Percorsi a tappe verso il cloud
Nella tavola rotonda organizzata in collaborazione con Infoblox si è discusso delle priorità che hanno guidato il passaggio al cloud di alcune importanti aziende italiane.
Nel percorso verso il cloud le aziende devono affrontare diverse problematiche e priorità, dalla valutazione di quali applicazioni e servizi trasferire alla sicurezza e alla formazione di team IT che sappiamo gestire ambienti ibridi. La scelta di un approccio graduale permette di valutare progressivamente costi e benefici della migrazione in cloud, ma comporta rischi come la perdita di visibilità, l’aumento dei costi e della complessità di gestione.
Per approfondire l’argomento, la rivista Office Automation ha organizzato una tavola rotonda insieme a Infoblox, società che offre servizi basati sul cloud per massimizzare la protezione di utenti e oggetti connessi e consentire la transizione verso approcci multi-cloud/SaaS, SD-WAN, IoT. L’incontro ha visto la partecipazione di aziende del settore pubblico e privato, che si sono confrontate sui propri percorsi verso il cloud, le esigenze specifiche e le problematiche comuni.
Questa le domande che hanno fatto da spunto alla tavola rotonda:
1. Come avete affrontato il passaggio al cloud nella vostra azienda?
2. Quali sono state le priorità che hanno guidato il percorso di migrazione?
3. Quali soluzioni avete adottato in ambito DDI (DNS, DHCP e IP Address Management)?
Paolo Barichello, direttore Unità Organizzativa Sistemi Informativi, Servizi e Tecnologie Digitali (Direzione ICT e Agenda Digitale) di Ente Regione del Veneto
In quanto pubblica amministrazione locale, Regione del Veneto offre un ampio spettro di servizi digitali ai cittadini che spaziano da bandi di finanziamento per passare all’agricoltura fino ad arrivare a servizi per la salute attraverso le aziende sanitarie, con un panorama da meno critico a più critico e strategico da un punto di vista strutturale. Come Direttore dell’Unità organizzativa sistemi informativi, servizi e tecnologie digitali sono responsabile per Regione Veneto, ma anche punto di confronto per gli Enti e le agenzie di regione e del territorio in ambito di data center.
La nostra strategia, definita tramite una delibera di giunta, si basa sul cloud ibrido, con una distribuzione dei servizi tra l’ambiente on premise, il cloud cosiddetto qualificato attraverso i principali service provider e il Polo Strategico Nazionale (PSN). Il nostro approccio al cloud non è stato uno switch off totale, sia perché il cloud non fa risparmiare, sia perché, come pubblica amministrazione, è preferibile contenere i costi correnti rispetto agli investimenti, quando però il cloud rientra in puri costi correnti.
Rispetto al caso di erogazione di servizi al settore privato, nel caso di fornitura di servizi verso enti pubblici dobbiamo considerare, in questo paradigma di cloud ibrido, anche la qualificazione del data center richiesta dall’Agenzia per la cybersicurezza nazionale (ACN). Per questo abbiamo qualificato il nostro data center regionale, sia on premise che in cloud. Dal punto di vista della sicurezza, per ottenere la qualifica non basta fare investimenti sull’infrastruttura, ma bisogna agire anche sull’organizzazione: abbiamo quindi ottenuto certificazioni ISO 9001, ISO 27001-17-18, ISO 22300 e, in corso, ISO 14001 per garantire che il processo di messa in sicurezza dei nostri dati ordinari, critici sia gestito nel migliore dei modi.
Nel percorso di migrazione si è puntato a portare in cloud di service provider qualificati o nel PSN i servizi che erano già cloud-oriented, quindi i servizi applicativi basati su paradigma a microservizi e container che richiedono scalabilità. Ciò con l’obiettivo di adottare soluzioni di autoscaling, ovvero la possibilità di spegnere le risorse non necessarie quando non vi è carico di lavoro attivarne altre quando è richiesta elevata capacità computazionale o di storage.Avendo qualificato il nostro data center ibrido, quindi on premise e cloud in un unicum, l’infrastruttura perimetrale di rete e di sicurezza adottata è unica, attivando del cloud del CSP solo servizi computazionali e di storage e non i servizi gestiti di sicurezza. Per esempio, non abbiamo attivato il servizio WAF del cloud service provider, ma abbiamo di fatto utilizzato i nostri sistemi di sicurezza sia a protezione dell’ambiente on premise che dell’ambiente cloud come un unico perimetro, e analogamente per gli aspetti di DNS, IP, DHCP.
Il percorso che abbiamo intrapreso, nel nostro contesto ibrido, è stato quello di una soluzione unica di gestione DNS, DHCP e IPAM sul sistema DDI. Ci sono due aspetti particolari da considerare per i quali tale soluzione risulta essere vantaggiosa:
– In primo luogo, quando applicata ai servizi che prevedono una componente IoT. Abbiamo infatti sviluppato una data platform che raccoglie dati di sensori sparsi sul territorio, che vanno dalla mobilità, al sistema idrico alla qualità dell’aria, per fare analisi di correlazione utili per aspetti di governance e prevenzione. Ciò comporta una condivisione con sistemi esterni e quindi, anche in questo caso, una gestione attraverso un’unica soluzione DDI garantisce una migliore supervisione.
– In secondo luogo, per quanto adottiamo sistemi di gestione IP, DNS o DHCP unici, in ambito cloud rimane la questione della digital supply chain, cioè i rischi derivanti dal fatto che i nostri servizi, per quanto ben governati, embeddano servizi di terzi. Per questi abbiamo attuato una serie di soluzioni per la verifica e il controllo di funzionalità di digital supply chain, attraverso l’adozione della soluzione di DDI.
Paolo Guidelli, coordinatore generale della Consulenza per l’Innovazione Tecnologica, INAIL
Inail, Istituto nazionale Assicurazione Infortuni sul Lavoro, è un Ente pubblico non economico che gestisce l’assicurazione obbligatoria contro gli infortuni sul lavoro e le malattie professionali. In quanto tale, i suoi obiettivi includono la riduzione dei fenomeni infortunistici, l’assicurazione dei lavoratori che svolgono attività a rischio, il reinserimento nella vita lavorativa degli infortunati sul lavoro e la realizzazione di attività di ricerca e sviluppo riguardo a metodologie di controllo e di verifica in materia di prevenzione e sicurezza.
Inoltre, allo scopo di contribuire a ridurre il fenomeno infortunistico, l’Inail realizza un’attività continuativa di monitoraggio dell’andamento dell’occupazione e degli infortuni, formazione e consulenza in materia di prevenzione e finanziamento alle imprese che investono in sicurezza. In qualità di coordinatore della consulenza per l’innovazione tecnologica, io sono il Chief Innovation Officer dell’Istituto.
Il nostro jorney verso il cloud si è articolato come processo incrementale. Ci siamo ispirati al Piano Triennale per l’informatica di Agid, dal quale abbiamo recepito le indicazioni del principio di “cloud first” e il modello cloud della PA e abbiamo fatto esperienza spostando alcuni servizi Inail, in toto o in parte, dall’on-premise al cloud. Abbiamo strutturato il “viaggio” conseguendo certificazioni per le famiglie ISO 9.000, 20.000 e 27.000 oltre a definire, e aggiornare, la reference architecture dell’Inail. Dal punto di vista operativo abbiamo avviato un processo aggiornamento delle infrastrutture e di app modernization prevedendo l’adozione di logiche cloud native oltre alle metodologie Agile e DevOps senza dimenticare un focus sulla componente dati.
Lo IaaS è stato interpretato come una estensione del nostro data center, configurando la componente infrastrutturale fornita dal cloud service provider esattamente con le stesse logiche e le stesse regole del nostro data center. La modernizzazione delle applicazioni è stata avviata attraverso un processo di assessment, che ci ha consentito di identificare quali servizi potevano essere erogati in modalità SaaS, rivolgendoci al mercato per tali soluzioni; quali fossero pronte per la migrazione al cloud e quali richiedessero processi di rearchitect, refactoring o replatforming.
Altri passaggi fondamentali del nostro journey to cloud sono rappresentati dall’adozione di una piattaforma di gestione del cloud (CMP), dal potenziamento dei nostri SOC e NOC oltre al riposizionamento degli strumenti a disposizione della service control room.
Pierluigi Sforza, cloud solution architect di Poste Italiane
Per erogare la sua offerta di servizi di logistica, banking, finance e assicurativi, Poste Italiane poggia su una vastissima infrastruttura IT. Come Cloud Solution Architect mi occupo di soluzioni e strategie di trasformazione, in particolare in ambito infrastrutturale.
Il percorso di adozione del cloud da parte di Poste Italiane è iniziato con una forte spinta dall’alto. Negli ultimi tre Piani Strategici l’indicazione dell’utilizzo del cloud è stata chiara e gli investimenti che ne sono derivati hanno permesso di avviare un solido programma di trasformazione, sviluppato in tre fasi principali.
La prima fase ha previsto la costituzione, nel 2016, di un team ad hoc che ha elaborato una blueprint per definire l’architettura tecnica per l’adozione del cloud computing e ne ha seguito direttamente i primi anni di adozione. Nella seconda fase, siamo agli inizi del 2020, è stata fatta una revisione della blueprint iniziale e una revisione delle strategie di integrazione, in particolare sul piano della sicurezza e dell’automazione per aumentare le capacità di delivery.
Nella terza fase è stata definita una strategia di ibridizzazione basata sulle container platform allo scopo di disaccoppiare le applicazioni dall’infrastruttura sottostante e offrire una baseline di servizi comune tra l’on prem e le due realtà on cloud con i provider che utilizziamo. La container platform costituisce oggi di fatto la base della strategia hybrid cloud di Poste Italiane, attraverso cui possiamo rilasciare le medesime applicazioni contemporaneamente on prem e in cloud a seconda delle esigenze di affidabilità o distribuzione di workload.
La migrazione è stata un aspetto importante nell’approccio al cloud soprattutto nella fase iniziale per fare offloading degli ambienti on premise.
Nei progetti di migrazione, la priorità è stata lasciare più intatti possibile il modello di delivery e la configurazione dei singoli servizi per avere impatti minimali sui servizi in erogazione.
Dal punto di vista della trasformazione, le applicazioni trasformate o le nuove rilasciate direttamente in cloud sono state progettate come applicazioni Cloud Native.
In questo ambito la priorità è stata adottare architetture moderne e tecnologie innovative quali la containerizzazione, i microservizi e l’esposizione di API per comporre servizi più complessi. In generale tutto il lavoro fatto dalla Cloud Native Computing Foundation (CNCF) è stato di ispirazione per l’indirizzamento delle priorità nei progetti di trasformazione.
Un elemento fondante della nostra strategia hybrid cloud è l’integrazione tra DNS e firewall e tra DNS e cloud provider. Attraverso tecniche di “url-filtering” e “risoluzioni condizionate” abbiamo potuto creare regole firewall basate sull’FQDN dell’host raggiunto e nomi di servizio che non variano in funzione del punto di erogazione del servizio cloud o on-prem così come dei servizi esposti su Internet. Questi elementi hanno permesso di eliminare complessità quali il proxy e rendere tutto più dinamico in termini di configurazione dei client.
Il DNS ha avuto un ruolo cruciale nell’adozione e semplificazione dei servizi cloud in almeno due aspetti: Un DNS con esposizione di API permette di realizzare una catena di delivery che automatizza la creazione di nuove zone DNS dedicate ai servizi applicativi riducendo così i costi di delivery e il time to market delle soluzioni. L’altro elemento fondante della strategia ibrida che permette di aumentare la resilienza delle applicazioni è il cosiddetto global service load balancing, un sistema basato sul DNS che consente, in casi di fault, un immediato switch su region differenti da quella primaria su cui è erogato il servizio, oltre a una riduzione di costi grazie alla possibilità di utilizzare le applicazioni distribuite su aree geografiche diverse.
Gaetano Sanacore, direttore scientifico dell’Osservatorio Nazionale per la Cybersecurity delle Reti Energetiche
Come professionista della cybersecurity all’interno di questo Osservatorio per la cybersecurity delle reti energetiche. In questa tavola rotonda condivido l’esperienza di quasi dieci anni di ricerca in ambito Industriale e Universitario oltre a collaborazioni con i massimi energy player, su cui ci siamo confrontati sia sul piano legislativo che delle applicazioni.
L’approccio verso soluzioni cloud per le Utility è in generale un percorso di maturazione, non di migrazione totale, partendo dall’edge computing per arrivare al cloud computing. Con particolare riferimento ai servizi industriali nel settore energetico, fino a tre/quattro anni fa si aveva il bisogno di aggiornamenti periodici, che si facevano attraverso contratti ad hoc e permettevano un aggiornamento in loco dei sistemi industriali, mentre oggi ci si sta spostando verso servizi sempre più remoti e legati al cloud. Il percorso fatto da alcuni player energetici del settore energia è quello di usufruire per il necessario del servizio cloud, passando gradualmente a interfacce sempre più evolute che rispondessero alle crescenti esigenze di sistemi Scada, IoT, IIoT. I player energetici devo quotidianamente affrontare le difficoltà e le criticità della gestione di un impianto da remoto, che ha una quantità sempre maggiore di sensori e applicazioni Scada, IoT, IIoT, e quindi la priorità è garantire sia la sicurezza che l’aggiornamento di servizi dedicati e servizi cloud.
In questo percorso c’è anche un tema di compliance che frena all’utilizzo del cloud. Per esempio, secondo la Legge 133 in Italia si limita l’utilizzo di cloud service provider se non espressamente sul territorio nazionale. Pertanto con alcuni palyer nazionali si parla di migrare gradualmente e limitatamente le infrastrutture industriali verso servizi cloud, sfruttando magari architetture di Industrial Secure Remote Access per limitare ulteriormente i rischi.
I servizi di sicurezza che si stanno implementando negli ultimi anni sulle infrastrutture produttive comprendono applicazioni di DNS filtering, quindi di selezione dei servizi cloud da e verso fornitori del mondo industriale; si stanno specializzando i servizi software convergenti, sia sull’IT che sull’OT, che sommano tutte e due le sensibilità, inoltre la Network detection and response al confine con le infrastrutture produttive, quindi soluzioni software sono in grado di gestire tutto il flusso dati in entrata e in uscita da e verso gli impianti produttivi – le infrastrutture critiche – grazie all’eventuale uso degli Industrial Secure Remote Access che, a sua volta possono aggiornare un Security Operation Center(SOC). L’integrazione di soluzioni come queste e un buon servizio SOC integrato all’interno di infrastrutture industriali(OT) permette di creare un livello di sicurezza superiore e mitigare quanto più possibile i rischi cyber del mondo energetico.
Nell’ottica della direttiva NIS 2 emerge anche il tema del servizio DNS e di come gestire la sicurezza del/dei DNS, che preferibilmente dovrebbe essere un unico servizio DNS. Sul tavolo con alcuni player si sta andando in questa direzione in quanto gli energy player dovranno gestire connessioni sempre più ramificate verso il mondo esterno attraverso servizi cloud, edge e altro e dovranno confrontarsi con la cosiddetta “supply chain cybersecurity”. Unificare il più possibile il servizio DNS rendendolo più sicuro è una rotta tracciata ed è uno degli obiettivi a cui tendere.
Il punto di vista di Infoblox
Riccardo Canetta, country sales manager Italia e Spagna
Il percorso graduale verso il cloud è un tema che affrontiamo quotidianamente con i nostri clienti, con i quali ci piace confrontarci per capire insieme le specificità e come risolvere i problemi. La maggior parte delle aziende si avvicina al cloud in modo sperimentale, come se fosse un mondo a sé, e inizia spostando qualche workload per capire come funzionano le cose. Poi, a poco a poco, questo mondo a sé cresce e diventa sempre più critico per il business, ma, in alcuni casi, si perde la visione d’insieme con l’ambiente on premise e ci si trova a gestire due o tre console separate. Mi riferisco, nello specifico, ai servizi di rete di base, DNS e DHCP, di cui ci occupiamo da più di 25 anni. Accanto al problema della visibilità c’è poi quello della sicurezza. Gli ambienti cloud fanno qualunque tipo di traffico, possono andare in risoluzione su DNS pubblici e questo pone un grosso problema di sicurezza perché all’interno delle richieste, e soprattutto delle risposte, dei DNS ormai è assodato che viaggia di tutto: le statistiche dicono che più del 90 per cento del malware sfrutta il DNS. Spesso parliamo con clienti che hanno implementato sistemi di protezione del DNS on prem, ma non hanno fatto lo stesso nel cloud. Nel cloud l’elemento fondamentale è avere un unico punto di controllo, visibilità e configurazione per gli ambienti in cloud e on prem, anziché moltiplicare le console di gestione e quindi i possibili errori.
Gianluca De Risi, solution architect
L’approccio al cloud di Infoblox è stato guidato da esigenze di scalabilità e velocità. Da un’architettura DNS/DHCP completamente on prem siamo passati a un modello cloud nativo con una architettura di continuous integration e continuous delivery basata su microservizi containerizzati, che ha permesso un notevole incremento della velocità di rilascio dei servizi, delle capacità di controllo e di sicurezza. A partire dal 2015 è stato fatto un importante investimento per realizzare la nuova piattaforma e successivamente ci siamo posti il problema dell’integrazione con tutto l’esistente attraverso un’architettura ibrida, perché la maggior parte dei nostri clienti ha architetture di tipo tradizionale basate su appliance. In questo nuovo scenario, il passo che stiamo affrontando è la realizzazione di un “Universal DNS”, che va oltre la gestione della nuova soluzione SaaS Infoblox e della parte classica Infoblox. L’idea dell’Universal DNS è un’interfaccia in grado di gestire e rendere unificato un domain namespace distribuito su soluzioni diverse, che possono essere Infoblox o altri vendor, e pensiamo che questo sia un grandissimo vantaggio: si è infatti compreso che i servizi DNS, soprattutto in ambienti cloud pubblici come Azure, Google e AWS, ci sono e rimarranno.
Se fossi il responsabile di un processo di migrazione, dovrei affrontare una serie di problematiche importantissime. Ma, dopo aver scelto la piattaforma e la strategia cloud, un aspetto spesso trascurato e che vorrei evidenziare è il domain name space. L’eterogeneità del servizio DNS comporta diversi rischi. Dal punto di vista di configurazione e provisioning è un problema, perché posso avere due, tre o più interfacce da gestire. Dal punto di vista dell’integrazione va considerato che gli ambienti cloud sono chiusi e quindi non è possibile utilizzare le funzionalità aggiuntive che possono essere sviluppate on top al DNS, come il load balancing, che ogni cloud provider offre, ma solo nel suo ambiente. Il DNS è anche un potente strumento di detection – pensiamo alla NIS 2, una normativa importante con un focus sul DNS – e se opero su ambienti DNS distinti sarà quanto meno sfidante implementare una policy unificata. Al contrario, un layer DNS unificato permette una visibilità completa, il discovery su tutto quello che ho e, dal punto di vista dell’IP space address management, ho un’idea centralizzata di più ambienti, e questo offre grandi vantaggi in termini operativi e di security.