I grandi cloud provider si adattano alle richieste di controllo locale sui dati delle imprese e delle PA europee. Questa dei sovereign cloud è una scelta che può diventare un importante differenziatore.
Diciamo pure addio alla fase in cui le richieste delle imprese di avere un maggiore controllo sui propri dati in cloud, anche e soprattutto per questioni di compliance normativa, erano vissute dai grandi cloud provider statunitensi come un fastidio. Il GDPR in fondo è stato solo l'inizio: da lì in poi è stato chiaro che l'Unione Europea e le singole nazioni vedevano il passaggio al cloud come un passo strategico nella modernizzazione dei sistemi-Paese. Tanto che il cloud doveva, e sempre più dovrà, offrire precise garanzie di sicurezza e privacy.
Intendiamoci, i grandi hyperscaler non appaiono granché preoccupati da iniziative di cloud "continentale" europeo come Gaia-X. E nemmeno della crescita dei cloud provider nazionali, perché sanno di avere, rispetto a questi, un vantaggio di mercato per ora impossibile da colmare. Però sanno anche che la "data sovereignty", o sovranità dei dati, è un concetto impossibile da ignorare nell'evoluzione digitale delle nazioni europee. E si muovono di conseguenza.
Il primo ovvio passo per venire incontro alle esigenze delle realtà europee è stato la creazione di cloud region altrettanto europee. Queste garantiscono che i dati delle aziende e delle PA non escano dai confini nazionali o comunque europei. Ma c'è un passo successivo, che ora si sta concretizzando con decisione: predisporre ambienti cloud in un certo senso "preconfezionati" per soddisfare sin da (quasi) subito tutte le necessità delle PA europee. E, quindi, anche delle aziende più sensibili alla sovranità dei dati.
È il modello del "sovereign cloud", il "cloud sovrano". Che di per sé non è un concetto nuovo ma che ora è possbile attivare con idealmente pochi passi, invece che assemblando e configurando ad hoc le sue singole componenti.
In casa Microsoft questa evoluzione ha preso ora la forma di una offerta specifica: Microsoft Cloud for Sovereignty. Una nuova soluzione che, spiegano da Redmond, "permetterà ai clienti del settore pubblico di creare e trasformare workload in Microsoft Cloud soddisfacendo allo stesso tempo i loro requisiti di compliance, sicurezza e policy".
La base di Microsoft Cloud for Sovereignty è ancora il cloud pubblico e ibrido di Azure, potenziato con alcune opzioni specifiche. Ovviamente è il cloud pubblico "regionale", nel senso che un sovereign cloud ad esempio italiano viene creato sui server di una region italiana. Questo garantisce la data residency delle informazioni, ma non basta.
La localizzazione dei dati viene completata con una serie di controlli di sovranità. Ossia, in sintesi, opzioni di cifratura, confidential computing, controllo delle identità, compliance che, insieme, offrono uno stretto controllo su come i dati vengono gestiti, elaborati, conservati. Queste opzioni di privacy e controllo si estendono alle parti sia IaaS, sia SaaS e PaaS. Inoltre, un po' come la strategia cloud della PA italiana, anche Microsoft prevede una gerarchia di sicurezza. Ossia che dati e servizi possano essere erogati dal cloud pubblico, dal cloud pubblico protetto con funzioni di sicurezza, da ambienti di cloud privato.
Tutto un po' troppo complesso? Può diventarlo, in effetti. Così Microsoft ha portato a Cloud for Sovereignty una funzione che già esisteva in altre espressioni di Azure: le Landing Zone. Si tratta in sintesi di ambienti cloud preconfigurati, ma ovviamente personalizzabili, con le componenti che Microsoft considera indispensabili per creare servizi sicuri ma anche aperti a uno sviluppo successivo. Componenti che rientrano in cinque livelli infrastrutturali: connettività, gestione delle identità, policy e compliance, cyber security, monitoraggio.
Microsoft peraltro sottolinea che Cloud for Sovereignty non nasce come un'offerta che gli utenti "accendono" e poi adattano alle loro esigenze. È una soluzione definita "partner-led and partner-first", nel senso che sono i partner locali nazionali che la adattano alle esigenze della singola PA cliente e che aiutano quest'ultima nella sua transizione al cloud. "Ogni nazione ha necessità specifiche", ammette Microsoft, e sono i partner di canale a fare da ponte tra le tecnologie di Azure e la pratica quotidiana. Microsoft cita in particolare il lavoro che sta portando avanti con Leonardo, per realizzare una soluzione adatta al nostro mercato PA.
Come Microsoft, anche Oracle ha capito da tempo che il cloud sovrano può essere un ottimo differenziatore rispetto alla concorrenza. Probabilmente anche perché, ancora come Microsoft, ha una lunga storia alle spalle di collaborazione con la PA statunitense. Che ha requisiti ben diversi da quelli europei ma che è comunque un ottimo banco di prova.
L'approccio di Oracle ai cloud sovrani europei è un po' più "evolutivo" rispetto a quello di Microsoft. Non c'è per ora un brand specifico ma una evoluzione di approcci già seguiti in precedenza. Il concetto qui è quello delle "sovereign cloud region", in pratica una versione potenziata delle cloud region locali che sfrutta l'esperienza maturata con il private cloud delle Dedicated Region.
Le sovereign cloud region europee arriveranno nel 2023 e sono destinate principalmente al settore pubblico, ma anche alle aziende private con particolari necessità di compliance nella gestione di dati e applicazioni. I nuovi cloud sovrani possono essere visti come "gemelli" delle cloud region tradizionali (i servizi offerti e i loro costi saranno gli stessi, almeno nelle intenzioni) ma ne sono logicamente e fisicamente separati.
L'utilizzo di nuove region locali garantisce la localizzazione nazionale dei dati, in più le future region "sovrane" seguiranno per default policy e regole di governance che le mettono al sicuro - secondo Oracle - da dubbi su sicurezza, privacy e compliance. Inoltre, le operazioni di gestione e supporto delle sovereign cloud region saranno affidate solo a personale ed organizzazioni residenti nell'Unione Europea.
Le prime due sovereign cloud region saranno attivate in Germania e in Spagna. Oracle non ha indicato quali piani abbia per l'espansione progressiva di questa offerta, ma idealmente una qualsiasi region europea può essere "duplicata" in una region "sovrana". Al momento nell'Unione Europea ci sono sei region pubbliche: Amsterdam, Francoforte, Parigi, Marsiglia, Milano, Stoccolma.