lunedì 11 ottobre 2010

MUMBLE - Cloud vuol dire fiducia

Ebbene si, ho biecamente giocato con il noto slogan di un'industria alimentare. 
A mia scusante posso solo anticiparvi che i motivi ci sono e più avanti ve li esporrò.

Ma cominciamo con ordine... 

Ieri l'amico Feliciano Intini ha segnalato una notizia che mi ha fatto riflettere parecchio. In estrema sintesi la notizia è che Adam Swidler, un product marketing manager di Google, nel corso di un keynote tenuto al "Mass Technology Leadership Council Security Summit", ha affermato che i clienti dei servizi cloud di Google che si preoccupano della sicurezza faranno meglio ad abituarsi al fatto di non poter controllare direttamente la sicurezza dei loro dati. Infatti, il meglio che Google può fare è condividere i propri obiettivi di controllo e di sicurezza con chi ha preventivamente firmato un accordo di riservatezza.

Adam Swidler ha spiegato che molti clienti si preoccupano della sicurezza garantita dai fornitori di servizi di cloud computing ma non esiste un modo soddisfacente per consentire una valutazione diretta da parte loro. "Noi non consentiamo ai clienti di effettuare degli audit analoghi a quelli che potrebbero realizzare nella loro infrastruttura. Dovrete estendere un certo livello di fiducia nelle verifiche di terza parte."
Infatti, secondo Swidler, un fornitore di servizi cloud non avrebbe il tempo di lasciare che ogni cliente controlli la sicurezza dei propri dati ed inoltre non sarebbe possibile consentire che le misure di sicurezza adottate possano diventare di pubblico dominio in quanto gli attaccanti avrebbero degli enormi vantaggi.

Questa notizia, dunque, mi ha fatto riflettere. Non tanto perché sia un qualcosa che non ci si aspetta, ma piuttosto per la reazione che suscita... Ma come, non posso controllare come i miei dati e le mie applicazioni vengono gestiti? E allora quali strumenti ho? Se non si può fare audit, come farò a fidarmi?

E poi mi è venuto in mente che qualcosa di molto simile è parte della nostra vita quotidiana; proprio sui temi che ci stanno maggiormente a cuore. La nostra salute. A meno che non si appartenga a quella minoranza che mangia solo i frutti della terra che coltiva personalmente, abbiamo tutti firmato un'enorme cambiale in bianco con l'industria alimentare (ecco spiegato il titolo del post) che prepara i cibi che consumiamo e non consente certo delle ispezioni da parte dei consumatori. Quindi, l'affidarci a terzi per la gestione dei dati non dovrebbe essere un salto culturale così grande come invece viene percepito. E perché troviamo la cosa più preoccupante che mangiare delle cose di cui sappiamo solo ciò che viene dichiarato dal produttore?

Azzardo delle ipotesi.

1 Problema di  percezione
Nel mondo dell'industria alimentare ci si illude che l'approccio non sia tecnologico. Nelle cloud lo strato tecnologico non essendo compreso (o in alcuni casi non essendo comprensibile a causa di ciò che non dicono i fornitori) provoca grandi perplessità negli utenti

2 Problema di maturità
Le tecnologie alimentari sono diventate ormai un dato di fatto quotidiano, le cloud sono una grande rivoluzione "in fieri" e non siamo mai particolarmente favorevoli alle novità

3 Problema di regole
Nel mondo dell'industria alimentare ci sono regole codificate da tempo e precise responsabilità anche penali. Nel mondo delle cloud gli unici riferimenti, ancora acerbi per molti aspetti, sono le linee guida prodotte dalla Cloud Security Alliance, che peraltro non raggruppa neanche tutti i "grandi" (Amazon ad esempio è fuori) e il documento di valutazione del rischio prodotto da ENISA

4 Problema dei controlli
Nell'industria alimentare i controlli sono demandati alle forze dell'ordine che effettuano la necessaria vigilanza e deterrenza nei confronti dei produttori. Nel mondo cloud, al momento, esistono solo le autodichiarazioni, visto che approfonditi controlli di terza parte non sono/saranno consentiti

Proseguendo nel ragionamento, alcune risposte (parziali) potrebbero arrivare proprio dal modello alimentare... ad esempio, demandare ad un'autorità riconosciuta dalle parti (visto che la transnazionalità delle cloud è di impedimento all'azione di una specifica autorità nazionale) l'attività di auditing rispetto a standard riconosciuti e approvati potrebbe essere un approccio utile. E poi, se provate a fare una ricerca su Google sullo slogan che fornisce il titolo a questo post troverete che molte pagine sono dedicate ad un fatto di cronaca legato proprio alla presunta violazione di quelle regole di produzione che ha caratterizzato l'azienda dello slogan. Allora, una possibile fonte di riequilibrio per il mercato delle cloud che certamente non si sta evolvendo nel senso delle garanzie per gli utenti, potrebbe venire proprio dalla federazione degli utenti e dalle pressioni che queste federazioni possono portare.

Queste certamente non sono le Soluzioni però mi piacerebbe confrontarmi con voi... che ne pensate?


4 commenti:

MArco ha detto...

ma come, non ci fidiamo dei BBerry, perche' gestiti dai canadesi, e affidiamo tutto il resto dei dati alla Nuvola (già il nome da idea di poca chiarezza e trasparenza)?
Tutto il resto lo hai gia detto tu. Nella mia infrastruttura, potro' avere anche qualche mela marcia, ma per il resto, so' quello che mangio!

Matteo Cavallini ha detto...

Ciao Marco, benvenuto e grazie per il tuo commento.

Purtroppo (o per qualcuno per fortuna) i driver economici che portano verso l'adozione delle cloud sono estremamente forti e non credo che possano essere fermati. Ritengo che l'importante sia l'adozione consapevole e la corretta gestione dei rischi associati a questa scelta. Per il resto c'è stata una bellissima (e molto accesa) discussione su sikurezza.org tra i favorevoli e i contrari alle cloud che hanno portato argomenti egualmente validi e condivisibili. La cosa che personalmente mi preoccupa di più è che i grandi provider che erogano servizi cloud possano decidere in autonomia le policy di sicurezza imponendole ad un mercato fatto da soggetti molto più deboli di loro. Questo approccio, alla lunga, porterebbe molti problemi anche al loro stesso sviluppo.

Un saluto,
Matteo

guly ha detto...

A mio parere sono valide entrambe le osservazioni.
Il punto e' se non sia necessario avere determinate garanzie su sicurezza e riservatezza del dato e dove questa sia invece conditio sine qua non.
E' chiaro che dove la condizione e' necessaria ma mancano i fondi per "farsi tutto in casa" tocca scendere a patti col proprio demonio, qualunque esso sia.

Butto li' un sassolino per proseguire la discussione: logging e log analysis in casa o su loggly (http://www.loggly.com/)?

Matteo Cavallini ha detto...

Ciao guly,

grazie per aver visitato il blog e aver lasciato il tuo commento.

Effettivamente il driver economico verso le cloud è un fattore determinante in alcuni casi. Purtroppo, anche se molto umano, accettare livelli di rischio troppo elevati rispetto alle aspettative del servizio/applicazione è un atteggiamento miope che, nel lungo periodo, porta solo disastri.

Interessante l'analisi dei log "on the cloud"... non conoscendo il servizio non posso esprimere un giudizio però è sicuramente interessante.

Ciao e... alla prossima,
Matteo

Posta un commento

http://www.wikio.it