Article Standard di conformità cloud: come scegliere i più adatti?

La valutazione degli standard di conformità delle tecnologie cloud è sempre una fase importante e delicata in un’implementazione. Ecco dei consigli su come selezionare gli standard cloud più adatti alla propria azienda, e lo spunto per qualche domanda da porre ai fornitori per valutarli dal punto di vista della governance e della conformità dei servizi cloud che propongono.

Spetta alle organizzazioni che utilizzano la tecnologia cloud, o a quelle che contemplano l'uso di servizi basati su cloud, garantire che loro stesse o i fornitori dei servizi rispettino gli standard di conformità con le linee guida e le normative. Premesso questo, l'entusiasmo per la rapida crescita e la diffusione della tecnologia cloud ha portato alla creazione di numerosi standard e attività open source incentrati sulle esigenze degli utenti. Questo ha generato un po’ di confusione e, soprattutto, ha reso più difficile la selezione degli standard più appropriati in funzione delle situazioni specifiche.

Le attestazioni di terze parti autorevoli irrobustiscono la fiducia nelle procedure di un operatore cloud e hanno anche un ruolo importante quando di devono distribuire applicazioni aziendali fondamentali. Qui di seguito, diamo qualche informazione utile a conoscere gli standard di conformità cloud esistenti, a come selezionare gli standard più appropriati alla propria azienda, e anche qualche suggerimento sulle domande da porre ai cloud provider per valutare la conformità (o la disponibilità a conformarsi) su standard particolari.

Gli standard di conformità cloud più utilizzati

Esistono numerose organizzazioni professionali e tecniche che affrontano vari aspetti della tecnologia cloud, offrendo propri standard, consigli e linee guida per un'implementazione cloud di successo.

Naturalmente non è necessario conoscere a memoria tutti gli standard di riferimento, ma può essere interessante avere a disposizione una guida che , insieme a consulenti esperti, ci possa supportare nel determinare dove costruire la nostra architettura cloud. Infatti, gli standard di conformità ci possono aiutare a decidere quali workload o quali parti della nostra infrastruttura migrare nel cloud pubblico o quali su datacenter di terze parti, anche in base ai requisiti di conformità richiesti

La realizzazione o migrazione di infrastrutture vmware su ambienti di cloud pubblico, realizzati magari sfruttando servizi come Azure Vmware Solutions di Microsoft, o Vmware Cloud on AWS per Amazon Web Services, richiede infatti non soltanto la corretta configurazione e implementazione della nostra specifica infrastruttura, ma anche che il provider fornisca un servizio cloud rispondente agli standard di conformità più avanzati. Ciò rimane naturalmente vero se si scegliesse l’infrastruttura di un service provider.

Oltre alla conoscenza specifica della norme che andremo ad analizzare, diventa fondamentale l’apporto e l’esperienza di consulenti che possano entrare nel dettaglio dell’architettura. Il team di cloud architect e di solution specialist di Insight è naturalmente a disposizione, a livello locale ed internazionale, per affiancare l’azienda già dalle fasi di infrastructure design e di valutazione della soluzione, per arrivare alle fasi di implementazione e di gestione dell’infrastruttura cloud.

Cominciamo l’elenco da ISO e NIST, due delle più conosciute organizzazioni di normazione, a cui fanno riferimento una serie di standard incentrati sul cloud.

International Organization for Standardization (ISO)

Come detto, ISO è la principale organizzazione mondiale per la normazione. Sviluppa standard per numerosi tipi di tecnologie e sistemi, inclusi alcuni che riguardo il cloud.

ISO / IEC 17789: 2014. Information technology - Cloud computing - Architettura di riferimento. Questo standard definisce ruoli, attività e componenti funzionali del cloud computing, nonché il modo in cui interagiscono.

ISO / IEC 17826: 2016. Information technology - Interfaccia di gestione dei dati su cloud. Questo standard riguarda gli sviluppatori di sistemi che implementano e utilizzano l'archiviazione cloud.

ISO / IEC 18384: 2016. Information technology - Architettura di riferimento per l'architettura orientata ai servizi (SOA). Questo standard definisce il vocabolario, le linee guida e i principi tecnici generali alla base della SOA, che sono spesso implementati nelle piattaforme cloud.

ISO / IEC 19086-1: 2016. Information technology - Cloud computing - Service level agreement (SLA) framework. Questo standard fornisce il framework per la preparazione degli SLA per i servizi cloud.

ISO / IEC 19941: 2017. Information technology - Cloud computing - Interoperabilità e portabilità. Questo standard specifica gli aspetti di interoperabilità e portabilità del cloud computing.

ISO / IEC 19944-1: 2020. Cloud computing e piattaforme distribuite - Flusso di dati, categorie di dati e utilizzo dei dati. Questo standard descrive il modo in cui i dati si spostano tra i fornitori di servizi cloud e gli utenti dei servizi cloud.

Rapporto tecnico ISO / IEC 22678: 2019. Information technology - Cloud computing - Guida per lo sviluppo delle politiche. Questo standard fornisce indicazioni per lo sviluppo di politiche incentrate sul cloud.

Specifica tecnica ISO / IEC 23167: 2020. Information technology - Cloud computing - Tecnologie e tecnologie comuni. Questo standard descrive le tecnologie e le tecniche utilizzate nel cloud computing, inclusi VM, hypervisor e container.

ISO / IEC 27017: 2015. Information technology - Tecniche di sicurezza - Codice di condotta per i controlli di sicurezza delle informazioni basato su ISO / IEC 27002 per i servizi cloud. Questo documento fornisce indicazioni sugli aspetti infosec del cloud computing e sui controlli infosec specifici del cloud.

ISO / IEC 27018: 2019. Information technology - Tecniche di sicurezza - Codice di condotta per la protezione delle informazioni di identificazione personale (PII) nei cloud pubblici che agiscono come processori PII. Questo documento specifica le linee guida basate su ISO / IEC 27002, concentrandosi sulla protezione delle PII negli ambienti cloud pubblici.

National Institute of Standard Technology (NIST)

Il NIST sviluppa e distribuisce standard principalmente per uso governativo, ma alcuni di questi sono ampiamente utilizzati anche dall'industria privata. Per esempio, la serie di standard SP (Special Publications) di cui si trova traccia sia nel settore pubblico sia nel privato:

NIST SP 500-291 (2011) / Roadmap degli standard di cloud computing NIST. Ciò fornisce una raccolta degli standard disponibili sul cloud computing ed esamina le priorità degli standard e dove esistono lacune negli standard.

NIST SP 500-293 (2011) / Roadmap della tecnologia di cloud computing del governo degli Stati Uniti. Ciò fornisce un framework e una struttura dettagliati per le infrastrutture di cloud computing. Sebbene progettato per applicazioni governative, può essere utilizzato anche nel settore privato.

NIST SP 800-144 (2011) / Linee guida sulla sicurezza e la privacy nel cloud computing pubblico. Questo standard fornisce indicazioni e consigli per l'implementazione di un ambiente sicuro nei servizi cloud pubblici.

NIST SP 800-145 (2011) / La definizione NIST di cloud computing. Questo standard descrive aspetti importanti del cloud computing e funge da punto di riferimento per confrontare i servizi cloud e le strategie di distribuzione. Fornisce inoltre una base per le discussioni sul cloud computing e su come utilizzarlo.

NIST Standards acceleration to jumpstart adoption of cloud computing. In questo caso si tratta di un gruppo che svolge tre attività per incoraggiare un maggiore utilizzo del cloud. La prima è raccomandare gli standard esistenti; la seconda, coordinare i contributi di varie organizzazioni nelle specifiche del cloud; la terza, identificare le lacune negli standard cloud e porvi rimedio.

NIST Cloud computing program. Questo invece è un programma che definisce un modello e un framework per la creazione di un'infrastruttura cloud includendo molteplici caratteristiche tecnologiche avanzate.

Le organizzazioni che sviluppano standard di conformità cloud

Oltre a comprendere ISO e NIST, l’elenco degli sviluppatori di standard di conformità per il cloud è popolato da organizzazioni che nella maggior parte dei casi hanno una specifica focalizzazione su un aspetto piuttosto che un altro.

Cloud Standards Customer Council (CSCC)

CSCC è un gruppo di supporto per utenti finali focalizzato sull'adozione della tecnologia cloud e sull'esame degli standard e dei problemi di sicurezza e interoperabilità. È stato sostituito dal Cloud Working Group, affronta i problemi degli standard ed ha al suo attivo numerosi white paper e articoli sui problemi del cloud.

Distributed Management Task Force (DMTF)

DMTF supporta la gestione delle tecnologie esistenti e nuove, come il cloud, sviluppando standard appropriati. I suoi gruppi di lavoro, come Open Cloud Standards Incubator, Cloud Management Working Group e Cloud Auditing Data Federation Working Group, affrontano i problemi del cloud in modo dettagliato.

Istituto europeo per le norme di telecomunicazione (ETSI)

L'ETSI sviluppa principalmente standard di telecomunicazione. Tra le sue attività incentrate sul cloud ci sono il Comitato tecnico CLOUD, l'iniziativa di coordinamento degli standard cloud e il Forum tecnologico globale inter-cloud, ciascuna delle quali affronta i problemi della tecnologia cloud.

Open Grid Forum (OGF)

OGF sviluppa standard per il grid computing, il cloud, il networking digitale avanzato e le tecnologie di calcolo distribuito. Tra le sue attività incentrate sul cloud c'è il gruppo di lavoro Open Cloud Computing Interface, che ha sviluppato diverse specifiche operative cloud, tra cui la specifica OCCI Core e l'estensione OCCI Infrastructure.

Open Commons Consortium (OCC)

Precedentemente noto come Open Cloud Consortium, OCC fornisce risorse per la gestione del cloud computing e dei dati comuni oltre a un archivio di conoscenze aperte, a supporto di numerose iniziative di ricerca scientifica e accademica.

Organizzazione per l'avanzamento degli standard di informazione strutturata (OASIS)

Questa organizzazione senza scopo di lucro sviluppa standard aperti per la sicurezza, la tecnologia cloud, l'IoT, le tecnologie dei contenuti e la gestione delle emergenze. I suoi vari comitati tecnici cloud includono OASIS Cloud Application Management for Platforms, OASIS Identity in the Cloud e OASIS Topology and Orchestration Specification for Cloud Applications.

Storage Networking Industry Association Data Management Interface

Si tratt di una specifica che ora è uno standard ISO, ISO / IEC 17826: 2012, Information technology - Cloud Data Management Interface. Tipicamente utilizzato dagli sviluppatori di sistemi di archiviazione cloud, definisce un'interfaccia per accedere all'archiviazione cloud e per gestire i dati archiviati all'interno della risorsa cloud.

Open Group

Questo consorzio di organizzazioni del settore tecnologico sviluppa standard e accreditamenti per una varietà di questioni IT. Le attività del suo gruppo di lavoro Open Platform 3.0 Forum si concentrano su mobilità, analisi dei big data e cloud computing.

TM Forum Cloud Services Initiative

TM Forum è un consorzio globale di aziende tecnologiche che fornisce una piattaforma collaborativa per affrontare i problemi tecnologici. La sua Cloud Services Initiative fornisce una risorsa per sviluppare standard cloud utilizzabili sia dalle aziende tecnologiche sia dagli utenti.

Come selezionare lo standard cloud più appropriato

Eccoci alla domanda chiave. La risposta è che, per determinare gli standard di conformità cloud più appropriati alla propria azienda, i responsabili IT potrebbero fare qualche ricerca sui vari standard di conformità cloud, i gruppi di lavoro e i comitati tecnici di cui abbiamo parlato prima. Quando invece si fa ricorso a una terza parte, quello che si deve fare è stabile un controllo sul come il fornitore raggiunge la conformità agli standard cloud. Ovviamente questo può essere previsto nel processo di valutazione all’interno del contratto.

Un altro modo per valutare gli sforzi di conformità dei fornitori di servizi cloud è esaminare i report SOC 2 (Service Organization Control Type 2) rilasciati più di recente. I rapporti SOC 2 esaminano i controlli utilizzati dal fornitore per proteggere i dati dei clienti e verificano l'efficacia operativa di tali controlli. Per i fornitori di servizi cloud, i report SOC 2 possono anche documentare gli standard e le pratiche che il fornitore utilizza per la sicurezza e la privacy dei dati degli utenti.

Migrare o implementare la propria infrastruttura vmware nel cloud è quindi una operazione che richiede competenze specifiche. I consulenti di Insight sono da sempre al lavoro, spesso in collaborazione con gli esperti vmware, per affiancare l’azienda nella definizione del percorso più opportuno e delle scelte più corrette.