Durante il summit del progetto Gaia-X a novembre 2021 sette cloud provider europei (Atos, Aruba.it, DE-CIX, Deutsche Telekom, Engineering, Noovle, e TOP-IX) hanno cominciato un percorso, consorziandosi in Structura-X, per definire cloud interoperabili in accordo a specifiche condivise che consentano ai provider europei di competere con i giganti Americani federando le proprie infrastrutture. Da allora si sono aggiunti altri 21 soggetti alla federazione che attualmente si identifica attorno all’idea di riconquistare la sovranità dei dati europei attraverso l’uso di tecnologie basate su open-source per federare servizi cloud in modo sostenibili, consentendo interoperabilità, prestando attenzione alla sicurezza e abilitando i servizi secondo una logica di privacy by design.
Gaia-X, in crisi il cloud europeo? Le sfide da superare, con l’ingerenza delle big tech
Non si trova molto in rete sul progetto a parte la lista dei 28 aderenti e qualche affermazione di principio, ma il gruppo persegue l’ambizioso obiettivo di rilasciare i primi risultati entro la fine dell’anno.
Gli ingredienti alla base del progetto Structura-X
Negli ultimi mesi il disastro di log4j che ha evidenziato punti deboli dell’approccio open-source in termini di cybersecurity, e più recentemente l’annuncio del Presidente della Commissione Europea Ursula von der Leyen relativamente ad un primo accordo trovato con il Presidente USA per lo spostamento dei dati sull’asse transatlantico, pongono interessanti domande sugli ingredienti alla base del progetto Gaia-X e di conseguenza su Structura-X.
Pleased that we found an agreement in principle on a new framework for transatlantic data flows.
It will enable predictable and trustworthy 🇪🇺🇺🇸 data flows, balancing security, the right to privacy and data protection.
This is another step in strengthening our partnership. pic.twitter.com/7Y0wslR7Go
— Ursula von der Leyen (@vonderleyen) March 25, 2022
Infine, molti dei principi sulla sovranità digitale che motivano iniziative come Structura-X saranno inevitabilmente condizionate dalla gara del Polo Strategico Nazionale il cui termine per la presentazione delle offerte si è concluso il 21/3 e che a breve porterà all’aggiudicazione e di conseguenza all’avvio dei lavori.
La questione log4j
Si è scritto tanto a fine 2021 sulla vulnerabilità di log4j e non voglio concentrarmi sul problema specifico, ma in molti commentatori hanno acceso l’attenzione sul problema della relazione tra software open-source e aspetti di sicurezza. Il modello di sviluppo open-source è da sempre molto apprezzato da un punto di vista della sicurezza poiché la possibilità di analizzare il codice consente di condividere il processo di analisi con una comunità in linea di principio ampia. Ma bug come quello di log4j riguardano librerie meno critiche e difficilmente analizzate con occhio attento da un punto di vista della sicurezza, potenzialmente disseminando indirettamente numerosi software di vulnerabilità che se individuate tardi possono avere un grande impatto prima che siano individuati e corretti.
Il modello di aggregazione del software basato su package manager che includono centinaia di librerie che non vengono analizzate individualmente e contribuiscono ad introdurre potenziali vulnerabilità in software molto diffusi.
Queste considerazioni non implicano giudizi di merito su open source, tutt’altro, è assolutamente vero che la comunità e l’ispezione dei codici sorgenti renda possibile una migliore qualità del software, ma la storia di log4j ha evidenziato nuove sfide nel come il software possa essere validato nella sua gestione per assicurare adeguati livelli di sicurezza nel software.
La scelta di Structura-X di poggiare il proprio lavoro su open-source implica un lavoro di sviluppo software e verifica dei software utilizzati che non può limitarsi alla semplice compilazione di sorgenti di cui si ha una scarsa comprensione. La federazione sarà messa alla prova sul tema della sicurezza, e le comunità open-source che sapranno supportare saranno cruciali per creare un ecosistema capace di assicurare una sovranità digitale che sia allo stato dell’arte.
Dati transatlantici
La guerra in Ucraina ha contribuito a rivedere assetti ricompattando i paesi occidentali per far fronte comune alle azioni intraprese dalla Russia. Non solo la NATO ma anche le relazioni tra Europa e Stati Uniti si sono un po’ rafforzato creando le condizioni per superare divergenze crescenti che hanno caratterizzato l’ultimo decennio. Con la bocciatura del Privacy Shield da parte della corte di giustizia europea si era creato un clima di diffidenza nel trattamento dei dati personali tra Europa e Stati Uniti che ha contribuito a movimenti volti ad assicurare la sovranità digitale.
Il recente annuncio di Biden e von der Leyen relativamente alla nuova intesa avrà conseguenze tutte da comprendere, e sarà cruciale analizzare l’effettiva implementazione del nuovo accordo e come la corte di giustizia europea la accoglierà. Sicuramente il solo annuncio ha generato ottimismo, inevitabilmente condizionando la percezione di consorzi come Gaia-X e Structura-X con la potenziale piena riabilitazione dei cloud hyperscaler americani.
Se la federazione sarà capace di promuovere API condivise e tecnologie allo stato dell’arte il risultato potrebbe condizionare i grandi cloud americani offrendo una prospettiva più solida ai cloud provider del vecchio continente, situazione assolutamente auspicabile.
Va però sottolineato che l’evoluzione tecnologica può essere frenata da standard e comitati, e come nel caso di Gaia-X dove sono apparse le prime crepe, anche nel caso di Structura-X sarà importante la promozione di tecnologie capaci di evolvere agilmente nel tempo, altrimenti il rischio è che la federazione divenga un freno alla crescita e pertanto gradualmente abbandonata.
La federazione del futuro
I consorzi di aziende hanno storicamente faticato a produrre tecnologia, ma non è detto che questo sia il destino di Structura-X. Sicuramente esiste il problema della portabilità dei servizi cloud, ma sarebbe riduttivo limitarsi a pensarlo solo legato alle API, dimenticandosi che le prestazioni di un particolare servizio possano variare da un ente federato all’altro: una API per gli assistenti vocali non rende Alexa, Siri, e Google assistenti vocali equivalenti.
Ad oggi è presto valutare l’effettivo impatto che la federazione Structura-X avrà nel mondo reale, ma è sicuramente un progetto da seguire e, qualora divenga un repository open-source, a cui contribuire.
