Trovare il fornitore di servizi cloud corretto

Nel cloud con l’operatore giusto

Affinché la collaborazione sia impeccabile, la chimica con l’operatore deve funzionare. I seguenti sei criteri descritti di seguito sono essenziali per la scelta dell’operatore cloud.

Testo: Christoph Widmer, 24 giugno 2019

Amazon Web Services, Microsoft Azure, Salesforce, Swisscom Cloud: se un’azienda decide di passare al cloud, ha l’imbarazzo della scelta. Dispone infatti di numerosi fornitori, da grandi attori del mercato che si sono affermati come Global Public Cloud Provider a più piccoli fornitori di nicchia che offrono servizi su misura. Con questa abbondanza di fornitori, trovare quello più adatto alle proprie esigenze e caratteristiche aziendali non è per nulla un compito facile. In seguito presentiamo diversi criteri che vale la pena seguire per la scelta del Cloud Provider.

1. Chi è responsabile della sicurezza del cloud?

Anche se i dati e le applicazioni vengono affidati a un Cloud Provider, egli non è l’unico responsabile per la loro protezione e gestione, infatti lo è anche il Cloud Consumer, ovvero l’azienda che fruisce dei servizi cloud. Lo Shared Responsibility Model in linea di massima prevede già, come nel caso dei modelli di assistenza SaaS, PaaS e IaaS, che la responsabilità sia condivisa tra il Cloud Provider e il Cloud Consumer; tuttavia sono possibili eccezioni derivanti da offerte specifiche. Quindi le aziende devono informarsi a proposito dei Service Level Agreement (SLA) del Cloud Provider. Essi stabiliscono le precise responsabilità e campi di competenza del fornitore e dell’utente. Inoltre l’azienda deve previamente definire precisamente il grado di verticalizzazione della propria infrastruttura IT e nel migliore dei casi attenersi al Target Operating Model (TOM). «Il cliente e i suoi responsabili IT devono conoscere alla perfezione gli ambiti di attività per cui sono responsabili o desiderano esserlo», spiega Mario Walker, Lead Architect of Enterprise Solution Architecture di Swisscom. «Solo dopo aver fatto tutto ciò può controllare se gli SLA del Cloud Provider sono davvero compatibili con il proprio TOM.»

2. L’amministrazione si svolge attraverso portali o Service Request?

I Cloud Provider mettono a disposizioni diversi mezzi e strumenti per la collaborazione amministrativa. Inoltre non di rado i Global Public Cloud Provider come Microsoft Azure o Amazon Web Services offrono accesso a portali. Ciò consente in una certa misura alle aziende svolgere compiti amministrativi per la gestione del cloud. Altrettanto diffusi sono anche i Change Management Tool: le aziende utilizzatrici non modificano l’infrastruttura Cloud, bensì assegna le modifiche come Service Request al Cloud Provider. «Non c’è un approccio migliore dell’altro», ribadisce Walker. «Alcune aziende desiderano la flessibilità offerta dai portali, altre desiderano limitare il più possibile i propri compiti amministrativi. Anche in questo caso si deve controllare quale approccio meglio si adatta al proprio Target Operating Model e se i criteri come Time to Respond, Time to Resolve, ecc. vengono sufficientemente rispettati dagli SLA del fornitore.»

3. Il fornitore mette a disposizione i rapporti completi?

Il Cloud Provider deve mettere a disposizione i rapporti in ogni caso, non solo per quanto concerne la Security, bensì anche per quanto riguarda i costi di esercizio. Proprio quando lo Shared Responsibility Model diventa più complicato, ovvero quando determinati compiti amministrativi vengono acquistati come Managed Service di fornitori terzi, il Cloud Consumer necessita di un elenco preciso e completo dei relativi costi. Solo in questo modo può creare in modo intelligente all’interno dell’azienda i propri raccoglitori di costi o ripartirli nelle unità organizzative oppure inoltrarli.

4. Sono disponibili interfacce per l’automazione dei processi?

Nell’ambito della migrazione verso il cloud le aziende utilizzatrici dovrebbero mantenere assolutamente l’accesso alle interfacce di automazione: «Le aziende devono essere consapevoli che l’utilizzo del Cloud cela un enorme potenziale per automatizzare i propri processi aziendali», ricorda Mario Walker. «Per questo motivo il Cloud Consumer deve esigere assolutamente le rispettive interfacce.» Si consigliano le interfacce REST (Representational State Transfer), dato che esse si stanno affermando sempre di più come standard. Le REST API consentono la comunicazione macchina-macchina e fanno sì che i sistemi siano in grado di distribuire dati e compiti a diversi server o di richiederli tramite una HTTP Request. Per la messa a disposizione di moderni servizi web viene utilizzato un gran numero di interfacce API, compatibili con REST.

5. Quali ruoli rivestono la governance e la compliance?

Le disposizioni interne all’azienda, ma soprattutto quelle di legge, esercitano una grande influenza su quale Cloud Provider deve essere preso in considerazione per il proprio modello aziendale. A seconda del caso le aziende devono confrontarsi con leggi svizzere e internazionali, standard industriale in vigore o disposizioni specifiche del settore come le normative FINMA o dell’e-Privacy, prima di mettersi alla ricerca del Cloud Provider adatto. Ad es. in determinate circostanza è necessario garantire la conservazione dei dati in Svizzera, e quindi i fornitori di servizi Cloud stranieri vengono esclusi. In Svizzera vigono altresì le disposizioni del regolamento generale sulla protezione dei dati (GDPR o RGPD), che devono quindi essere rispettate.

6. Che reputazione ha il fornitore?

In modo analogo alla «Due Diligence» le aziende devono analizzare attentamente il Cloud Provider. «Le domande abituali in questo caso sono: da quanto tempo il fornitore è presente nel mercato, quanti clienti ha, che reputazione ha, qual è la sua situazione economica, ecc.», afferma Walker. Eventualmente anche la persona giuridica e l’organizzazione aziendale del fornitore può essere un criterio decisionale importante. Nell’ambito di questo controllo aziendale entrano in gioco anche aspetti inerenti alla sicurezza: negli ultimi tempi il fornitore ha avuto un problema di sicurezza o si è verificata un’interruzione del sistema? Quali sono state le cause? Quanto velocemente sono stati risolti i problemi? Al fine di ridurre al minimo i rischi per la sicurezza nel cloud anche questi fattori sono fondamentali in fase di valutazione del Cloud Provider.