la guida

Servizi cloud, come scegliere la soluzione per la tua azienda



Indirizzo copiato

Tutto sui servizi cloud, le loro caratteristiche e le soluzioni sul mercato, ma anche i costi compresi quelli nascosti: un utile vademecum per scegliere

Pubblicato il 19 apr 2024

Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, BCI Cyber Resilience Group, Clusit, ENIA



cloud
(Immagini: https://pixabay.com/thedigitalartist)

In un contesto di trasformazione digitale, l’utilizzo del cloud computing e in generale dei servizi cloud sta rapidamente aumentando tra le organizzazioni. La selezione di un fornitore di servizi cloud appropriato diventa quindi un aspetto critico, che necessita di un’accurata valutazione dei rischi di sicurezza e un’analisi dettagliata per identificare la soluzione più adatta alle esigenze specifiche dell’organizzazione.

Servizi cloud: cos’è il cloud computing

Il cloud computing permette l’accesso e l’uso di servizi IT come server, storage, database, reti, software e analytics tramite internet, insieme a dati, contenuti, applicazioni, database e altre risorse informatiche.

Ciò è reso possibile dalla virtualizzazione, una tecnologia che consente a un server fisico di eseguire più computer “virtuali” (noti anche come macchine virtuali o VM) e di mettere in comune le risorse di numerosi server fisici diversi, situati in aree geografiche diverse, rendendole disponibili a clienti o utenti come un unico servizio altamente scalabile. Inoltre, il cloud computing, rendendo più efficiente l’uso dell’hardware fisico e consentendo a una macchina fisica di soddisfare molte esigenze e organizzazioni diverse, riduce i costi di gestione e accesso alle risorse informatiche.

Dall’archiviazione dati all’AI: la vasta gamma di servizi

Secondo quanto dichiarato da Gartner nel report “Cloud in 2028: From Technology to Business Necessity”, entro il 2028, il cloud computing si convertirà, dall’essere un disgregatore tecnologico utilizzato per l’archiviazione dei dati, a una componente necessaria per mantenere la competitività aziendale. Inoltre, si ritiene che oltre la metà delle aziende adotterà piattaforme cloud specifiche per settore al fine di potenziare le proprie iniziative di business.

Immagine che contiene testo, schermata, CarattereDescrizione generata automaticamente

Fonte immagine – Gartner – The Future of Cloud Computing Through 2028

Inoltre, grazie all’introduzione dell’AI e Machine Learning, le organizzazioni potranno sempre più avvalersi dell’ambiente fornito dai provider di servizi cloud per lanciare prodotti e servizi all’avanguardia nella propria infrastruttura tecnologica per automatizzare i carichi di lavoro attraverso piattaforme cloud computing altamente efficienti per conseguire gli obiettivi aziendali prefissati.

Tipi di servizi cloud: IaaS, PaaS e SaaS

La maggior parte dei servizi di cloud computing rientra in tre grandi categorie e, precisamente:

  • Infrastructure as a Service (IaaS), i.e. Infrastruttura come servizio – Si tratta di infrastrutture come servizio in grado di garantire la scalabilità e la flessibilità per il business. Ovvero, l’IaaS costituisce la categoria più elementare di servizi di cloud computing. Di fatto, con l’IaaS, l’organizzazione noleggia l’infrastruttura IT (server e macchine virtuali, storage, reti, sistemi operativi) da un fornitore di servizi cloud con pagamento in base al consumo.
  • Platform as a Service (PaaS), i.e. Piattaforma come servizio – Si tratta di una categoria di servizi basati sul cloud che offrono un ambiente pronto all’uso per lo sviluppo, il collaudo, il rilascio e la gestione di applicazioni software. In pratica, il PaaS facilita il lavoro degli sviluppatori permettendo loro di creare e lanciare applicazioni web o mobili in modo veloce, senza la necessità di occuparsi della configurazione o della manutenzione dell’infrastruttura di base, come server, spazi di archiviazione, connettività di rete e basi di dati.
  • Software as a Service (SaaS), i.e. Software come servizio – Si tratta di soluzioni pronte all’uso, su richiesta e, in genere, su abbonamento. Con il SaaS, i fornitori di servizi cloud ospitano e gestiscono il software (applicazione SaaS) e l’infrastruttura sottostante, oltre a provvedere a qualsiasi manutenzione, come gli aggiornamenti del software e le patch di sicurezza. Gli utenti si connettono all’applicazione tramite Internet, in genere con un browser Web sul proprio telefono, tablet o PC.

È doveroso ricordare che il cloud computing offre diverse modalità di implementazione, tra cui i cloud pubblici, privati e ibridi. Nei cloud pubblici, le risorse sono messe a disposizione e condivise tra varie organizzazioni, al contrario dei cloud privati, che sono esclusivamente riservati a un’unica organizzazione. I cloud ibridi, invece, rappresentano una fusione tra i due, offrendo alle organizzazioni la flessibilità di gestire le risorse tra cloud pubblici e privati in maniera efficiente.

Principali vantaggi dei servizi cloud

Il cloud computing offre una serie di vantaggi per le aziende moderne, tra cui:

  • Gestione dei costi –L’utilizzo dell’infrastruttura cloud può ridurre i costi di capitale, poiché le organizzazioni non devono allocare ingenti quantità di denaro per acquistare, per mantenere apparecchiature, per investire in hardware, strutture o servizi pubblici o per costruire grandi data center per soddisfare le proprie attività in crescita. Inoltre, non è necessario che le organizzazioni dispongano di ampi team IT per la gestione dei data center basati sul cloud, in quanto possono contare sull’expertise dei team dei fornitori di servizi cloud. Il cloud computing, inoltre, contribuisce a ridurre i costi connessi ai tempi di inattività, i quali sono infrequenti nel contesto del cloud. Di conseguenza, le organizzazioni risparmiano tempo e risorse economiche che altrimenti sarebbero state impiegate per affrontare problemi legati a tali interruzioni.
  • Mobilità dei dati e del carico di lavoro – Archiviare le informazioni nel cloud significa che gli utenti possono accedervi da qualsiasi luogo con qualsiasi dispositivo dotato solo di una connessione Internet. Ovvero, i dipendenti remoti possono accedere ai dati aziendali tramite smartphone e altri dispositivi mobili, consentendo loro di rimanere aggiornati con colleghi e clienti. Gli utenti finali, di fatto, possono elaborare, archiviare, recuperare e ripristinare facilmente le risorse nel cloud, oltre a disporre automaticamente di tutti gli upgrade e degli aggiornamenti, risparmiando tempo e fatica.
  • Business Continuity e Disaster Recovery – La preoccupazione per la perdita di dati è un tema importante per le organizzazioni. Utilizzando l’archiviazione in cloud, si assicura che gli utenti abbiano costantemente accesso ai loro dati. Inoltre, le organizzazioni, mediante l’impiego di servizi cloud, sono in grado di ripristinare i propri dati rapidamente in caso di eventi dirompenti o interruzioni, sostenendo così la continuità operativa ed il disaster recovery, contribuendo anche a mantenere i carichi di lavoro e i dati sempre accessibili.
  • Velocità e agilità – Il cloud computing facilita la rapida implementazione di applicazioni e di servizi, consentendo agli sviluppatori di fornire rapidamente risorse e testare nuove idee. Ciò elimina la necessità di lunghi processi di approvvigionamento hardware, accelerando così il time-to-market.
  • Sostenibilità ambientale – Il cloud computing, massimizzando l’utilizzo delle risorse, può contribuire a promuovere la sostenibilità ambientale. I fornitori di servizi cloud possono risparmiare sui costi energetici e ridurre l’impronta di carbonio consolidando i carichi di lavoro su un’infrastruttura condivisa. Inoltre, i fornitori di servizi cloud, spesso, gestiscono data center su larga scala progettati per l’efficienza energetica.

Sicurezza nel cloud: proteggere i dati

La migrazione verso un provider offre vari benefici per un’azienda; però, per capitalizzare questi vantaggi, minimizzare i rischi e ottimizzare il rendimento dell’investimento nel cloud, diventa cruciale scegliere il provider di cloud adeguato alle proprie necessità. Ovvero, è essenziale identificare i fattori che un’azienda deve valutare nella selezione di un fornitore affidabile in grado di garantire la protezione dei dati ed il rispetto dei requisiti di sicurezza e di conformità richiesti.

Come valutare la sicurezza di un servizio cloud

Quando si tratta di valutare e scegliere un fornitore di servizi cloud, le organizzazioni dovrebbero prendere in considerazione i seguenti aspetti:

  • Aderenza a standard e framework – È fondamentale assicurarsi che il fornitore di servizi cloud scelto rispetti gli standard di sicurezza riconosciuti – inclusi ISO 27001:2013, ISO 27002 e ISO 27017 – dimostrando, così, il proprio impegno verso le migliori pratiche di sicurezza e la riduzione dei rischi. Inoltre, l’aderenza a ISO 27018 è cruciale per la protezione delle informazioni di identificazione personale nel cloud. Ancora, l’organizzazione deve anche valutare la conformità del fornitore a protocolli e norme regolamentari specifiche, quali il PCI DSS per la sicurezza dei dati delle carte di pagamento, la serie 800 delle pubblicazioni speciali del NIST e il GDPR per la protezione dei dati dei clienti nell’Unione Europea.
  • Accordi sul livello di servizio (Service Level Agreement – SLA) – Lo SLA definisce la qualità e il livello dei servizi offerti dal fornitore di servizi cloud, stabilendo le aspettative e assicurando il mantenimento di un servizio minimo, oltre a includere disposizioni relative alla sicurezza quali governance, manutenzione, supporto e responsabilità reciproche. Di fatto, lo SLA deve chiarire i limiti delle responsabilità e ruoli. Pertanto, prima di formalizzare un accordo con un fornitore di servizi cloud, è cruciale coinvolgere i team di sicurezza e legali per una revisione dettagliata dello SLA, per minimizzare il rischio di incomprensioni che potrebbero risultare in violazioni dei dati, infrazioni della privacy e oneri finanziari aggiuntivi.
  • Processi di backup e ripristino di emergenza – I meccanismi di disaster recovery rivestono un ruolo cruciale nell’assicurare la continuità operativa dell’azienda, poiché un’interruzione delle risorse aziendali può comportare una mancata protezione dei dati, un impatto negativo sui ricavi e un danno significativo alla reputazione aziendale. Pertanto, nel processo di selezione di un fornitore di servizi cloud, è essenziale valutare attentamente i suoi sistemi di ripristino di emergenza per verificare che possieda le competenze necessarie per proteggere, gestire e recuperare i dati in situazioni critiche. Inoltre, è doveroso sottolineare che lo SLA, oltre a delineare chiaramente i ruoli, le responsabilità, deve contenere i procedimenti che fanno parte del piano di ripristino di emergenza, considerando che i team dell’organizzazione cliente avranno probabilmente un ruolo attivo, almeno parziale, nell’attuazione di tali strategie di ripristino.
  • Posizioni di archiviazione dei dati – Un elemento chiave della preparazione alla migrazione al cloud è determinare il livello di sicurezza, riservatezza, resilienza e ripristino di cui i dati dell’organizzazione hanno bisogno. Di fatto, la classificazione dei dati consente di valutare correttamente l’ambiente di archiviazione del fornitore di servizi cloud per determinare se soddisfa le esigenze e proteggerà i dati aziendali dalle minacce. Inoltre, la sovranità dei dati gioca un ruolo importante con normative come il GDPR. Inoltre, la posizione dei dati influisce sul livello di rischio (ad esempio, un impatto di emergenza locale o regionale) e sugli obiettivi del punto di ripristino/tempo di ripristino (RPO/RTO), poiché la distanza può influire sulla quantità di dati persi se un’area cloud non funziona.
  • Servizi e supporto alla migrazione – La migrazione dei dati dall’on-premise al cloud non è un’impresa facile. Inoltre, le organizzazioni spesso non dispongono delle competenze interne necessarie per eseguire con successo una migrazione e, di conseguenza, possono incorrere in costi, sfide e problemi di sicurezza significativi. Ne consegue che, è quanto mai importante selezionare un fornitore che offra un certo livello di servizi di migrazione, invece di affidarsi esclusivamente a talenti interni. Inoltre, le organizzazioni possono anche trarre vantaggio dal supporto di una società di consulenza sulla migrazione al cloud per garantire il successo della strategia, dell’architettura, della migrazione e dell’ottimizzazione del cloud stesso.
  • Tempo di attività, prestazioni storiche e violazioni – I fornitori di servizi cloud non sono immuni da interruzioni e tempi di inattività, che possono avere un impatto significativo sulle operazioni, sulle prestazioni e sui ricavi dei loro clienti. Pertanto, quando si valuta un fornitore di servizi cloud, è consigliabile esaminare i dati relativi al tempo di attività e alle prestazioni per determinare la frequenza con cui il fornitore riscontra interruzioni e quanto tempo in genere è necessario per risolvere il problema. Inoltre, le organizzazioni possono anche ottenere informazioni approfondite esaminando la cronologia delle violazioni e delle perdite di dati del fornitore di servizi cloud.
  • Pianificazione di uscita e lock-in del fornitore – È inoltre fondamentale prendere in considerazione i rischi di dipendenza dal fornitore e analizzare attentamente le loro politiche relative alla dismissione dei servizi, per garantire la possibilità di trasferire i propri dati altrove, senza subire interruzioni critiche, se dovesse rendersi necessario. Di fatto, il problema del lock-in diventa complicato e dettagliato, poiché i fornitori di servizi cloud si avvalgono di vari “elementi” e strategie per disincentivare i clienti a passare ai concorrenti. Nonostante ciò, la possibilità di confrontare in modo aperto i diversi fornitori aiuta a identificare eventuali tattiche di lock-in e a considerare i relativi costi di uscita, se presenti. In parallelo, importanti associazioni e organizzazioni si stanno adoperando per tenere le strategie commerciali il più possibile distanti dal fenomeno del lock-in, specialmente per quanto riguarda i dati. Di conseguenza, nella selezione di un fornitore cloud è cruciale evitare la creazione di nuovi silos e collaborare attivamente per prevenire che i grandi operatori cloud stabiliscano regole che possano limitare la libertà di mercato, sia teoricamente sia praticamente.
  • Servizio clienti – Prima di finalizzare la scelta di un fornitore di servizi cloud, è cruciale valutare anche la qualità del loro servizio di assistenza clienti. Prestare attenzione alla disponibilità del supporto, ai metodi di contatto offerti (come telefono, chat ed e-mail) e alla tempestività delle risposte è imprescindibile. Un supporto clienti efficace e rapido è vitale per risolvere qualsiasi problema o dubbio che potrebbe emergere nel corso della collaborazione con il fornitore.

Quali sono le best practice per la sicurezza nel cloud

L’avanzamento verso una trasformazione digitale basata sul cloud porta con sé una sfida significativa in termini di sicurezza, che richiede un ripensamento delle soluzioni e strategie di sicurezza tradizionalmente adottate. In questo contesto, la crescente frequenza di violazioni della sicurezza e attacchi malware nel cloud, dovuta all’evoluzione quotidiana dei vettori di minaccia, sottolinea l’importanza di adottare misure di sicurezza robuste. Assicurare la sicurezza nel cloud diventa quindi un imperativo, attraverso l’implementazione di strumenti adeguati e l’adesione alle migliori pratiche per tutelare i carichi di lavoro in cloud. È essenziale, inoltre, che le organizzazioni si impegnino a rafforzare e aggiornare costantemente le proprie pratiche di sicurezza, procedendo di pari passo con il loro cammino verso l’adozione del cloud. Questo approccio richiede l’adozione di una strategia di sicurezza del cloud computing multi-livello, che integri un insieme di best practice consolidate. Vediamo di che si tratta.

  • Comprensione della responsabilità condivisa – Comprendere il concetto di responsabilità condivisa è fondamentale nel contesto della sicurezza del cloud. I principali fornitori di servizi cloud adottano questo modello, che prevede una ripartizione delle responsabilità di sicurezza tra il fornitore e il cliente. Mentre il fornitore si occupa di alcuni aspetti – quali la sicurezza dell’hardware sottostante – si prevede che i clienti si facciano carico della sicurezza a livello di infrastruttura e di applicazioni. Nel caso IaaS, ad esempio, ciò comporta la necessità per i clienti di proteggere il sistema operativo delle macchine virtuali, applicando patch in modo regolare, configurando adeguatamente i firewall, oltre a garantire la protezione da virus e malware. Nelle soluzioni PaaS, invece, la sicurezza a livello di macchina virtuale è gestita dal fornitore del servizio cloud, ma resta responsabilità del cliente la protezione delle applicazioni e dei dati. Infine, nelle soluzioni SaaS, la maggior parte dei controlli di sicurezza legati all’applicazione è in carico al fornitore di servizi cloud, mentre al cliente spetta la gestione delle politiche di utilizzo e di accesso.
  • Sicurezza del Perimetro – Poiché le reti cloud si basano su reti definite dal software (Software Defined Network – SDN), esiste una maggiore flessibilità nell’implementazione di barriere di sicurezza multistrato. Di fatto, è necessario iniziare con una segmentazione di base dei carichi di lavoro tra diverse reti virtuali e consentire solo la comunicazione necessaria tra di loro. Inoltre, è opportuno limitare il traffico in entrata verso le proprie applicazioni, utilizzando firewall a livello di rete o applicazione. Ancora, attacchi come SQL injection, esposizione dei dati e cross-site scripting sono alcuni dei principali problemi di sicurezza delle applicazioni che un Web Application Firewall (WAF) – basato sulle regole di rilevamento delle minacce OWASP – può aiutare a rilevare e da cui proteggersi. Una strategia di difesa DDoS multilivello è, altresì, inevitabile per proteggere i carichi di lavoro dagli attacchi DDoS organizzati nel cloud. È doveroso ricordare che tutti i fornitori di servizi cloud offrono strumenti di protezione DDoS che possono essere integrati con il front-end dell’applicazione per rilevare e proteggersi da tali attacchi. Si tratta, altresì, di dotarsi di un firewall efficiente che possa proteggere dalle minacce in arrivo e gli attacchi dannosi e che dovrebbe essere distribuito nel perimetro della rete. Si possono considerare servizi firewall nativi del cloud o strumenti di terze parti più avanzati che eseguono rilevamento delle intrusioni, ispezione dei pacchetti, analisi del traffico e rilevamento delle minacce. Inoltre, l’organizzazione può anche optare per un sistema di rilevamento delle intrusioni (Intrusion Detection System -IDS) o un sistema di prevenzione delle intrusioni (Intrusion Prevention System – IPS) separato nell’architettura per rafforzare la sicurezza perimetrale.
  • Monitoraggio delle configurazioni errate e visibilità della posizione di sicurezza – Le violazioni della sicurezza nei carichi di lavoro cloud sono frequentemente causate da configurazioni improprie o da errori umani durante la configurazione manuale. Pertanto, è fondamentale integrare nella propria architettura le soluzioni di Cloud Security Posture Management (CSPM) in modo da monitorare e identificare eventuali configurazioni errate, che potrebbero compromettere la sicurezza dell’infrastruttura cloud. Di fatto, le soluzioni CSPM apportano un valore aggiunto grazie alla valutazione delle implementazioni cloud rispetto a un insieme di linee guida sulle migliori pratiche di sicurezza che possono essere basate su standard specifici dell’organizzazione o conformi ai principali benchmark di sicurezza e requisiti di conformità. Si tratta di strumenti che forniscono un punteggio di sicurezza che riflette la situazione dei carichi di lavoro nel cloud, oltre a segnalare le deviazioni dalle pratiche consigliate, permettendo ai clienti di adottare tempestivamente le misure correttive necessarie.
  • Utilizzo di soluzioni native di Identity Access Management (IAM) – Si tratta di soluzioni native che servono per implementare un controllo degli accessi granulare e basato sui ruoli. Le piattaforme cloud forniscono, altresì, strumenti per l’integrazione senza problemi di soluzioni locali quali l’Active Directory con i servizi IAM nativi del cloud. Ciò può assicurare agli utenti un’esperienza Single Sign-On (SSO) fluida per i carichi di lavoro ospitati sul cloud. È doveroso evidenziare che, quando si tratta di controlli IAM, la regola è seguire il principio del privilegio minimo, il che significa consentire agli utenti di accedere solo ai dati e alle risorse cloud di cui hanno bisogno per svolgere il proprio lavoro.
  • Implementazione di policy di sicurezza del cloud – Le policy di sicurezza del cloud sono definite per implementare restrizioni a livello di organizzazione per garantire la sicurezza, – limitando, ad esempio, la distribuzione dei carichi di lavoro utilizzando IP pubblici – e contenere il flusso di traffico o implementare il monitoraggio dei modelli di traffico dei carichi di lavoro dei contenitori. È doveroso evidenziare che l’approccio di implementazione differisce diversi tra i fornitori di servizi. Inoltre, il vantaggio delle policy di sicurezza è che applicheranno automaticamente lo standard di conformità a tutti i livelli nelle distribuzioni cloud.
  • Sicurezza dei container – La sicurezza dei container richiede la tutela sia dei container stessi sia delle piattaforme di orchestrazione. A tal proposito, Kubernetes emerge come la soluzione maggiormente adottata nel settore cloud. È necessario, altresì, che vengano stabilite linee guida di sicurezza standardizzate per i carichi di lavoro basati su container, accompagnate da un monitoraggio e una reportistica continui per identificare qualsiasi deviazione dalle norme stabilite.

Di fatto, le organizzazioni hanno bisogno di strumenti capaci di individuare comportamenti nocivi all’interno dei container, inclusi quelli che si manifestano durante la fase di esecuzione. Pertanto, è quanto mai importante disporre di tecnologie di sicurezza che offrano una chiara visibilità sulle operazioni dei container, oltre a essere in grado di identificare e neutralizzare container non autorizzati. Inoltre, in un contesto dove il panorama delle minacce si evolve costantemente, risulta essenziale adottare tecnologie che utilizzino l’intelligenza artificiale (AI) e l’apprendimento automatico (ML) avanzati per la rilevazione di malware, senza dipendere esclusivamente dalle firme di riconoscimento.

  • Valutazione e correzione delle vulnerabilità – Le vulnerabilità del software sono uno dei vettori di attacco numero uno per gli attori delle minacce. Mantenere aggiornati i sistemi e applicare rapidamente le patch può impedire agli aggressori di sfruttare i difetti nelle applicazioni. Pertanto, è fondamentale implementare un servizio capace di eseguire la scansione e la risoluzione delle vulnerabilità in tempo reale al fine di proteggere i carichi di lavoro da potenziali attacchi di virus e malware. Ovvero, si tratta di considerare l’adozione di una soluzione avanzata per la gestione delle vulnerabilità, in grado di svolgere scansioni continue per rilevare vulnerabilità nei carichi di lavoro, generare report dettagliati, visualizzare i risultati attraverso dashboard chiare e procedere, ove possibile, alla risoluzione automatica delle problematiche identificate.
  • Implementazione di un approccio Zero Trust – L’ approccio Zero Trust è il gold standard per abilitare la sicurezza del cloud. Ovvero, una strategia di protezione della rete basata sul concetto di non conferire fiducia, a priori, a nessun servizio, anche quando questo si trova all’interno del perimetro di sicurezza di un’organizzazione. I principi chiave di un approccio Zero Trust includono la segmentazione della rete e la limitazione della comunicazione tra i diversi servizi di un’applicazione ai soli scambi strettamente necessari. Tale comunicazione dovrebbe avvenire esclusivamente attraverso identità preventivamente autorizzate, seguendo il principio del privilegio minimo. Ogni forma di comunicazione, sia interna sia esterna, oltre alle attività amministrative, deve essere sotto costante monitoraggio, registrazione e analisi per rilevare eventuali comportamenti anomali. È doveroso evidenziare che, in questo contesto, è possibile avvalersi di strumenti di monitoraggio e registrazione sia nativi sia forniti da terze parti.
  • Programma di formazione sulla sicurezza informatica – Un efficace punto di inizio per integrare la sicurezza informatica nella cultura aziendale, rendendola una priorità per i dipendenti e le altre parti interessate, consiste nell’istituire un completo e ben strutturato programma di formazione sulla sicurezza. Inoltre, è cruciale contemplare una formazione mirata per riconoscere i tentativi di phishing, dato che il phishing rappresenta uno dei metodi più diffusi attraverso cui gli hacker riescono ad accedere in modo non autorizzato alla rete aziendale e a dati potenzialmente sensibili.
  • Gestione del registro cloud e monitoraggio continuo – È fondamentale per le organizzazioni implementare funzionalità di registrazione all’interno delle loro infrastrutture cloud per assicurarsi una visibilità completa della rete e, al contempo, poter identificare tempestivamente eventuali attività sospette da correggere. Inoltre, risulta quanto mai importante, in termini di gestione dei log, attivare le notifiche per essere avvisati immediatamente di qualsiasi anomalia. Ancora, si raccomanda alle organizzazioni di effettuare i test di penetrazione (o pentesting) che offrono il vantaggio di verificare l’efficacia delle misure di sicurezza adottate per la protezione delle applicazioni e dell’intero ambiente.
  • Crittografia dei dati – La crittografia dei dati rappresenta un elemento cruciale per una strategia di sicurezza efficace nel cloud. Questa tecnologia permette un trasferimento di dati costante e protetto tra applicazioni cloud, celando le informazioni agli utenti non autorizzati. È essenziale criptare i dati, sia all’interno del cloud sia durante la loro trasmissione, per assicurare il massimo livello di sicurezza. Diversi fornitori di servizi cloud propongono soluzioni di crittografia dei dati, alcune delle quali gratuite, altre a pagamento. È quanto mai fondamentale, indipendentemente dalla soluzione scelta, garantire che la soluzione di crittografia possa essere integrata senza problemi nei processi organizzativi esistenti, al fine di prevenire rallentamenti operativi e altre inefficienze.
  • Garanzia dei requisiti di conformità – È quanto mai fondamentale assicurare che le soluzioni e le strategie di sicurezza nel cloud rispettino i requisiti di conformità relativi al cloud e ai dati, proprio come avviene per qualsiasi altro prodotto, servizio o processo. Di fatto, mantenere la conformità significa aderire agli standard definiti da leggi e regolamenti per tutelare la privacy e la sicurezza dei dati dei clienti, soprattutto considerando che le organizzazioni, a seconda del proprio settore di appartenenza, gestiscono una vasta gamma di informazioni sensibili dei clienti. Pertanto, una soluzione o una strategia di sicurezza nel cloud veramente efficace è quella che incorpora la conformità ai vari standard in ogni fase del suo processo.
  • Backup automatici – I backup regolari dei dati possono mitigare i danni causati da cancellazioni accidentali, danneggiamento dei dati e attacchi ransomware.
  • Progettazione di piani di risposta agli incidenti – Nel contesto della sicurezza informatica, le organizzazioni dotate di un piano di risposta agli incidenti, in caso di violazione, si trovano in una posizione vantaggiosa per affrontare e risolvere l’incidente, minimizzare le interruzioni operative e recuperare i dati che potrebbero essere stati compromessi. Pertanto, risulta fondamentale progettare un piano di risposta agli incidenti per assicurare che i team di sicurezza possano reagire con la massima efficienza di fronte a un attacco. Di fatto, il piano è da considerarsi come un meccanismo di intervento che stabilisce ruoli e responsabilità chiari, in modo che ciascun componente del team sia consapevole del proprio compito specifico in ogni possibile situazione. Inoltre, è fondamentale garantire l’attivazione delle notifiche per assicurare che il team venga allertato immediatamente in caso di violazione.

Casi d’uso dei servizi cloud: come trasforma il business

I servizi di cloud computing, nonostante abbiano poco più di un decennio di vita, sono già stati adottati da una vasta gamma di organizzazioni, incluse piccole startup, aziende multinazionali, enti governativi e organizzazioni no-profit, per varie finalità e applicazioni, tra cui:

  • Creazione di app e servizi – Consentono la creazione, distribuzione e scalabilità veloce di applicazioni web, mobili e API su qualsiasi piattaforma, fornendo le risorse necessarie per soddisfare esigenze di prestazione, sicurezza e conformità. Questi servizi facilitano la costruzione, il test e la dismissione agili degli ambienti, accelerando il lancio sul mercato di nuovi sviluppi.
  • Archiviazione e backup – Offrono la possibilità di archiviare, fare il backup e ripristinare dati convenientemente su larga scala, trasferendo i dati su Internet verso sistemi di archiviazione cloud esterni, accessibili da qualsiasi luogo e dispositivo, migliorando così le strategie di ripristino di emergenza per assicurare la continuità operativa.
  • Streaming audio e video – Permettono lo streaming di audio e di video in alta definizione a un pubblico globale, su qualsiasi dispositivo.
  • Fornitura software on-demand – La fornitura di software on demand (noto anche come software as a service o SaaS), consente agli utenti di accedere alle ultime versioni e aggiornamenti software ovunque si trovino.
  • Elaborazione big data e applicazioni di intelligenza artificiale – Facilitano l’elaborazione e l’analisi dei big data o l’implementazione di applicazioni di intelligenza artificiale e machine learning, sfruttando le avanzate capacità di calcolo del cloud.
  • Supporto alla forza lavoro – Supportano le forze lavoro mobili e remote, offrendo desktop virtuali facilmente accessibili da laptop, tablet o dispositivi mobili e, al contempo, mantengono il personale connesso tramite piattaforme di posta elettronica e messaggistica basate su cloud.

Costi del Cloud Computing

I costi del cloud computing si basano su tre fattori principali e, precisamente:

  1. Calcolo – Si riferisce alla potenza di elaborazione, alla memoria e all’archiviazione temporanea necessarie per eseguire i carichi di lavoro senza problemi. Il provider di servizi cloud offre un’ampia gamma di tipi di istanze di calcolo. Ognuno offre una configurazione specifica di CPU, memoria e capacità di rete. Il fornitore, solitamente, include tipi di istanza ottimizzate per il calcolo, per la memoria e per utilizzo generico, oltre a fornire hardware specializzato, quale l’accelerazione grafica o la rete veloce. La capacità di calcolo viene pagata in base al numero e ai tipi di istanze utilizzate in un periodo di tempo specifico, ad esempio all’ora.
  2. Connettività di rete – Si riferisce alla capacità di rete utilizzata per le applicazioni. Il provider di servizi cloud spesso fattura in base al volume di dati trasferiti da un servizio cloud (in uscita), in un servizio cloud (in entrata) o in entrambi, in gigabyte (GB), terabyte (TB) o petabyte (PB). Potrebbe essere necessario pagare di più per una connettività di rete a bassa latenza e larghezza di banda elevata. Anche gli indirizzi IP statici, i gateway e i servizi di bilanciamento del carico possono essere soggetti a costi speciali.
  3. Capacità di stoccaggio – Le organizzazioni, solitamente, hanno bisogno di diversi tipi di storage per le proprie applicazioni (i.e.: dallo storage di file e blocchi allo storage di oggetti) ed il fornitore di servizi cloud offre, di fatto, queste opzioni di archiviazione come servizio. È doveroso evidenziare che il servizio di archiviazione elastica viene pagato in base al GB al mese, mentre, se si sceglie un servizio di archiviazione gestito – inclusi i dischi gestiti associati alle istanze di calcolo – si paga per l’intero volume di archiviazione, indipendentemente dalla quantità di capacità utilizzata.

Costi nascosti dei servizi cloud

È importante essere consapevoli che ci sono costi nascosti che non rientrano in nessuna delle tre categorie sopra descritte. Vediamo di che si tratta.

  • Tariffe per il trasferimento dei dati – Diversi fornitori di servizi cloud hanno costi diversi di trasferimento dei dati. Inoltre, le tariffe variano in base alla regione. Ne consegue che si paga di più quando si connettono i server a servizi in regioni/zone di disponibilità con tariffe più elevate. La maggior parte dei fornitori addebita un costo per il trasferimento dei dati a servizi esterni (in uscita), mentre i trasferimenti di dati nel cloud (in entrata) sono spesso gratuiti.
  • Recuperi di dati – Si riferisce al costo dell’accesso ai dati da un disco di archiviazione per modificarli. Pertanto, per le organizzazioni con molti dati, maggiore è la frequenza con cui è necessario recuperare i dati per l’elaborazione, maggiori sono i costi di recupero che si sommano.
  • Area e zone di disponibilità – I fornitori di servizi cloud dispongono di più data center in regioni dislocate in tutto il mondo. Pertanto, il provider di servizi cloud addebiterà costi in base alla posizione del data center.
  • Piani di supporto – È alquanto comune che i fornitori di servizi cloud addebitino tariffe separate per diversi livelli di supporto in termini di strumenti avanzati, quali – ad esempio- strumenti di gestione dei costi cloud oppure consulenze individuali.

È opportuno considerare, oltre a quanto sopra, altri centri di costo che determinano i costi del cloud, tra cui persone (team/reparti) coinvolti, prodotti (o servizi) e processi (ad esempio le migrazioni cloud), oltre a penali in caso di annullamento di contratto a lungo termine.

Come funzionano i prezzi del cloud computing

I prezzi del cloud computing seguono due strategie principali:

  • Utilizzo con pagamento in base al consumo – I prezzi con pagamento in base al consumo consentono di acquistare risorse cloud su richiesta. Non sono richiesti pagamenti anticipati. Non è richiesto alcun impegno a lungo termine. Paghi per quello che si usa (i.e. pay as you go).
  • Utilizzo basato su sconti – I prezzi scontati sono disponibili in due opzioni:
    • Pagare meno per un maggiore utilizzo – Consente di scalare l’applicazione in modo più conveniente. Quindi, più si utilizza un servizio meno si paga (i.e.: economie di scala).
  • Sconti per l’impegno nell’utilizzo – Sono offerti sconti fino a circa il 70% sul prezzo standard (tariffe con pagamento in base al consumo) a fronte di un impegno di utilizzo di una quantità fissa di risorse all’ora o una quantità specifica in dollari all’ora, per un periodo di 1 o 3 anni.

Come determinare i costi dell’infrastruttura cloud

Per capire quanto costerà l’utilizzo del cloud, è necessario innanzitutto misurare quanto si spende in locale, assicurandosi di calcolare sia i costi diretti sia i costi indiretti e amministrativi, in modo da avere una maggior comprensione della potenza di elaborazione, della memoria, della rete e della capacità di archiviazione richieste dai vari carichi di lavoro. È doveroso evidenziare che oramai esistono sul mercato strumenti/piattaforme di calcolo in grado di fornire la dimensione e il tipo di istanza (macchina virtuale) giusti in base alla combinazione delle proprie esigenze e budget.

Migliori provider di servizi cloud: panoramica e confronto

Secondo la società americana di ricerca MarketandMarket, il mercato globale del Cloud Computing è destinato a crescere dai 626 miliardi di USD del 2023 ai 1,266 miliardi di USD nel 2028 con una crescita del tasso di crescita annuale composto (CAGR) del 15,1%.

Si prevede che il mercato aumenterà a causa di fattori quali la capacità funzionale del cloud computing di migliorare le prestazioni aziendali nelle grandi imprese, i modelli ibridi e i sistemi Omni-cloud e i modelli pay-as-you-go. Inoltre, poiché le aziende hanno bisogno di migliorare le loro attività digitali, i servizi cloud sono diventati sempre più popolari nei paesi in via di sviluppo. Ancora, le grandi organizzazioni stanno adottando rapidamente i servizi cloud grazie alla disponibilità on-demand.

Le aziende di cloud

Attualmente, il settore del cloud computing è dominato da attori principali quali Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform, i quali insieme detengono due terzi del mercato mondiale. Tuttavia, il panorama dei fornitori di servizi cloud non si limita a questi colossi, dato che continuano a diffondersi sul mercato soluzioni specializzate a livello regionale e proposte specifiche di nicchia da parte di altri operatori che mirano a segmenti di clientela e mercati regionali particolari.

Di seguito un elenco delle aziende di cloud computing e relativa quota di mercato come si evince da un recente articolo del magazine online magazine online Hasstudioz intitolato Most Promising cloud service providers in 2024 (hashstudioz.com).

  • Amazon Web Services (AWS) – 32,4% quota di mercato – La sua posizione di fornitore preminente nel settore dei servizi cloud on-demand lo ha consolidato come una piattaforma cloud integrale e ampiamente riconosciuta, fornendo più di 165 servizi avanzati attraverso i suoi centri dati distribuiti su scala mondiale. Vanta una clientela che supera il milione di utenti distribuiti in tutto il globo e, tra i servizi più richiesti offerti si annoverano EC2, Virtual Private Cloud, Amazon Connect e AWS Lambda.

Le caratteristiche distintive di AWS includono:

  • Capacità avanzate di interfaccia API
  • Riduzione dei costi
  • Vasta rete globale
  • Impiego delle più recenti innovazioni tecnologiche
  • Microsoft AZURE – 20,7% quota di mercato – Si tratta di un’importante piattaforma di cloud computing sviluppata da Microsoft, che si presenta come Iaas, Paas e Saas. Azure è considerato come il più grande servizio basato sul cloud in termini di entrate. Microsoft lo ha lanciato per fornire entità sia basate su Microsoft sia di terze parti in Azure. Anche Microsoft Office 360 e 365 fanno parte di questa architettura basata su cloud. Tra i servizi principali di Azure risultano: Azure DevOps, Azure per intelligenza artificiale e Azure Blockchain Workbench.

Ecco le funzionalità chiave di Azure:

  • Sviluppo rapido delle applicazioni
  • Elaborazione dei dati in tempo reale
  • Servizio di automazione ibrida
  • API serverless
  • Google Cloud Platform (GCP) – 10,5% quota di mercato –Un’architettura di servizi cloud leader che offre servizi di gestione, oltre a servizi cloud modulari come l’archiviazione dei dati e l’analisi dei dati. La piattaforma Google Cloud fornisce soluzioni IaaS, PaaS e computing serverless, consentendo alle imprese di utilizzare i vari servizi.

Alcune delle principali funzionalità offerte da Google Cloud includono:

  • Servizi di AI e Machine Learning Service
  • API Management
  • Data Analytics
  • Strumenti Hybrid and Multi-Cloud
  • IBM Cloud – 6.1% quota di mercato – I servizi di rete cloud offerti da IBM Cloud includono architetture IaaS, SaaS e PaaS distribuite attraverso ambienti di erogazione cloud pubblici, privati e ibridi. IBM fornisce servizi basati sul cloud nel settore della rete, dello storage, dell’archiviazione dei dati e di altri servizi.

Alcuni dei principali servizi di IBM Cloud sono:

  • Migrazione al Cloud
  • Servizi di Strategia
  • Cloud Sviluppo e Gestione del Cloud
  • Oracle Cloud – 4.4% quota di mercato – Oracle Cloud permette di utilizzare le risorse cloud quali server, archiviazione, applicazioni e altri servizi attraverso la propria vasta gamma di data center globali. Oracle, con le sue architetture IaaS, PaaS, SaaS e DaaS (Data as a Service), all’avanguardia, offre servizi cloud che facilitano lo sviluppo, il dispiegamento e l’accesso al cloud delle varie applicazioni aziendali.

Alcuni dei principali servizi di Oracle Cloud sono:

  • Computing
  • Archiviazione e Networking
  • Gestione dei Dati
  • Sviluppo di Applicazioni
  • Salesforce -3.8% quota di mercato – Azienda americana leader che offre una gamma di soluzioni basate su cloud, come l’automazione del marketing, lo sviluppo di applicazioni e l’analisi dei dati.

I principali servizi di Salesforce includono:

  • Gestione delle Relazioni con i Clienti (CRM)
  • Marketing Cloud
  • Sales Cloud
  • Commerce Cloud
  • SAP – 0.26% quota di mercato- Si tratta di un fornitore globale di servizi software basati su cloud per sviluppare e per gestire le relazioni con i clienti e le operazioni.

Alcuni dei servizi offerti da SAP includono:

  • Contabilità e Pianificazione Finanziaria e Analisi
  • Enterprise Treasury Management
  • Fatturazione e Gestione delle Entrate
  • VMware – 1.64% quota di mercato – Offre diversi servizi di cloud computing e virtualizzazione ai propri clienti. Il software desktop di VMware è compatibile con Windows, macOS e Linux, mentre il suo hypervisor, basato su impresa, ha connettività diretta con l’hardware, permettendo di operare senza alcun requisito di sistema operativo.

Alcuni servizi offerti da VMware includono:

  • VMware vRealize Suite
  • VMware GO
  • VMWare Workstation
  • VMWare Fusion
  • VMware ESXi
  • Adobe Creative Cloud – 3.37% quota di mercato – Comprende i servizi software basati su cloud che consentono alle imprese di usufruire di sviluppo web, progettazione grafica, e modifica di foto e video. I servizi sono disponibili su abbonamento.

Alcuni dei principali servizi di Adobe Creative Cloud includono:

  • Adobe Creative Suite
  • Adobe Dreamweaver
  • Adobe Illustrator

Conclusione

La selezione di un fornitore di servizi cloud rappresenta una scelta strategica che può offrire benefici duraturi per un’organizzazione, inclusi miglioramenti nella sicurezza dei dati, riduzione dei costi e accessibilità all’innovazione. Le soluzioni basate sul cloud, quando adeguatamente attuate, presentano numerosi vantaggi rispetto ai sistemi IT tradizionali, con i provider di servizi cloud che si assumono la responsabilità di installazione, gestione, aggiornamenti, backup e sicurezza, permettendo alle organizzazioni di liberarsi dal compito di gestire personalmente i server.

Tuttavia, per assicurarsi la soluzione ottimale per la propria organizzazione, è essenziale effettuare un’analisi dettagliata dei potenziali fornitori di servizi cloud, seguendo criteri ben definiti. Solo attraverso una valutazione accurata, le organizzazioni saranno in grado di effettuare scelte consapevoli e instaurare una collaborazione efficace con un provider di servizi cloud.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2