni. Sebbene molte normative si concentrino principalmente sulla protezione delle informazioni di identificazione personale, o PII, a seconda del settore, del paese o del caso d'uso aziendale, possono anche proteggere la proprietà intellettuale (IP), il software, i segreti commerciali, le informazioni finanziarie e altro ancora. Poiché le normative sulla privacy dei dati nel cloud variano a seconda dei paesi e delle regioni, non esiste una definizione univoca e accettata di ciò che un cloud sovrano può proteggere. Gli approcci tendono a variare in base al settore, alla posizione geografica e alle esigenze aziendali.
Alcuni framework di cloud sovrano si occupano della residenza dei dati, in base alla quale i dati sono soggetti alle leggi e ai regolamenti del paese specifico in cui vengono archiviati. Altri si occupano della sovranità dei dati, in base alla quale i dati memorizzati sono soggetti alle leggi del paese in cui sono stati raccolti. In definitiva, gli approcci al cloud sovrano non solo aiutano le aziende a rispettare le leggi che riguardano i loro dati più sensibili, ma le aiutano anche a rimanere resilienti.
Scopri di più sulla sovranità dei dati, sulla sovranità operativa e sulla sovranità digitale, i tre pilastri fondamentali del cloud sovrano.
Con l'aumento delle applicazioni che vengono trasferite sul cloud, il cloud stesso sta rapidamente diventando un'infrastruttura critica.
L'ambiente cloud di un'azienda è ormai considerato importante per la sua salute tanto quanto un impianto produttivo, un complesso di uffici o una preziosa proprietà intellettuale. Inoltre, poiché i settori altamente regolamentati in ambito privato e pubblico trasferiscono i loro servizi principali sul cloud, la necessità di mantenere i dati al sicuro sta diventando fondamentale.
Per di più, l'ascesa di tecnologie ad alta intensità di dati come l'intelligenza artificiale (AI) e il machine learning (ML), che dipendono da un accesso rapido e sicuro ai dati, sta costringendo le aziende a prendere decisioni più strategiche sulla tecnologia cloud. L'AI, e in particolare l'AI generativa, hanno il potenziale per alimentare preziose innovazioni aziendali, ma senza un solido ecosistema cloud sovrano non possono decollare.
Le imprese in settori altamente regolamentati come quello sanitario e finanziario devono affrontare ostacoli particolarmente insidiosi. Ad esempio, in Europa, esiste una proposta chiamata European Cybersecurity Certification Scheme for Cloud Services (EUCS) che prevede l'unificazione delle normative esistenti negli Stati membri dell'Unione Europea e il Digital Operational Resilience Act (DORA) che mira a gestire i rischi legati alle ICT e stabilisce regole sulla gestione del rischio ICT, la segnalazione degli incidenti, i test di resilienza operativa e il monitoraggio del rischio dei fornitori terzi di ICT. Soluzioni efficaci di cloud sovrano aiutano le aziende a rimanere aggiornate sugli organismi di regolamentazione e sulle nuove normative, nonché a prendere decisioni più strategiche in merito a rischi, dati e a un panorama delle minacce in evoluzione. Esaminiamo più nel dettaglio alcuni dei vantaggi più importanti del cloud sovrano aziendale.
Le aziende disposte a investire in un solido framework di cloud sovrano come parte di un più ampio percorso di trasformazione digitale in genere ottengono diversi importanti vantaggi. Da un maggiore controllo sui propri dati, al miglioramento della connettività, della resilienza dei dati e delle prestazioni delle app, ecco i cinque principali motivi per cui le aziende adottano un approccio al cloud sovrano.
Una solida infrastruttura di cloud sovrano offre alle aziende il controllo su dove vengono archiviati i propri dati (residenza dei dati), ad esempio una regione o un paese, o persino il data center di uno specifico provider di cloud.
Le soluzioni di cloud sovrano possono aiutare le aziende di ogni dimensione a soddisfare i requisiti di conformità normativa e a rispettare le leggi in rapida evoluzione in materia di dati e sovranità digitale, indipendentemente dal numero di paesi o regioni in cui operano.
L'approccio al cloud sovrano consente alle organizzazioni di limitare facilmente l'accesso ai dati dei propri dipendenti, dei partner commerciali e persino dei provider di servizi cloud (CSP), in base alla cittadinanza, alla posizione fisica e ad altri fattori.
I CSP che gestiscono ecosistemi di cloud sovrano aiutano le aziende ad aumentare la resilienza operativa adottando un approccio strategico che presuppone che l'interruzione sia inevitabile. Offrendo servizi ad alta disponibilità ed eseguendo il backup dei dati critici su infrastrutture sovrane, i CSP aiutano le organizzazioni ad assorbire e adattarsi meglio agli shock.
Le migliori configurazioni di cloud sovrano implementano i livelli più sofisticati di sicurezza dei dati disponibili, garantendo che applicazioni, dipendenti e clienti possano sempre accedere ai dati di cui hanno bisogno in modo rapido e sicuro.
Per essere efficace, la sovranità del cloud deve fornire tre risultati critici per un'azienda: sovranità dei dati, sovranità operativa e sovranità digitale. Vediamo più nel dettaglio ciascuno di questi concetti e perché sono importanti.
Il rispetto della sovranità dei dati, ovvero l'idea che i dati siano soggetti alle leggi del paese o della regione in cui sono stati generati, è un requisito fondamentale della maggior parte delle soluzioni di cloud sovrano. Una solida sovranità dei dati aiuta le aziende a proteggere i dati dei propri clienti da attacchi informatici e altre minacce, garantendo al contempo che nessuna persona non autorizzata vi abbia accesso. Ad esempio, in base alla maggior parte dei requisiti di sovranità dei dati, i CSP non hanno accesso ai dati dei clienti, anche quando si trovano nel data center cloud da loro gestito.
Un altro aspetto importante della sovranità dei dati è il concetto di residenza dei dati, ossia l'idea che i dati siano soggetti alle leggi e ai regolamenti della regione o del paese in cui vengono archiviati. Oltre a rispettare la privacy dei dati, le soluzioni di cloud sovrano devono rispettare anche tutte le leggi e i regolamenti applicabili sulla residenza dei dati.
La sovranità operativa aiuta a garantire che l'infrastruttura critica associata alle applicazioni che utilizzano un gran numero di dati sia sempre attiva e accessibile. Inoltre, la sovranità operativa aiuta le aziende a mantenere il controllo sui propri processi operativi e a individuare le inefficienze. Con un solido approccio alla sovranità operativa, anche se una particolare regione è colpita da un disastro, un'azienda può garantire la resilienza della propria infrastruttura critica attraverso un piano di business continuity disaster recovery (BCDR) o Disaster-Recovery-as-a-Service (DRaaS). Infine, la sovranità operativa aiuta le aziende a rispettare le normative locali che regolano l'infrastruttura necessaria per supportare gli ambienti cloud in una particolare area geografica.
Come la sovranità operativa e la sovranità dei dati, la sovranità digitale all'interno della regione è un concetto che non ha una definizione universale unica. È un termine generico che descrive il livello di controllo di un'organizzazione sui suoi asset digitali, inclusi dati, software, contenuti e infrastrutture digitali. La sovranità digitale è importante per il concetto di cloud sovrano principalmente nel contesto della governance e della trasparenza: le aziende che attuano il controllo degli accessi ai propri asset digitali devono stabilire regole su chi dispone delle autorizzazioni. Queste regole devono essere configurate in modo da essere facilmente applicabili, come nel policy-as-code, un processo che consente alle organizzazioni di gestire la propria infrastruttura e le proprie procedure in modo ripetibile.
La trasparenza, un altro aspetto importante della sovranità digitale, si riferisce alla capacità di un'organizzazione di verificare i propri processi e risultati. La trasparenza garantisce che le organizzazioni possano vedere i loro workflow operativi più importanti in modo da poter vedere cosa funziona e cosa deve essere cambiato.
Quando si parla di cloud sovrano, non esiste una soluzione valida per tutti. Le aziende potrebbero desiderare lo stesso risultato dal loro approccio all'hybrid cloud, ad esempio la trasformazione digitale, ma il modo in cui lo ottengono varierà a seconda delle dimensioni, della posizione, del settore e dei requisiti aziendali. È qui che i vantaggi di un approccio basato sul rischio diventano evidenti.
Un solido approccio basato sul rischio al cloud sovrano bilancia la crescita (ad esempio, il potenziale di una nuova tecnologia entusiasmante come l'AI generativa) con i rischi, come il danno reputazionale causato da una violazione dei dati. Per le applicazioni critiche e i dati altamente sensibili, le aziende potrebbero voler esercitare un livello di controllo più elevato rispetto ad altre applicazioni meno critiche. Una regolamentazione precisa, abbinata a un approccio basato su standard per le norme e gli standard di governance, contribuisce a garantire che le norme adottate possano essere gestite anche in modo tecnologico.
A seconda dei requisiti di rischio e crescita di un'organizzazione, del tipo di dati archiviati e della posizione in cui si trovano tali dati, sono disponibili due opzioni per l'implementazione e l'applicazione delle politiche di cloud sovrano: cloud pubblico o distribuito. Nella maggior parte dei paesi, le implementazioni di cloud pubblico e multicloud aiutano le organizzazioni a distribuire i workload sul cloud mantenendo il controllo sui dati in una regione specifica. Una tipica architettura di cloud pubblico include un livello cloud di piattaforma, come una piattaforma hybrid cloud, che fornisce una distribuzione cloud stabile e coerente.
La seconda opzione è il modello di distribuzione di cloud distribuito, come un fornitore di infrastrutture locali o un data center on-premise. Questa opzione è particolarmente interessante per le aziende che necessitano di un maggiore controllo sulla propria infrastruttura e sulle proprie operazioni. Essenzialmente, un modello di distribuzione di cloud distribuito offre la possibilità di distribuire workload e piattaforme su qualsiasi infrastruttura si desidera.
Mentre i governi e i cittadini di tutto il mondo continuano a sollevare preoccupazioni in materia di sovranità digitale, operativa e dei dati, il cloud sovrano aiuta le aziende a garantire l'integrità dei propri dati, indipendentemente da dove svolgano la propria attività.
Nei prossimi anni, il modo in cui le aziende raccolgono, proteggono, archiviano e controllano l'accesso ai propri dati, soprattutto se intendono sfruttare nuove tecnologie ricche di dati come l'AI e il machine learning, avrà enormi implicazioni per il loro successo. Nella scelta di un CSP che aiuti a creare il proprio ambiente cloud sovrano, è fondamentale informarsi su come il CSP archivierà ed elaborerà i propri dati sensibili.
Inoltre, devono sapere in che modo un CSP supporta la resilienza e pianifica di mitigare le interruzioni dovute ad attacchi informatici, disastri naturali e altre minacce. Infine, le aziende che intendono sfruttare un framework di cloud sovrano devono assicurarsi che la strategia cloud complessiva del CSP scelto sia in linea con le leggi dei paesi o delle regioni in cui operano, altrimenti potrebbero incorrere in sanzioni o multe onerose.
Ecco alcune considerazioni importanti da tenere a mente quando si sceglie un CSP per un'architettura di cloud sovrano:
Governance dei dati: l'approccio di un CSP alla governance dei dati è fondamentale. Dimostra che ha adottato le giuste politiche e procedure per gestire con successo i tuoi dati e applicare le restrizioni necessarie. Dovrebbe inoltre essere in grado di effettuare verifiche periodiche per dimostrare che le linee guida stabilite vengano rispettate.
Service level agreement (SLA): un service level agreement (SLA) con un CSP che delinea un ambiente cloud sovrano non dovrebbe differire molto da uno che delinea un ambiente cloud pubblico o privato. Come per i cloud pubblici e privati, le tre aree più importanti da esaminare sono il controllo (cloud management), la disponibilità e le prestazioni.
Conformità: i CSP che implementano framework di cloud sovrano devono avere un alto livello di esperienza nelle leggi sui dati nelle regioni in cui operano, oltre a una profonda comprensione del panorama in continua evoluzione della sovranità e della conformità dei dati. Fornitori e clienti condividono la responsabilità di rimanere aggiornati con le nuove normative e di sviluppare strategie per affrontarle.
Crittografia dei dati: quando si tratta di sovranità e privacy dei dati, è importante garantire la riservatezza dei dati. I CSP devono fornire alle organizzazioni dei meccanismi per crittografare i propri dati e gestirli utilizzando chiavi crittografiche. In sostanza, ciò significa modificare i dati trasformandoli in un contenuto crittografato che può essere decrittato solo da chi possiede le autorizzazioni e la chiave giusta. Garantire l'accesso esclusivo a tali chiavi di crittografia offre alle aziende una garanzia tecnica completa e il controllo su chi può accedere ai propri dati in un determinato momento.
Resilienza: infine, quando qualcosa va storto, è necessario disporre di un piano che aiuti a riprendersi rapidamente. Prendi in considerazione solo CSP con comprovata esperienza nell'aiutare i clienti con la resilienza e la ripresa nelle regioni o nei paesi interessati. Tutte le implementazioni di cloud sovrano devono disporre di funzionalità integrate di ripristino e fail-over, adattate a ciascuna specifica area di conformità in cui vengono archiviati i dati.
IBM Cloud Hyper Protect Crypto Services è una soluzione di crittografia e gestione delle chiavi as-a-service (aaS) che offre il pieno controllo sulle chiavi di crittografia per la protezione dei dati.
IBM Cloud Object Storage è un servizio dati gestito altamente scalabile e resiliente su IBM Cloud, che offre un'alternativa al block e file storage.
Distribuisci ed esegui le app in modo coerente in ambienti on-premise, di edge computing e cloud pubblico, grazie a comunicazioni sicure e verificabili con IBM Cloud.
Scopri di più sull'hybrid cloud, un framework cloud che combina e unifica il cloud pubblico, il cloud privato e l'infrastruttura on-premise per creare un'unica infrastruttura IT flessibile e conveniente.
Scopri come i rapidi progressi nel cloud computing, nella gestione dei dati e nell'intelligenza artificiale (AI) stanno rendendo l'hybrid cloud parte integrante dell'infrastruttura IT di nuova generazione.
Scopri come l'architettura hybrid cloud, un ambiente che combina caratteristiche di ambienti on-premise, di cloud privato, cloud pubblico ed edge, può aiutare le imprese a creare un'unica infrastruttura IT gestita e flessibile.
Esplora la sicurezza dei dati, la pratica di proteggere le informazioni digitali da accessi non autorizzati, danneggiamento o furto durante l'intero ciclo di vita.
Scopri di più sui data center, ovvero stanze, edifici o strutture che ospitano infrastrutture IT per la creazione, l'esecuzione e la fornitura di applicazioni e servizi.
Scopri di più sulla privacy dei dati, chiamata anche "privacy delle informazioni", il principio secondo cui una persona dovrebbe avere il controllo sui propri dati personali, compresa la capacità di decidere come le organizzazioni li raccolgono, li memorizzano e li utilizzano.