Cloud e multicloud: i 6 elementi di gestione essenziali per i CIO

Quando si parla di servizi cloud, la prima cosa che molti CIO fanno è sedersi a un tavolo e discutere con i provider di parametri del servizio. Timenet, operatore di servizi internet e telefonici per aziende, lo considera l’inizio di ogni cloud journey: “Noi stessi, che siamo provider di servizi cloud di centralinistica (PBX), hosting e data center, ci ritroviamo periodicamente con i nostri fornitori per comprendere a fondo gli SLA (Service Level Agreement). Indicatori anche di base, classici, ma non per questo meno rilevanti”, afferma l’Amministratore unico e CIO della società, Franco Iorio.

Anche per una realtà di vaste dimensioni come PagoPA il rapporto col fornitore è una tema cruciale. La società pubblica, incaricata di progettare e distribuire le infrastrutture digitali dello Stato, è cloud-native e, come evidenzia il CIO Mirko Calvaresi: “Per noi è molto importante il dialogo con il vendor in merito alle condizioni e alle garanzie del servizio, incluse le responsabilità legali. Anche per questo stiamo seguendo l’evoluzione del Polo Strategico Nazionale, il cloud per la gestione dei dati critici e strategici della Pubblica Amministrazione italiana, che rappresenta un’infrastruttura comune per gli attori nazionali”.

Come si muove un’azienda pubblica cloud-native

Fin dalla sua fondazione, PagoPA ha usato piattaforme e servizi cloud. L’azienda – che ha realizzato progetti come l’identità digitale SPID, la APP IO, la piattaforma dei pagamenti, e SEND, per le notifiche digitali – usa i server in cloud tramite l’IaaC, Infrastructure as a Code (l’infrastruttura come codice, ovvero il processo di gestione e provisioning dei data center tramite file di configurazione), ma anche il PaaS (Platform as a Service) e il SaaS (Software as a Service).

“Le nostre scelte IT sono sempre state coerenti con questa direzione”, evidenzia Calvaresi. “Usiamo il cloud di più provider americani, quindi con un modello multicloud in cui abbiamo diversi fornitori contemporaneamente e costruiamo le nostre applicazioni in modo che si possano spostare da un cloud all’altro in base alle necessità”.

Questo approccio è alla base della strategia cloud di PagoPA: evita il vendor lock-in e dà la possibilità di accedere ai servizi non solo più convenienti in termini economici, ma anche tecnologicamente più evoluti.

“PagoPA mira a essere agnostica rispetto al cloud provider”, dichiara il CIO. “Scegliamo i servizi in base a costi, qualità e contratti. Ovviamente, l’approccio multicloud non può prescindere dalla decomposizione dei moduli software e dei servizi, ovvero da un’architettura componibile e non monolitica”.

Quanti cloud per le imprese italiane

Nel cloud pubblico, come quello di PagoPA, il provider mette a disposizione dei clienti le sue infrastrutture e i server. In pratica, le organizzazioni usufruiscono di spazio di storage, potenza di calcolo e altri servizi applicativi e infrastrutturali, illustra Fabio De Angelis, Advisory Practice Leader di Iconsulting, azienda di consulenza IT il cui core business sono i dati e il supporto al loro uso, alla loro analisi e alla loro governance.

“Su queste macchine – di proprietà del provider – le organizzazioni fanno girare i propri software o i software del provider stesso. Nel primo caso parliamo di IaaS (infrastruttura come servizio), nel secondo anche di SaaS (software come servizio). In molti casi le imprese comprano anche la piattaforma cloud – PaaS – per poter sfruttare appieno i benefici delle evoluzioni successive offerte dal provider”, afferma De Angelis. “Nel cloud pubblico, infatti, il fornitore non dà un servizio personalizzato per ogni cliente, ma ciascuno di loro beneficia degli aggiornamenti continui che vengono rilasciati. Inoltre, la fruizione dei software e delle risorse computazionali in forma di servizio dà alle imprese una capacità di scalare senza paragoni. Certamente, il rischio di essere ospitati nella stessa macchina con più clienti è che un eventuale attacco di sicurezza a quel server possa compromettere tutte le risorse ospitate. Sull’altro fronte, la sicurezza offerta dai big del cloud è molto elevata: gli hyperscaler fanno investimenti in sicurezza nell’ordine dei miliardi di dollari”.

I cloud privati, invece, sono macchine delocalizzate presso il cloud provider, ma di “proprietà” dell’impresa, e che ospitano solo i suoi sistemi, per una sicurezza “blindata”. Si tratta, dunque, di un servizio IaaS, su cui il cliente mette le sue infrastrutture. Ciò significa che l’aggiornamento software spetta all’impresa cliente, non al cloud provider. 

Il modello ibrido, che mescola il pubblico e il privato, permette di cogliere i vantaggi sia sul piano della sicurezza che della scalabilità; infatti è quello che viene più di frequente scelto dalle aziende.

Multicloud: per molti, ma non per tutti

Con il multicloud, invece, le imprese scelgono di accedere a più fornitori per beneficiare sia delle evoluzioni tecnologiche più avanzate – in cui, magari, un provider potrebbe arrivare prima di un altro – sia delle caratteristiche migliori per la singola applicazione.

“È un modello conveniente sotto gli aspetti dell’innovazione, ma ha una sua complessità tecnologica nel fatto di dover creare lo strato – o layer – di collegamento tra i vari cloud e gestire le diverse offerte, che non sono sempre perfettamente compatibili tra di loro”, evidenzia De Angelis. “Inoltre, passare da un cloud all’altro è possibile e vantaggioso anche per cogliere opportunità di risparmio, ma va considerato il costo di estrarre i dati per portarli su un’altra infrastruttura”.

Non c’è, dunque, una soluzione valida per tutti: la scelta e il costo vanno giustificati in base ai benefici di ottimizzazione dei servizi e di raggiungimento degli obiettivi aziendali.

“In media le grandi aziende si orientano verso il multicloud, ma tutto dipende dalle architetture sottostanti, soprattutto per quanto riguarda la gestione del dato. Se si hanno già installati dei sistemi enterprise – come Salesforce o Sap – questi stessi prodotti hanno un loro cloud che va adattato al provider. Di conseguenza, il CIO deve prevedere di entrare nel dettaglio dell’architettura dati aziendale per un cloud journey efficiente, realizzando prima dei POC e verificando le prestazioni”, sottolinea De Angelis.

L’importanza del rapporto con il provider

Negoziare con gli hyperscaler i termini del contratto di fornitura del servizio cloud non è sempre facile. Molti CIO riferiscono che si tratta di contratti standard che, di solito, vanno accettati come tali, anche se sono realizzati per offrire alte garanzie. Tuttavia, la relazione col provider resta il parametro numero uno cui guardare quando si adotta una soluzione cloud, secondo Iorio di Timenet.

Ci sono poi, poi, altri elementi importanti: per esempio, nel caso di soluzioni cloud che ospitino servizi interni per l’azienda, andrà considerato dove sono collocati geograficamente le risorse fisiche e i dati.

“È un elemento cruciale, non solo dal punto di vista della data privacy e della data governance, ma anche per il disaster recovery, al fine di avere copie di backup sia su macchine diverse che in luoghi geograficamente distanti”, afferma Iorio. La diffusione degli attacchi cyber e gli eventi atmosferici sempre più estremi suggeriscono questo approccio.  

Un terzo indicatore che Irio porta in evidenza è la scalabilità della soluzione cloud proposta. La domanda da porsi è “fino a che punto posso espandere on-demand le risorse?”, sottolinea il CIO.

Va anche considerato l’uptime su base annua, per la garanzia di raggiungibilità del servizio.

Altro fattore rilevante è il rapporto di overbooking/overprovisioning sulle CPU: “Permette di comprendere quanto le macchine su cui sono ospitati i servizi vengono tenute sotto pressione e come sono calcolate le contemporaneità di utilizzo”, prosegue Iorio.

Il sesto punto cui prestare attenzione è la larghezza di banda garantita, con parametri quali packet loss e jitter. “Bisogna valutare se la connessione Internet su cui viene servita l’infrastruttura cloud sarà sufficiente a far lavorare tutti gli utenti previsti o si rischia il collo di bottiglia”, afferma Iorio.

La PA guarda al Polo Strategico Nazionale

Sulle sfide legate alla gestione delle risorse in cloud, PagoPA sta seguendo da vicino l’evoluzione del Polo Strategico Nazionale (PSN). La società non è tra le pubbliche amministrazioni che hanno l’obbligo di migrare i dati sul PSN, ma è convinta “di poter trovare delle sinergie”, afferma Calvaresi, “perché il PSN sistematizza alcune questioni per noi centrali, come la location geografica del dato e il dialogo con le autorità di regolamentazione. Ora risolviamo tutte queste tematiche autonomamente, ma il PSN ci offrirebbe un framework garantito”.

Un valore aggiunto del Polo strategico riguarda proprio la relazione col fornitore del servizio cloud. Mettendo a disposizione delle aziende nazionali un’infrastruttura comune, infatti, il PSN permetterebbe di affrontare in modo congiunto la negoziazione delle condizioni col vendor, anziché dover procedere separatamente, come avviene adesso, con un potere negoziale decisamente meno incisivo.